惡意程序動態行為自動化分析系統與方法

2023-09-17 06:31:10 1

專利名稱：惡意程序動態行為自動化分析系統與方法
技術領域：
本發明涉及惡意程序動態行為自動化分析系統與方法，屬於系統安全和網絡安全相關領 域。本發明用於對未知惡意程序動態行為的粗粒度分析。
技術背景未知二進位程序的動態行為分析是一項挑戰性的任務，它將提供對構建未知軟體的核心 結構、功能藍圖需要的關鍵信息。當前有關未知二進位程序分析的研究大都為手動分析方法。未知二進位程序的手動分析通過人工的調試追蹤來發現程序內部的功能，這對分析人員 的經驗和能力有很高的要求，在通常情況下的分析結果均不完善。隨著惡意程序的不斷改進， 功能也更加複雜，伴隨著代碼的急劇增加。這給傳統的手動分析帶來了巨大的挑戰。同時， 傳統的人工調試技術對惡意二進位程序的分析面臨很多困難，其中最主要的就是無法完全掌 握程序的執行控制流範圍，使得惡意程序的很多代碼都是在調試器無法追蹤的情況下執行的。因此，當前迫切需要一種新的自動化且高效的二進位程序惡意行為自動化分析系統。該 自動化分析系統採用代碼虛擬執行環境，針對目標二進位代碼流進行切片與執行。不僅能完 全控制目標程序的運行指令，並且具有很高的性能和運行效率。同時，支持對進程/線程行為、 內存訪問行為、文件系統訪問行為、註冊表系統訪問行為和網絡訪問行為的有效分析，並提 供詳細的分析報告。 發明內容有鑑於此，本發明的目的是提供自動化的惡意程序動態行為分析系統和方法。目標是提 供一個的高效的分析平臺，它支持對惡意程序執行的完全監控，提供對進程、內存、文件、 註冊表、網絡等各類系統資源的惡意訪問行為。同時，針對大量的行為記錄，經過專業的分 析處理，得到詳細的分析報告，有助於提供針對惡意代碼的主動防禦與豐動卸載方法。為了達到上述目的，本發明提供了一種惡意程序動態行為自動化分析系統，其特徵在於 該引擎包括了下述組成部件-初始化部件惡意行為自動化分析系統首先在監控方式下啟動被分析的未知二進位程序， 並將虛擬執行部件遠程注入到目標二進位程序進程空間內，並初始化虛擬執行部件。同時， 加載行為監控部件，其中包含有默認的惡意行為規則庫。可通過用戶接口添加、刪除和修改 行為規則庫中的內容。反彙編部件虛擬執行系統獲取目標二進位程序的代碼流，由反彙編部件生成對應的匯 編代碼，逐條分析得到的彙編指令。虛擬執行部件將目標代碼流分解成多個指令集，以模擬 代碼流正常執行的方式執行基本塊中的每條指令，該過程實現局部代碼執行，而指令集則組 成了虛擬執行的基本塊。每個基本塊是沒有包含分支語句的指令序列，在滿足以下條件時結 束代碼流切片無條件控制轉移指令；條件控制轉移指令；指定數量的非控制轉移指令。反 彙編部件用於動態構建與目標代碼流相一致的虛擬執行基本塊。虛擬執行部件虛擬執行部件的結構組成包括基本塊生成模塊，基本塊緩存模塊，基 本塊預處理模塊和虛擬執行部件。基本塊生成模塊調用反彙編部件，對獲取的二進位代碼流 進行分析，生成不包含控制轉移指令的基本塊。這就使得目標代碼流的所有執行都能夠保持 在虛擬執行系統的控制範圍內。為提高運行效率進行相應的執行預處理，生成的基本塊經過 執行預處理後存放在基本塊緩存內。只有存在於基本塊緩存內的代碼指令才能執行，原始的 目標代碼流不能直接執行。基本塊預處理模塊為了提升系統的運行性能，採用了基本塊結合 技術和標準代碼忽略技術，以此減小運行時的延遲。