[发明专利]程序解析系统及方法

说明书

技术区域

本发明涉及解析计算机程序的举动的程序解析系统。

背景技术

作为不使用源代码（source code）解析计算机程序的举动的方法，有静态解析和动态解析这两种。静态解析通过分析记载于程序的文件的命令编码来调查举动。另一方面，动态解析中，在计算机上执行程序且观测此时的举动，由此调查举动。有的程序为了阻止静态解析而实施了各种防御对策。特别是现今的恶意软件（malware：计算机病毒或间谍软件等非法程序）为了阻止静态解析有时使文件构造难读或加密化，因此产生了静态解析的调查中文件构造的解读和解码花费时间、需要熟练的技术员这样的问题。另一方面，相比静态解析，动态解析观测实际的举动从而调查举动，因此，不容易受到文件难读化或加密化带来的影响，能够较短时间完成解析。

因此，如专利文献1、专利文献2、非专利文献1等所示，将动态解析的处理自动化，实现高效的解析的系统的研究开发正在进行中。这些系统中，在执行环境下执行恶意软件，获取并解析一定时间内观测到的举动（例如恶意软件的文件访问（file access）和网络通信）。

专利文献1：日本特开2009－181335号公报

专利文献2：日本特开2009－37545号公报

非专利文献1：

IEEE International Conference of Communications2008Proceedings，“Malware Behavior Analysis in Isolated Miniature Network for Revealing Malware’s Network Activity”

但是，有的程序在起动后经过一定时间之后或仅在特定的日期时间进行实质活动。另外，如遇到Y2K问题那样，存在当超过特定的日期时间时引起误动作的情况。通过上述的系统解析这种程序时，存在解析耗费大量时间或解析失败的问题。非专利文献1中，作为解析对象的恶意软件停止一定时间活动所以通过使执行的函数无效化，实现了解析的高效化。但是，该方法对执行函数后需要验证时间经过的恶意软件或仅在特定的日期时间进行活动的恶意软件没有效果。

发明内容

本发明的目的在于，提供一种对在起动后一定时间以后或仅在特定的日期时间进行活动的程序进行高效解析的系统及方法。

本发明的程序解析系统中，操作程序动作的执行环境的时刻管理功能，不对与外部的通信活动带来不良影响，使执行环境内的时间经过速度比实际时间更高速或低速地变化，记录活动，由此边调整程序执行环境的时间经过速度边进行程序的解析。

程序解析系统的主要的功能部为解析管理部、检体执行部、活动记录部、活动解析部、通信监视部这五部分。在此，“检体“是指作为解析对象的恶意软件。解析管理部设定执行环境下的时间经过速度、以及程序执行开始时间和执行结束时间等解析条件。检体执行部根据解析管理部设定的解析条件调整时间经过速度以及程序执行开始时间，执行程序直至执行结束时间。活动记录部监视执行环境，获取程序的活动记录。活动解析部基于活动记录解析程序的举动。另外，解析管理部基于解析结果再设定解析条件，进行再解析。通信监视部监视检体与外部终端的通信，以在通信中不产生超时的方式变更由解析管理部设定的时间经过速度。

根据本发明，实现了针对起动后一定时间以后或仅特定的日期时间进行活动的程序的高效的解析。

附图说明

图1是表示用于实施本发明的系统的整体结构的图；

图2是表示系统管理装置的物理结构的图；

图3是表示系统管理装置的逻辑结构的图；

图4是表示检体执行装置的物理结构的图；

图5是表示检体执行装置的逻辑结构的图；

图6是表示计时器装置的物理结构的图；

图7是表示活动解析装置的物理结构的图；

图8是表示活动解析装置的逻辑结构的图；

图9是表示通信监视装置的物理结构的图；

图10是表示通信监视装置的逻辑结构的图；

图11是表示解析脚本DB的记录例的图；

图12是表示活动记录DB的记录例的图；

图13是表示再解析规则DB的记录例的图；

图14是表示解析结果DB的记录例的图；

图15是表示记录规则DB的记录例的图；

图16是表示解析规则DB的记录例的图；

图17是表示时刻经过速度DB的记录例的图；