[发明专利]一种恶意软件检测方法及相关设备

权利要求书

1.一种恶意软件检测方法，所述方法应用于预先部署有一个或者多个沙盒的服务器，其特征在于，包括：

获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；

调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；

调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；

根据所述执行轨迹和所述调用的系统资源确定所述待测软件是否存在恶意行为；

当所述待测软件存在所述恶意行为时，确定所述待测软件为恶意软件，并输出所述待测软件对应的所述恶意行为。

2.根据权利要求1所述的方法，其特征在于，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，所述方法还包括：

对所述一个或者多个沙盒中每个沙盒可调用的系统接口进行汇编指令级别的转译和分片处理，得到转译和分片处理后的目标系统接口；

将所述每个沙盒对应的所述目标系统接口和所述系统接口关联存储至该沙盒的系统接口库中。

3.根据权利要求2所述的方法，其特征在于，所述调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件的功能的等价执行路径，包括：

在调用所述目标沙盒对所述待测软件进行符号执行分析时，检测执行所述符号执行分析得到的功能的当前执行路径是否执行至调用所述目标沙盒的系统接口库中的任一所述系统接口；

若执行所述符号执行分析得到的功能的当前执行路径执行至任一系统接口，则结束所述功能的当前执行路径，并生成所述功能的当前执行路径对应的等价执行路径。

4.根据权利要求1所述的方法，其特征在于，所述调用所述目标沙盒动态执行目标等价执行路径，包括：

将所述目标等价执行路径对应的输入值数组输入所述目标沙盒的样本程序中，以得到所述目标等价执行路径的执行流；

根据所述目标沙盒中预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段；

对切片处理后得到的所述一个或者多个执行流片段执行各自对应的预设操作。

5.根据权利要求4所述的方法，其特征在于，所述根据所述目标沙盒当前系统预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段之后，所述方法还包括：

分别在所述一个或者多个执行流片段中的各个执行流片段中引入二进制插桩；

其中，所述记录所述待测软件执行所述等价执行路径对应的执行轨迹以及调用的系统资源，包括：

调用所述二进制插桩记录对所述一个或者多个执行流片段执行各自对应的所述预设操作对应的执行轨迹，以及执行各自对应的所述预设操作所调用的系统资源。

6.根据权利要求1所述的方法，其特征在于，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，所述方法还包括：

获取样本软件的样本软件特征值，并将所述样本软件特征值与预设软件库中恶意软件的恶意软件特征值进行比较；

若所述样本软件特征值与所述恶意软件特征值匹配，则确定所述样本软件为恶意软件；检测当前检测模式是否为预设检测模式，若当前检测模式为所述预设检测模式，则将所述样本软件确定为待测软件，并触发所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息的步骤；

若所述样本软件特征值与所述恶意软件特征值不匹配，则确定所述样本软件为非恶意软件；将所述样本软件确定为待测软件，并触发所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息的步骤。