行為監控部件惡意行為自動化分析系統針對虛擬執行部件生成的每個基本塊，判斷其 中是否存在有規則庫中的惡意行為指令。若不存在，則由虛擬執行部件虛擬執行各條指令。 若存在，則將控制權轉移給行為分析部件，由此記錄下該惡意行為，之後再將控制權返回給 虛擬執行部件。行為監控部件的惡意行為對象組成包括進程/線程行為模塊，內存空間訪問 行為模塊，文件系統訪問行為模塊，註冊表系統訪問行為模塊，網絡系統訪問行為模塊等。 進程/線程模塊包括了進程創建行為，進程結束行為，遠程線程創建行為，遠程線程結束行為， 進程懸掛行為，進程激活行為，線程懸掛行為，線程激活行為，進程優先級改變行為，以及 進程調試行為，動態連結庫加載行為，驅動程序加載行為等。內存空間訪問行為模塊包括直 接訪問物理內存行為，遠程進程內存空間訪問行為等。文件系統訪問行為模塊主要包括文件 的創建行為，刪除行為，修改行為等。註冊表系統訪問行為模塊主要包括註冊表的鍵和值的 創建行為，刪除行為和修改行為等。網絡系統訪問行為模塊包括遠程網絡的主動連接行為， 本地網絡的監聽行為等。行為分析部件惡意行為自動化分析系統根據記錄下的惡意行為，按照行為的作用範圍 和嚴重程度，對該未知二進位程序的惡意行為進行分析歸類。同時，提供針對該惡意程序有 效的防禦方法和手動卸載方法。為了達到上述目的，本發明還提供了一種惡意程序動態行為自動化分析方法，其特徵在 於該方法包括了下述操作步驟步驟(l)，.初始化部件啟動目標二進位程序；步驟(2)，初始化部件加載虛擬執行部件和行為監控部件；步驟(3)，反彙編部件獲取目標程序二進位代碼流的彙編指令
步驟(4)，虛擬執行部件切片生成相應的基本塊；步驟(5)，行為監控部件判斷基本塊內是否存在規則庫中的惡意行為； 步驟(6),,若存在惡意行為，將控制權轉移給行為分析部件，記錄該惡意行為； 步驟(7)，虛擬執行基本塊中的每條指令；步驟(8)，停止分析後，行為分析部件提交惡意行為分析報告。總之，本發明系統與方法的優點簡述如下自動化且高效的二進位程序惡意行為自動化 分析系統。該自動化分析系統採用代碼虛擬執行環境，針對目標二進位代碼流進行切片與執 行。不僅能完全控制目標程序的運行指令，並且具有很高的性能和運行效率。同時，支持對 進程/線程行為、內存訪問行為、文件系統訪問行為、註冊表系統訪問行為和網絡訪問行為的 有效分析，並提供詳細的分析報告。


圖1是本發明惡意程序動態行為自動化分析方法的流程圖。 圖2是本發明惡意程序動態行為自動化分析系統的總體結構框圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明作進一歩的詳細 描述。參見圖1，惡意程序動態行為自動化分析系統的初始化部件首先啟動待分析的未知二進 製程序，同時還將裝載虛擬執行部件和行為監控部件。虛擬執行部件將被裝載到目標的二進 製程序的進程空間，以實現對目標二進位程序代碼流執行的有效控制。行為監控部件包含了 默認的安全行為規則庫，用戶同樣可以訪問接口來處理這些規則，支持對規則的添加、刪除 和修改操作。初始化完成以後，二進位程序便進入了執行狀態。虛擬執行部件獲取目標二進位程序的 代碼流，並通過反彙編部件將二進位代碼流轉換成可識別的彙編代碼。針對得到的彙編代碼， 根據代碼切片的原則生成長度在一定範圍之內的，且不包含有控制流轉移指令的基本塊。每 個基本塊都保存在虛擬執行部件內部的緩存內。行為監控部件根據得到的每個基本塊，判斷其中是否存在與惡意行為規則庫中匹配的指 令。如果存在，則將當前控制權轉移給行為分析部件，記錄該惡意行為，之後將控制權返回 給虛擬執行部件。無論行為監控部件是否發現有惡意行為，所有的基本塊都會在虛擬執行部 件內執行。目標二進位程序停止運行，或自動化分析系統停止分析後，行為分析部件將整理得到的 行為記錄，並由此提供相應的防護措施，以文本的形式提交給用戶。
