[发明专利]一种恶意软件检测方法及相关设备

说明书

本发明实施例公开了一种恶意软件检测方法及相关设备，所述方法包括：获取一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据每个沙盒的第一配置信息和第二配置信息在一个或者多个沙盒中确定出与待测软件匹配的目标沙盒，进而调用目标沙盒对待测软件进行符号执行分析，以得到待测软件各功能各自对应的等价执行路径，并调用目标沙盒执行目标等价执行路径，并记录待测软件执行目标等价执行路径对应的执行轨迹以及调用的系统资源，进而根据执行轨迹和调用的系统资源确定待测软件是否存在恶意行为，当待测软件存在恶意行为时，确定待测软件为恶意软件，并输出待测软件对应的恶意行为，有利于提高恶意软件检测的细粒度。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意软件检测方法及相关设备。

背景技术

随着计算机技术的飞速发展，各种网站、移动终端以及移动终端上app服务的广泛应用，服务器系统的安全性问题越来越受到重视，各种恶意软件层出不穷。目前市面上的恶意软件检测主要分为动态和静态两种：静态检测需要事先收集已知恶意软件的特征信息，对于最新出现的恶意软件和已有恶意软件的变种检测效果并不强；动态检测则主要在沙盒环境中运行样本并收集软件的行为特征从而判断是否会造成危害，而目前恶意软件大多具备对沙盒环境的检测能力，沙盒环境和实际生产环境还有着比较大的区别导致恶意软件不会触发恶意行为，对恶意软件行为检测能力过弱，细粒度不足。

发明内容

本发明实施例提供了一种恶意软件检测方法及相关设备，可以分析出恶意软件存在的恶意行为，有利于提高恶意软件检测的细粒度。

第一方面，本发明实施例提供了一种恶意软件检测方法，该方法包括：

获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息，并根据所述每个沙盒的第一配置信息和所述第二配置信息在所述一个或者多个沙盒中确定出与所述待测软件匹配的目标沙盒；

调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件各功能各自对应的等价执行路径；

调用所述目标沙盒执行目标等价执行路径，并记录所述待测软件执行所述目标等价执行路径对应的执行轨迹以及调用的系统资源，所述目标等价执行路径为所述待测软件各功能各自对应的等价执行路径中的一个或者多个；

根据所述执行轨迹和所述调用的系统资源确定所述待测软件是否存在恶意行为；

当所述待测软件存在所述恶意行为时，确定所述待测软件为恶意软件，并输出所述待测软件对应的所述恶意行为。

在一个实施例中，所述获取所述一个或者多个沙盒中每个沙盒的第一配置信息和待测软件的第二配置信息之前，还可以对所述一个或者多个沙盒中每个沙盒可调用的系统接口进行汇编指令级别的转译和分片处理，得到转译和分片处理后的目标系统接口；将所述每个沙盒对应的所述目标系统接口和所述系统接口关联存储至该沙盒的系统接口库中。

在一个实施例中，所述调用所述目标沙盒对所述待测软件进行符号执行分析，以得到所述待测软件的功能的等价执行路径的具体实施方式为：

在调用所述目标沙盒对所述待测软件进行符号执行分析时，检测执行所述符号分析得到的功能的当前执行路径是否执行至调用所述目标沙盒的系统接口库中的任一所述系统接口；

若执行所述符号分析得到的功能的当前执行路径执行至所述任一系统接口，则结束所述功能的当前执行路径，并生成所述功能的当前执行路径对应的等价执行路径。

在一个实施例中，所述调用所述目标沙盒动态执行目标等价执行路径的具体实施方式为：

将所述目标等价执行路径对应的输入值数组输入所述目标沙盒的样本程序中，得到所述目标等价执行路径的执行流；

根据所述目标沙盒中预设的跳转指令对所述执行流进行切片处理，得到一个或者多个执行流片段；