[发明专利]一种自动采集恶意软件的方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种自动采集恶意软件的方法和装置。

【背景技术】

随着计算机技术的不断发展，计算机网络已经成为人们获取信息的主要工具，随之而来的是对计算机安全技术需求的不断提高。计算机病毒、木马、恶意软件和恶意代码是近几年来计算机网络面对的主要安全威胁，其中用户在浏览挂马网页之后往往会自动安装一些恶意软件，为了方便对恶意软件进行预防和分析，并进一步应用于挂马检测系统和恶意软件分布式研究，需要解决恶意软件的采集问题。

现有对恶意软件的采集主要通过以下两种方式实现：

其一、通过用户举报的方式，采集用户举报的恶意软件。这种方式依赖于用户的识别能力，无法实现恶意软件的自动采集，效率低下。

其二、通过在用户端设备上部署客户端来进行大规模样本采集工作，即通过匹配预设的恶意软件的静态特征实现恶意软件的采集。这种方式虽然实现了恶意软件的自动采集，但需要部署规模庞大的客户端，难度和成本很高，且基于静态特征的方式对于采用变形手段的恶意软件容易失效，可靠性和检出率较低。

【发明内容】

本发明提供了一种自动采集恶意软件的方法和装置，以便于提高恶意软件自动采集的可靠性和检出率。

具体技术方案如下：

一种自动采集恶意软件的方法，该方法包括：

S1、通过模拟浏览器扫描网页，识别并抓取所扫描网页的恶意代码；

S2、通过构建恶意代码执行环境来执行抓取到的恶意代码，得到恶意软件。

根据本发明一优选实施例，所述步骤S1中识别所扫描网页的恶意代码具体包括：

S11、对所扫描网页的脚本进行解析，在解析过程中如果通过预先对预设的用于编写shellcode的函数所挂的函数钩子获取到对应函数在内存中产生的二进制数据，则执行步骤A12、步骤B12或者步骤C12；

所述步骤A12为：对所述二进制数据与预先设置的黑名单进行匹配，如果匹配上，则检测到恶意代码，其中所述黑名单包括：nop指令头；

所述步骤B12为：对所述二进制数据进行反汇编检测，如果在反汇编过程中检测到自定位代码，则检测到恶意代码；

所述步骤C12为：对所述二进制数据进行高危字节码统计，如果高危字节码的数量超过预设的高危字节码数量阈值，则检测到恶意代码。

根据本发明一优选实施例，如果检测到恶意代码，则结束对所述待检测网页脚本的解析，否则转至所述步骤S11对所述待检测网页脚本继续进行解析。

根据本发明一优选实施例，在执行所述步骤A12确定没有匹配上时，进一步执行所述步骤B12或步骤C12。

根据本发明一优选实施例，在执行所述步骤B12确定在反汇编过程中没有检测到自定位代码时，进一步执行所述步骤C12。

根据本发明一优选实施例，所述自定位代码包括：过程调用call指令代码、出栈pop指令代码、浮点检查保护环境FSTENV指令代码以及高强度加花SEH指令代码中的至少一种。

根据本发明一优选实施例，所述高危字节码包括：不可见字符和堆喷射常用地址中的至少一种。

根据本发明一优选实施例，在所述步骤S11之前还包括：

S01、新建一个浏览器IE控件进程，并对预设的用于编写shellcode的函数挂函数钩子。

根据本发明一优选实施例，所述用于编写shellcode的函数包括：javascript类型脚本的用于转义的/u函数、用于字符串解码的unescape函数或者用于返回ASCII值表示的字符串的string.fromcharcode函数，vbscript类型脚本的unescape函数、string.fromcharcode函数或者用于返回与指定字符代码相关联的字符的chrw函数中的至少一种。

根据本发明一优选实施例，所述步骤S2具体包括：

S21、通过对创建文件函数所挂的函数钩子，在确定抓取的恶意代码执行了创建文件操作时，将创建文件操作的路径参数替换为指定的路径；以及，将所述抓取的恶意代码覆盖一个正常程序的地址空间；

S22、在虚拟机中执行所述抓取的恶意代码，得到恶意软件。

一种自动采集恶意软件的装置，该装置包括：

网页扫描单元，用于通过模拟浏览器扫描网页；

恶意代码识别单元，用于识别并抓取所述网页扫描单元所扫描网页的恶意代码；