圖2為惡意程序動態行為自動化分析系統的總體結構框圖。下面將結合附圖2，具體介 紹本發明的各個組成部件 反彙編部件反彙編部件分析虛擬執行系統獲取目標二進位程序的代碼流，生成對應的每一條彙編指 令，逐條分析得到的彙編指令。當遇到控制轉移指令，或基本塊的累計指令數目超出用戶定 義的範圍時，設置為該基本塊的結束。反彙編部件用於動態構建與目標代碼流相一致的虛擬 執行基本塊。虛擬執行部件將目標代碼流分解成多個指令集，以模擬代碼流正常執行的方式執行基本 塊中的指令。這個過程稱之為局部執行，而指令集被稱為基本塊。 一個基本塊是沒有包含分 支的指令序列，在滿足以下條件發生時結束代碼流切片(1) 無條件控制轉移指令；(2) 條件控制轉移指令；(3) 規定數量的非控制轉移指令。 虛擬執行部件，虛擬執行部件將切片生成的基本塊放如虛擬執行部件內部的緩存，並進行相應的執行預 處理，目的是為了提高虛擬執行的性能。只有存在於虛擬執行部件緩存中的基本塊才能被執 行，原始的代碼流是不能被執行的。局部執行開始於目標二進位程序的執行入口地址。虛擬執行部件在忽略目標代碼流執行 優先級的情況下，以無優先級模式運行單獨的基本塊。這將確保代碼切片虛擬執行系統對執 行的指令有完全的控制權、虛擬執行系統可以監視任何對指定內存區域的訪問作業系統內 核、資源和動態連結庫等。代碼切片虛擬執行系統採用虛擬內存機制結合巧妙的技術來監控 內存訪問。在虛擬執行部件中不使用任何特定的作業系統函數。虛擬執行系統使用的反彙編器是完 全重用的。構架系統為每個線程維持了一個針對基本塊結束標誌的參數信息塊，它不會破壞 執行堆棧。這些特性使得虛擬執行系統支持多線程環境。無論基本塊結束標誌是否存在，執 行線程的寄存器看起來都是沒有差異的。基本塊結束標誌支持進程或作業系統內核的自動線 程監視。這是一個自動將目標進程中代碼流切片的特性。 行為監控部件惡意行為自動化分析系統針對虛擬執行部件生成的每個基本塊，判斷其中是否存在有規 則庫中的惡意行為指令。若不存在，則由虛擬執行部件虛擬執行各條指令。若存在，則將控 制權轉移給行為分析部件，由此記錄下該惡意行為，之後再將控制權返回給虛擬執行部件。
行為監控部件的惡意行為對象組成包括進程/線程行為模塊，內存空間訪問行為模塊，文件 系統訪問行為模塊，註冊表系統訪問行為模塊，網絡系統訪問行為模塊等。進程/線程模塊包 括了進程創建行為，進程結束行為，遠程線程創建行為，遠程線程結束行為，進程懸掛行為， 進程激活行為，線程懸掛行為，線程激活行為，進程優先級改變行為，以及進程調試行為， 動態連結庫加載行為，驅動程序加載行為等。內存空間訪問行為模塊包括直接訪問物理內存 行為，遠程進程內存空間訪問行為等。文件系統訪問行為模塊主要包括文件的創建行為，刪 除行為，修改行為等。註冊表系統訪問行為模塊主要包括註冊表的鍵和值的創建行為，刪除 行為和修改行為等。網絡系統訪問行為模塊包括遠程網絡的主動連接行為，本地網絡的監聽 行為等。 行為分析部件惡意行.