日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種基于pdb調(diào)試信息的惡意代碼分析方法及系統(tǒng)的制作方法

文檔序號(hào):9727674閱讀:619來(lái)源:國(guó)知局
一種基于pdb調(diào)試信息的惡意代碼分析方法及系統(tǒng)的制作方法
【專利說(shuō)明】一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)。
【背景技術(shù)】
[0003]惡意代碼中會(huì)包含生成過(guò)程中產(chǎn)生的調(diào)試信息,以PDB文件形式存在。程序數(shù)據(jù)庫(kù)(PDB)文件保存著調(diào)試以及樣本狀態(tài)等信息,根據(jù)從PE文件中提取的調(diào)試路徑分析樣本,獲得一些有價(jià)值的信息,如用戶名、樣本路徑、樣本名稱等,有助于對(duì)惡意樣本的進(jìn)一步分析提供線索。
[0004]調(diào)試信息通常獨(dú)立于PE程序存儲(chǔ),通常存儲(chǔ)為PDB或DBG文件。程序數(shù)據(jù)庫(kù)(TOB)文件保存著應(yīng)用程序二進(jìn)制文件的調(diào)試和項(xiàng)目狀態(tài)信息,記錄了所有的變量、主信息表的相對(duì)位置及大小,這些表可保存資源、導(dǎo)入、導(dǎo)出、重定位、調(diào)試、線程本地存儲(chǔ)及COM運(yùn)行時(shí)的有關(guān)信息。調(diào)試信息會(huì)幫助調(diào)試者分析被調(diào)試程序的內(nèi)部布局,當(dāng)程序重新編譯時(shí),調(diào)試信息可以正確的反映出變量和函數(shù)的修改,使用這些信息可以對(duì)程序的調(diào)試配置進(jìn)行增量鏈接。

【發(fā)明內(nèi)容】

[0005]本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng),通過(guò)獲取惡意樣本的PDB信息,并進(jìn)行拆分處理后得到黑樣本庫(kù),從而輔助惡意代碼的深入檢測(cè)和分析。
[0006]本發(fā)明采用如下方法來(lái)實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析方法,包括: 提取惡意樣本的PDB彳目息;
拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫(kù);
利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù);
輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析。
[0007]進(jìn)一步地,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
[0008]進(jìn)一步地,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
[0009]進(jìn)一步地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大??;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
[0010]進(jìn)一步地,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑、家族名、程序名或者作者。
[0011]本發(fā)明采用如下系統(tǒng)來(lái)實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng),包括: PDB信息提取模塊,用于提取惡意樣本的PDB信息;
統(tǒng)計(jì)信息獲取模塊,用于拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
白樣本庫(kù)生成模塊,用于提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫(kù);
黑樣本庫(kù)生成模塊,用于利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù); 輸出模塊,用于輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析。
[0012]進(jìn)一步地,所述PDB信息提取模塊具體用于:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
[0013]進(jìn)一步地,所述基于已知樣本的PE文件結(jié)構(gòu)提取roB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
[0014]進(jìn)一步地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大?。换谡{(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
[0015]進(jìn)一步地,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑、家族名、程序名或者作者。
[0016]綜上所述,本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng),本發(fā)明所提供的技術(shù)方案,首先,提取惡意樣本的PDB信息,并對(duì)所述PDB信息進(jìn)行拆分,獲取統(tǒng)計(jì)信息;基于已知常用的操作系統(tǒng)和常用軟件的PDB信息,進(jìn)行拆分后生成白樣本庫(kù);將獲取的統(tǒng)計(jì)信息基于白樣本庫(kù)進(jìn)行過(guò)濾后,生成黑樣本庫(kù);所述白樣本庫(kù)和黑樣本庫(kù)將用于輔助惡意代碼樣本的檢測(cè)和深入分析。
[0017]本發(fā)明的有益效果為:本發(fā)明的技術(shù)方案通過(guò)提取與惡意樣本相關(guān)的調(diào)試信息,從而獲取環(huán)境信息、病毒文件名、作者等信息,基于大量的惡意樣本的PDB信息做關(guān)聯(lián)分析,從而獲取病毒家族或者病毒樣本間的關(guān)聯(lián)信息,有利于更加深入的分析惡意代碼。
【附圖說(shuō)明】
[0018]為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0019]圖1為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例流程圖; 圖2為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng)實(shí)施例結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0020]本發(fā)明給出了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)的實(shí)施例,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明:
本發(fā)明首先提供了一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例,如圖1所示,包括:
S101提取惡意樣本的PDB信息;
S102拆分所述PDB信息,獲取相關(guān)的統(tǒng)計(jì)信息;
S103提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫(kù); 其中,所述常用操作系統(tǒng)包括:windows xp、windows 7、linux等常用的操作系統(tǒng); S104利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù);
其中,所述過(guò)濾方式可以為:利用pdb全路徑或者推斷程序名為基準(zhǔn)進(jìn)行過(guò)濾;
S105輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析。
[0021]其中,所述白樣本庫(kù)和黑樣本庫(kù)的形式為,但不限于這一種形式:
Struct PDB_Black (或者 Struct PDB_ffHITE):
{
Pdb_name; //名稱或路徑 Number of samples;//樣本個(gè)數(shù) MD5 of samples;//樣本 MD5
}
“net1ugc.pdf”: {
“count”:9,
“md5”:[
“8cefae2396730128c0d88f97288e31e8d9b2365f”
“8cefae2396730128c0d88f97288e31e8d9b2365f”
“8cefae2396730128c0d88f97288e31e8d9b2365f”
]
優(yōu)選地,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息。
[0022]其中,所述基于未知樣本的totalhash提取PDB信息包括:采用網(wǎng)頁(yè)爬蟲(chóng)方式,根據(jù)MD5值從totalhash的pdb搜索結(jié)果中收集html報(bào)告,進(jìn)而抓取pdb信息及相關(guān)屬性。
[0023]優(yōu)選地,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息。
[0024]優(yōu)選地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 ;獲取調(diào)試目錄的虛擬地址和大??;基于調(diào)試目錄的虛擬地址,獲取調(diào)試目錄的物理地址。
[0025]其中,分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口,遍歷可選頭末尾的DataDirectory 成員;
進(jìn)而查
當(dāng)前第1頁(yè)1 2 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1