[发明专利]一种基于线程反编译的多平台恶意代码检测方法和系统

说明书

技术领域

本发明涉及本计算机反病毒技术领域，尤其涉及一种基于线程反编译的多平台恶意代码检测方法和系统。

背景技术

目前的恶意代码检测技术主要是针对文件为检测对象，常规的特征码检测都是基于文件的，文件特征码扫描是最早出现的恶意代码检测技术。目前依旧是反病毒的主要技术。它仅仅将文件中的数据和已知的特征串做比较来检测。该种方法配合脱壳在一定程度上达到更好的识别率，但是这种方法的检测对象是文件，加密的壳变化导致脱壳失败，就无法检测，同时其只能检测处置文件对象。

模拟技术（CN201110025547.3基于虚拟机的“In-VM”恶意代码检测系统 2011-07-13）从程度上来说处于把程序视为字节序列的技术和把程序视为行为序列的技术之间。虚拟机将程序字节代码划分为指令，并在虚拟的计算机环境中执行每一条指令。这样就可以监视程序的行为，能够分析一部分病毒事件。这种方法的需要在系统底层装置一层系统，而不是在系统上层就可以完成，多数依赖系统，而不能跨平台。

发明内容

本发明的目的在于针对现有移动平台以及PC的发展，恶意代码加密变形技术和多平台发展。针对恶意代码存在实体是线程，提出一种可多平台、抗变形的特征提取方法和检测方法。该方法可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。

为解决上述问题，本发明实现方法主要包括以下步骤：

A、通过特征提取获取恶意指令序列；

所述特征提取包括静态提取或者动态提取；所述静态特征提取是指通过对恶意代码样本文件进行反编译，获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列；所述动态特征提取是指在虚拟环境中执行恶意代码样本，监视创建线程，提取创建线程起始位置的数据进行反编译得到恶意指令序列。

B、依次检测系统中的线程信息，识别线程起始数据的指令集，并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列；

检测系统环境中线程信息，通过各平台的系统API获取系统的线程信息，包括线程所在内存起始位置，线程内存数据范围。

识别线程起始数据的指令集，包括X86、X64、ARM。根据不同指令集对数据进行反编译得到线程的执行指令序列。

C、将所述线程的执行指令序列与所述恶意指令序列进行完全匹配，如果匹配成功则该所述线程为恶意线程。

如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功，则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配，如果匹配成功则该所述线程为恶意线程。

如果所述线程所在的内存加载模块属于DLL文件或属于so文件，则该所述线程为恶意线程。

关联线程所在的内存加载模块，发现该线程所在区域是属于某个DLL或so文件，还是属于进程空间。进而判定一个文件是否是恶意的。

所述方法还包括对所述恶意线程进行处置，所述处置包括挂起或终止所述恶意线程。

相应的，本发明还提供了一种基于线程反编译的多平台恶意代码检测系统，包括：

恶意指令序列模块，用于通过特征提取获取恶意指令序列；

提取指令序列模块，用于依次检测系统中的线程信息，识别线程起始数据的指令集，并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列；

指令序列匹配模块，用于将所述线程的执行指令序列与所述恶意指令序列进行完全匹配，如果匹配成功则该所述线程为恶意线程。

所述特征提取包括静态提取或者动态提取；所述静态特征提取是指通过对恶意代码样本文件进行反编译，获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列；所述动态特征提取是指在虚拟环境中执行恶意代码样本，监视创建线程，提取创建线程起始位置的数据进行反编译得到恶意指令序列。

所述指令集包括X86、X64、ARM。

所述指令序列匹配模块具体还用于如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功，则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配，如果匹配成功则该所述线程为恶意线程。

所述系统还包括关联检查模块，用于如果所述线程所在的内存加载模块属于DLL文件或属于so文件，则该所述线程为恶意线程。

所述系统还包括处置模块，用于对所述恶意线程进行处置，所述处置包括挂起或终止所述恶意线程。

本发明的有益效果是：