[发明专利]一种程序检测的方法、装置及程序分析的方法

说明书

技术领域

本发明涉及一种程序检测的方法、装置及程序分析的方法。

背景技术

在计算机技术发展的今天，人们的生活、工作、出行等已经逐渐离不开了计算机技术。维护计算机系统的正常运行，已经是依赖于计算机技术行业的一项即重要又复杂的工作，防止计算机病毒的危害成为维护计算机系统正常运行的重点工作之一。众所周知，使计算机系统无法正常工作的很大一部分原因是计算机病毒所导致的。

随着计算机应用技术和计算机网络技术的发展，计算机病毒的危害能力也随着最初的仅仅只是恶作剧，发展到了破坏计算机系统以及窃取机密性信息；计算机病毒的传播能力随着最初的依靠软盘等存储介质传播，发展到了利用互联网传播；计算机病毒的隐藏性随着先前的藏匿于系统内部或文件中，发展到了自身带有变形功能的病毒体，使传统的特征码识别的杀毒技术无法应对这类的病毒。

现在的带有变形能力的病毒自身就带有加密功能，这种病毒可以采用多种加密方式来改变病毒体自身的特征代码。例如：国家计算机病毒应急处理中心、计算机病毒防治产品检验中心(http://www.antivirus-china.org.cn)官方网站上曾登载了一篇名为《计算机病毒的发展趋势及KV3000的反病毒对策》中也详细介绍了诸多变形病毒。

无论如何人们都发现变形病毒的核心就是为了改变自身的特征，使传统的基于特征码识别的反病毒技术无法识别变形病毒，所以单独使用传统的特征码识别技术已经无法应对这样的病毒，因此人们开始从计算机病毒行为的方式研发反病毒技术。

例如1：一个基于利用LSM(LinuxSecurity Modules，Linux安全模块)截获点进行程序行为控制的方法，首先利用LSM截获点描述某种程序正常行为并建立正常行为模式库，在截获待检测程序所具有的LSM控制点信息后，生成LSM截获点序列，然后将生成的序列与正常行为模式库中已有的截获点序列比较，如果存在匹配的截获点序列，则确定该待检测程序为某种种类的程序。

该方法中，LSM框架对系统需要保护的资源进行分析，确定哪些是需要保护的客体，进一步确定这些客体对应哪些数据结构，以及哪些系统函数对其进行了操作，在对所述客体进行访问的最终系统函数中，插入钩子(hook)函数截获访问，并通过另外一些钩子函数修改客体对应的数据结构，以满足安全机制的需要。其中，所述LSM截获点涉及系统函数或系统内核，与系统各种资源的访问有关，即，将系统中涉及资源访问的系统函数作为敏感或重要的系统函数，将调用这些系统函数的行为进一步作为程序行为控制点，即LSM控制点。因此，该方法用涉及系统资源访问的函数控制点作为判断待检测的程序行为是否正常的基础。这种方法有两个明显的缺陷，一是受系统的局限过大：由于不同的系统可能有不同的涉及资源操作的函数，该函数的数量、功能有较大差异，如果以一个特定系统的资源访问函数为基础判断待检测程序的行为会导致方法的通用性变差；二是对待检测程序的行为判断的准确性在满足通用性的前提下会有较大的下降：由于程序的不当行为可能涉及资源访问，也可能涉及其他方面，例如程序的强行捆绑，不当的写或移动操作等，单纯以资源访问等有限的函数作为程序行为控制点会产生较大的不当行为的遗漏，从而造成行为判断的准确性下降。

例如2：中国专利03811842.4和中国专利200510079861.4都是从单一的提取出病毒的指令代码，检测这些指令代码将这些指令代码中是否存在涉及到敏感操作的指令，根据检测情况，判断是否为病毒程序。

由于正常的应用程序或系统程序也都难免有涉及到敏感操作的行为和指令，因此上述例子中的技术方案造成根据程序行为来断定是否为病毒的准确性下降，误判断的情况也就经常的发生。

此外在现实中，计算机指令的操作有很多且复杂，相同的指令参量的不同也导致了执行结果的千差万别，因此仅仅是简单的依靠检测程序存在着敏感性的指令操作就判断是否为病毒，也是造成误判断的因素之一。

另外在实际应用中，也有人提出单纯采用虚拟技术来模拟程序的运行，这种技术方案对系统资源的耗费上产生了极大的开销，也是计算机使用者无法忍受的。

发明内容

鉴于上述的问题，本发明所要解决的是提供一种程序检测的方法、装置及程序分析的方法，所述的方法能够最初的先根据程序的指令、代码进行预判断并确定出程序的危险系数，然后根据危险系数采取不同的对程序的跟踪方式或者模拟运行，判断程序是否具有危害性。

为解决上述技术问题，本发明提供了一种程序检测的方法，包括：

获取待检测程序的运行过程或运行结果，形成程序的行为数据序列；