為自動化分析系統根據記錄下的惡意行為，按照行為的作用範圍和嚴重程度，對 該未知二進位程序的惡意行為進行分析歸類。同時，提供針對該惡意程序有效的防禦方法和 手動卸載方法。行為分析部件的分析報告包含了未知二進位程序文件的基本信息、進程/線程 信息、內存信息、文件信息、註冊表信息、網絡信息和模塊信息。基本信息包括未知二進位程序的文件大小，創建日期，模塊信息，PE文件信息等。進程/ 線程信息包含了該二進位程序在運行過程中創建的新進程/線程，結束的進程/線程，訪問的 遠程進程/線程等。內存信息針對一些特殊內存區域的訪問，如物理內存直接訪問行為，作業系統核心關鍵 內存區域的訪問行為等。文件信息則主要是包括了對系統目錄文件的訪問，如創建隱蔽的文件於系統目錄之中， 或是修改系統目錄下的關鍵文件信息。還包括惡意程序創建的所有新文件、修改或移動過的 文件等。註冊表信息主要是包含了與自啟動相關的註冊表項和鍵值的修改、創建等，因為惡意程 序往往通過修改註冊表來使得系統重新啟動後仍然能夠繼續執行惡意程序副本。網絡信息主要包括與外界的通信情況，包括遠程訪問的網絡地址，本地監聽的網絡埠， 以及傳輸的網絡信息內容。還包括一些上層應用的網絡信息，如遠程埠掃描行為，枚舉郵 件列表中的所有地址以發送郵件，訪問網上鄰居等行為。模塊信息包含了對動態連結庫文件和驅動文件加載行為和卸載行為的記錄。為了隱藏進程，惡意程序往往會以動態連結庫的形式將執行代碼駐入到遠程進程空間裡面，最後在作業系統中存在的就是已知進程執行了惡意程序在動態連結庫中的代碼，未產生新的進程。為了提升權限，惡意代碼往往會加載驅動程序，使得有訪問作業系統內核的能力。
手動卸載信息包括惡意代碼運行時存在的進程和線程，首先需要結束這些存在的動態進 程/線程。動態加載的動態連結庫和驅動程序文件，也需要動態卸載。之後，在系統中存在的 將包含一些永久性信息，如創建的文件、修改過的文件，以及在註冊表中創建、修改過的信 息。註冊表的所有信息也是以文件的方式保存在作業系統中的。
權利要求
1、惡意程序動態行為自動化分析系統，其特徵在於包括如下組成部件初始化部件惡意行為自動化分析系統首先在監控方式下啟動被分析的未知二進位程序，並將虛擬執行部件遠程注入到目標二進位程序進程空間內，並初始化虛擬執行部件。同時，加載行為監控部件，其中包含有默認的惡意行為規則庫。可通過用戶接口添加、刪除和修改行為規則庫中的內容。反彙編部件惡意行為自動化分析系統獲取目標二進位程序的代碼流，由反彙編部件生成對應的彙編代碼，逐條分析得到的彙編指令。反彙編部件用於動態構建與目標代碼流相一致的彙編指令流。虛擬執行部件惡意行為自動化分析系統針對反彙編部件生成的目標程序彙編指令流，當遇到控制轉移指令，或基本塊的累計指令數目超出用戶定義的範圍時，設置為該基本塊的結束。同時，虛擬執行部件以虛擬執行的方式執行基本塊中的每條指令。行為監控部件惡意行為自動化分析系統針對虛擬執行部件生成的每個基本塊，判斷其中是否存在有規則庫中的惡意行為指令。若不存在，則由虛擬執行部件虛擬執行各條指令。若存在，將控制權轉移給行為分析部件，記錄下該惡意行為，之後將控制權返回給虛擬執行部件。行為分析部件惡意行為自動化分析系統根據記錄下的惡意行為，按照行為的作用範圍和嚴重程度，對該未知二進位程序的惡意行為進行分析歸類。同時，提供針對該惡意程序有效的防禦方法和手動卸載方法。
