[发明专利]一种基于虚拟机的软件行为分析方法和系统在审
| 申请号: | 201811050624.9 | 申请日: | 2018-09-10 |
| 公开(公告)号: | CN109284604A | 公开(公告)日: | 2019-01-29 |
| 发明(设计)人: | 王文治 | 申请(专利权)人: | 中国联合网络通信集团有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京天昊联合知识产权代理有限公司 11112 | 代理人: | 彭瑞欣;张天舒 |
| 地址: | 100033 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种基于虚拟机的软件行为分析方法,通过在虚拟机动态运行软件样本的过程中实时捕获软件样本所发生的恶意行为,并相应地捕获软件样本代码中的与所述恶意行为对应的函数,并从后台恶意软件行为库中查询出所述软件样本代码中的所有的恶意行为对应的函数的危险等级。与现有技术中的静态代码分析方法相比,本发明基于软件样本运行过程中所产生的恶意行为进行检测分析,从而能够快速高效的确定出软件样本所存在的恶意软件行为,提高了分析效率,并且能够检测出由于软件样本运行才会触发的恶意行为,提高了分析的准确率;同时,相比于基于分析软件运行日志的分析方法,避免了冗余的日志分析过程,提高了分析效率。 | ||
| 搜索关键词: | 恶意行为 样本 虚拟机 恶意软件 分析效率 软件行为 样本代码 分析 静态代码分析 动态运行 分析软件 基于软件 检测分析 日志分析 实时捕获 运行过程 冗余 准确率 触发 日志 捕获 后台 查询 检测 | ||
【主权项】:
1.一种基于虚拟机的软件行为分析方法,其特征在于,包括:虚拟机为多个软件样本分别孵化子进程;虚拟机加载并动态执行每个子进程对应的软件样本;捕获模块捕获软件样本的恶意行为,并提取所述软件样本代码中的与所述恶意行为对应的函数;代码注入模块将shellcode代码注入到所述软件样本中,以替换所述软件样本代码中的与所述恶意行为对应的函数;所述捕获模块将所述软件样本代码中的与所述恶意行为对应的函数发送至日志生成及分析模块;所述日志生成及分析模块从后台恶意软件行为库中查询出所述软件样本代码中的与所述恶意行为对应的函数对应的危险等级。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国联合网络通信集团有限公司,未经中国联合网络通信集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811050624.9/,转载请声明来源钻瓜专利网。
- 上一篇:一种配置数据处理方法、装置及存储介质
- 下一篇:信息处理方法及装置
