[发明专利]基于环境重构的恶意代码完整性分析方法

摘要

本发明提供一种基于环境重构的恶意代码完整性分析方法，通过使用合理的分析策略提取恶意代码执行过程中所需的环境数据，以此为基础进行恶意代码执行环境的动态构建，将恶意代码置入动态构建的环境中进行分析，从而获得较为完整的行为信息。利用本发明可以有效解决多路径分析中存在的问题，实现恶意代码完整性分析。相比于传统分析方法可以更为合理的实现关键路径的触发，获取准确的行为特征。

主权项

一种基于环境重构的恶意代码完整性分析方法，其特征在于，使用动态二进制分析平台Pin和反编译工具IDA获取恶意代码执行过程中感知寻找的环境信息，并以获取的环境信息为基础进行恶意代码最佳执行环境的构建，最后将恶意代码投入动态构建的环境中运行实现完整性分析；采用粗粒度环境数据提取与细粒度敏感环境识别相结合的方式，共同确定恶意代码隐藏行为触发所需要的执行环境，其具体执行步骤如下：步骤一：恶意代码输入，开始进行行为完整性分析，分别执行步骤二和步骤八；步骤二：使用动态分析方法提取恶意代码执行过程中使用的字符串型环境数据，并对使用字符串的函数类型进行判别确定字符串环境类型，同时对恶意代码进行脱壳处理；步骤三：使用静态分析方法提取脱壳代码中的静态字符串信息，并对各字符串的引用位置及方式进行分析确定字符串环境类型；步骤四：整合步骤二和步骤三中提取出的环境数据填充环境数据提取信息库；步骤五：使用决策树分析环境数据提取信息库中环境类型为其它的数据，确定数据的环境类型；步骤六：对环境数据提取信息库中的数据进行冗余删减、负面数据去除处理，获得构建环境所需的最终数据；步骤七：使用步骤六中获得的数据从预先搭建的虚拟机镜像群中选择合适镜像，作为恶意代码基础执行环境，转步骤十三；步骤八：采用基于动态二进制分析平台Pin的数据流跟踪程序，跟踪记录环境敏感数据的传播过程；步骤九：判断分支点是否属于环境敏感分支点，如果是，则提取分支靶项并执行下一步操作；否则继续跟踪程序执行；步骤十：执行分支靶项回溯，获取与之对应的环境敏感API函数规则；步骤十一：解析API模式规则提取靶项类型信息，如果靶项类型为二元靶项，则确定强制修改分支条件取值的位置与方式；如果靶项类型为三元靶项，则获取需要添加的环境数据；步骤十二：继续跟踪程序执行流程，判断程序是否结束，如果程序结束，则执行步骤十三；如果遇到分支点，转步骤九；步骤十三：使用步骤十一中获取的环境数据与配置文件完善步骤七中构建的基础环境，获得恶意代码最佳执行环境；步骤十四： 将恶意代码置入步骤十三中构建的执行环境，启动恶意代码行为分析；步骤十五：解析分析结果，获得恶意代码完整性分析结果。