[发明专利]通过静态分析检测后门代码的方法

权利要求书

1.一种通过静态分析检测后门代码的方法，其特征在于，所述方法包括：

检测设备在待测代码中检测预设特定函数所在的目标代码段；

所述检测设备跟踪所述目标代码段的数据流传递路径；

所述检测设备获取预设的后门代码判断条件，所述后门代码判断条件至少包括：系统层面操作或数据输出操作；

若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码；

所述检测设备根据所述目标代码段的数据流传递路径，定位并显示所述后门代码的具体位置；

其中，检测设备在待测代码中检测预设特定函数所在的目标代码段之前，还包括：

所述检测设备获取样本后门代码；

所述检测设备提取后门代码中所存在的函数，统计后门代码中的函数出现频率；

所述检测设备将所述函数出现频率大于预设值的函数设定为特定函数。

2.根据权利要求1所述的通过静态分析检测后门代码的方法，其特征在于，所述检测设备跟踪所述目标代码段的数据流传递路径，包括：

所述检测设备建立所述待测代码的代码抽象树模型；

所述检测设备通过所述代码抽象树模型跟踪所述目标代码段的数据流传递路径。

3.根据权利要求1所述的通过静态分析检测后门代码，其特征在于，若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码，包括：

若检测到所述目标代码段中同时存在通信链接的建立操作和系统命令的执行操作，所述检测设备则判断所述目标代码中存在后门代码。

4.根据权利要求3所述的通过静态分析检测后门代码，其特征在于，若所述目标代码段的数据流传递路径存在系统层面操作或数据输出操作，所述检测设备则确定所述目标代码段中存在后门代码，包括：

所述检测设备通过代码抽象树模型检测所述数据输出地址是否为预设的授权地址；

若是授权地址，所述检测设备则重新判断目标代码段中不存在后门代码；

若不是授权地址，所述检测设备则确定目标代码段中存在后门代码。

5.根据权利要求4所述的通过静态分析检测后门代码的方法，其特征在于，所述方法还包括：

所述检测设备根据所述授权地址建立授权地址列表；

所述检测设备接收携带有目标数据输出地址的授权指令，在授权地址列表添加所述目标数据输出地址。

6.根据权利要求1所述的通过静态分析检测后门代码的方法，其特征在于，所述检测设备根据所述目标代码段的数据流传递路径，定位并显示所述后门代码的具体位置，包括：

所述检测设备根据所述目标代码段的数据流传递路径，确定数据流的起始输入端和最终输出端；

所述检测设备确认所述待测代码中起始输入端到最终输出端所包括的代码段均为后门代码；

所述检测设备显示所述待测代码中所述起始输入端和所述最终输出端所在的行数。

7.一种通过静态分析检测后门代码的装置，其特征在于，所述装置包括：

第一检测模块，用于检测待测代码中预设特定函数所在的目标代码段；

数据流模块，用于跟踪所述目标代码段的数据流传递路径；

判断模块，用于获取预设的后门代码判断条件，所述后门代码判断条件至少包括：系统层面操作或数据输出操作；

第二检测模块，用于检测目标代码段的数据流传递路径若存在系统层面操作或数据输出操作，则确定所述目标代码段中存在后门代码；

定位模块，根据目标代码段的数据流传递路径，定位并显示所述后门代码的具体位置；

其中，所述第一检测模块在待测代码中检测预设特定函数所在的目标代码段之前，还用于：

获取样本后门代码；

提取后门代码中所存在的函数，统计后门代码中的函数出现频率；

将所述函数出现频率大于预设值的函数设定为特定函数。