[发明专利]一种恶意软件感染后宿主软件中恶意代码识别方法

摘要

一种恶意软件感染后宿主软件中恶意代码识别方法。首先，使用递归下降反汇编方法获得宿主软件的反汇编代码，其中需要获得机器指令对应的反汇编代码、代码中出现的各种引用信息和导入表函数信息；然后，根据引用情况确定代码序列之间的断点，并将两个断点之间的代码序列构成一个代码块；接着根据相邻代码块之间的关系进行合并；并且，根据对导入表函数使用情况寻找最长的未使用导入表函数的代码块序列；最后根据恶意代码与宿主软件代码之间的调用关系确定恶意代码的起始软件块和结束软件块，这样就最终获得所需要的恶意代码序列。该方法可以作为宿主软件中恶意代码识别的通用方法，为进一步的软件复原提供具体的代码位置信息。

主权项

1.一种恶意软件感染后宿主软件中恶意代码识别方法，其特征是：包括以下步骤：1.1)递归下降反汇编方法获得宿主软件的反汇编代码：递归下降的方法是根据二进制软件中机器代码执行的控制流对软件进行反汇编，在反汇编过程中能够识别一部分结构完整的函数以及系统定义的导入表函数；1.2)根据引用情况确定代码序列之间的断点：根据反汇编代码中的跳转指令和调用指令，确定发生代码引用和数据引用的位置，以及被引用的位置，这些位置可以作为断点；1.3)根据相邻BasicBlock之间的关系进行合并：当两个相邻Basicblock满足一定关系时，可以对其合并，合并的结果就是去掉它们之间的断点，将两个反汇编代码序列按地址顺序合并成一个；1.4)确定包含注入恶意代码的BasicBlock序列；1.5)确定恶意代码的边界：通过寻找由注入恶意代码组成的BasicBlock序列的头部和尾部确定恶意代码构成BasicBlock的序列，这些序列中的所有代码就是本方法所求得的结果；所述步骤1.2)中对软件反汇编代码分块的步骤如下：2.1)具体而言，操作符为“jmp”、“call”和“retn”的指令，这些指令一定能引起控制流的转移，这些指令之后的一条指令作为断点；发生代码引用的位置，即“jmp”或“call”的跳转目标地址指令作为断点；发生数据引用的位置，即软件其他位置的代码对该地址或地址中的数据进行数据引用时，该地址的指令作为断点，相邻断点之间的断点之间指令序列形成一个基本块，用BasicBlock表示，断点处的指令作为BasicBlock的第一条指令，地址是BasicBlock的起始地址；所述步骤1.3)根据相邻BasicBlock之间的关系进行合并的步骤如下：3.1)当两个相邻Basicblock至少满足以下四个条件之一时，可以对其合并，合并的结果就是去掉它们之间的断点，将两个反汇编代码序列按地址顺序合并成一个：(1)位置相邻的BasicBlock，如果并非由外部引用或跳转函数外部指令引起的分割，可以将其合并；(2)相邻BasicBlock之间因为对外部引用造成分割时，如果低地址存在引用高地址时，两者可以合并；(3)相邻BasicBlock存在相互引用时可以合并；(4)与相同BasicBlock相互引用时可以合并；所述步骤1.4)确定包含注入恶意代码的BasicBlock序列的步骤如下：4.1)首先标注BasicBlock中包含除了GetProcAddress和LoadLibrary两个函数之外的导入表函数的情况；然后寻找所有包含导入表函数数量为0的连续BasicBlock，并用n‑grams F_BasicBlock表示；将长度最大的n‑grams F_BasicBlock作为包含注入代码的BasicBlock序列。