2、 根據權利要求1所述的惡意程序動態行為自動化分析系統，其特徵在於虛擬執行 部件的結構組成包括基本塊生成模塊，基本塊緩存模塊，基本塊預處理模塊和虛擬執行模 塊。基本塊生成模塊調用反彙編部件，對獲取的二進位代碼流進行分析，生成不包含控制轉 移指令的基本塊。這就使得目標代碼流的所有執行都能夠保持在虛擬執行系統的控制範圍內。 生成的基本塊存放在基本塊緩存內後，經過執行預處理條運行效率。只有存在於基本塊緩存內的代碼指令才能執行，原始的目標代碼流不能直接執行。基本塊預處理模塊為了提升系統 的運行性能，採用了基本塊結合技術和標準代碼忽略技術，以此減小運行時的延遲。
3、 根據權利要求1所述的惡意程序動態行為自動化分析系統，其特徵在於行為監控部件的惡意行為對象組成包括進程/線程行為模塊，內存空間訪問行為模塊，文件系統訪問行為模塊，註冊表系統訪問行為模塊，網絡系統訪問行為模塊等。進程/線程模塊包括了進程創建行為，進程結束行為，遠程線程創建行為，遠程線程結束行為，進程懸掛行為，進程激活行為，線程懸掛行為，線程激活行為，進程優先級改變行為，以及進程調試行為，動態連結庫加載行為，.驅動程序加載行為等。內存空間訪問行為模塊包括直接訪問物理內存行為， 遠程進程內存空間訪問行為等。文件系統訪問行為模塊主要包括文件的創建行為，刪除行為， 修改行為等。註冊表系統訪問行為模塊主要包括註冊表的鍵和值的創建行為，刪除行為和修 改行為等。網絡系統訪問行為模塊包括遠程網絡的主動連接行為，本地網絡的監聽行為等。
4、 根據權利要求l所述的惡意程序動態行為自動化分析方法，其特徵在於 步驟(l)，初始化部件啟動目標二進位程序；步驟(2)，加載虛擬執行部件和行為監控部件；步驟(3)，反彙編部件獲取目標程序二進位代碼流的彙編指令；步驟(4)，虛擬執行部件切片生成相應的基本塊；步驟(5)，行為監控部件判斷基本塊內是否存在規則庫中的惡意行為； 歩驟(6)，若存在惡意行為，將控制權轉移給行為分析部件，記錄該惡意行為； 步驟(7)，虛擬執行基本塊中的每條指令；歩驟(8)，停止分析後，行為分析部件提交惡意行為分析報告。
5、 根據權利要求4所述的惡意程序動態行為自動化分析方法，其特徵在於虛擬執行 部件將目標代碼流分解成多個指令集，以模擬代碼流正常執行的方式執行基本塊中的每條指 令，該過程實現代碼的局部執行，而指令集則組成了虛擬執行的基本塊。每個基本塊是沒有 包含分支語句的指令序列，在滿足以下條件發生時結束代碼流切片無條件控制轉移指令； 條件控制轉移指令；規定數量的非控制轉移指令集。
全文摘要
本發明涉及惡意二進位程序動態行為的自動化分析系統與方法。該系統由初始化部件、虛擬執行部件、反彙編部件、行為監控部件和行為分析部件組成。該方法是初始化部件啟動被監視程序，加載虛擬執行部件和行為監控部件。反彙編部件獲取目標程序二進位代碼流的彙編指令，虛擬執行部件切片生成相應的基本塊，行為監控部件判斷基本塊內是否存在規則庫中的惡意行為。若存在，將控制權轉移給行為分析部件，記錄該惡意行為。返回後虛擬執行基本塊中的每條指令。程序執行退出或用戶強行中止分析後，行為分析部件提交惡意行為分析報告。本發明支持在虛擬環境中對惡意程序運行行為的完全控制與分析，詳細報告將提供針對惡意程序的有效防禦方法。
文檔編號G06F21/00GK101154258SQ20071004975
公開日2008年4月2日 申請日期2007年8月14日 優先權日2007年8月14日
發明者勝 徐, 躍 曹, 李毅超, 曉 梁, 沾 黃 申請人:電子科技大學