一种木马随机化行为的识别方法及系统与流程
本发明涉及计算机安全技术领域,更具体地涉及一种木马随机化行为的识别方法及系统。
背景技术:
木马指通过特定程序恶意控制另一台计算机。木马通常有两个可执行程序,一是控制端,另一个是被控制端。木马不经计算机用户允许就可获得计算机的控制权。具有较高的隐蔽性,长期获得的计算机控制权及用户敏感信息。
恶意代码分析师通过研究木马的行为,得到检测木马的特征,比如木马驻留的文件路径、木马使用的启动项,木马文件名等。杀毒软件可以利用这些特征检测系统是否存在木马程序。因此,木马程序为了增强其隐蔽性,提高被检测难度,将一些可做特征且修改不会影响运行的内容,比如,文件名、服务名、自启动键值等,利用随机算法在运行时生成。这些随机化行为,将会影响恶意代码分析师特征提取的准确性,在自动化提取特征时也成为干扰。
现今,对于木马随机化行为识别,主要依靠人工逆向分析发现,这种方式产出效率低,发现不及时,无法处理大量的样本文件。
技术实现要素:
为了解决直接连接网络或通过虚拟网络通讯方式的恶意代码流量特征采集方法产生的威胁和低效率的技术问题,提供了根据本发明的基于模拟网络环境的恶意代码流量特征采集系统及方法。
根据本发明的第一方面,提供了一种木马随机化行为的识别方法。该方法包括:运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,所述注册表信息包括键值路径、键值名称、键值数据。
在一些实施例中,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
根据本发明的第二方面,提供一种木马随机化行为的识别系统,包括:第一运行模块,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;第二运行模块,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;判断模块,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,所述注册表信息包括键值路径、键值名称、键值数据。
在一些实施例中,所述判断模块,用于对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
通过使用本发明的系统和方法,在相同系统环境下,两次运行样本文件,记录样本文件运行后生成文件的名称、文件内容hash、注册表键值(注册表键值信息包括键值路径、键值名称、键值数据)等行为信息,将两份行为信息进行对比判断,识别出木马随机化行为,既可以规避随机命名进入特征,同时关键信息随机化作为一种具有威胁的行为也可以作为识别木马的一种行为。对需要人工才能够发现的木马随机化行为实现了自动化识别,可以批量地、及时地发现木马随机化行为。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种木马随机化行为的识别方法的流程图;
图2为根据本发明实施例的一种木马随机化行为的识别系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明基于比较法,实现木马随机化行为识别。由于恶意代码在执行过程中,可以使用一些随机数算法,随机生成文件名或服务名等。每次恶意代码运行,产生的文件名或服务名都不一样。因此,需要运行系统进程监视,对系统中的任何文件操作过程及注册表的读写操作过程进行监视,并产生监视日志,同时还需要计算hash的工具,对产生的新文件进行hash值的计算。
图1示出了根据本发明实施例的一种木马随机化行为的识别方法的流程图。如图1所示,方法包括如下步骤:
S110,第一次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1。
其中,第一次运行样本文件,通过系统进程监视软件产生的动态行为日志,记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息1。然后,恢复系统初始状态,重新运行系统进程监视软件。
由于恶意代码在执行过程中,可以使用一些随机数算法,随机生成文件名或服务名等。每次恶意代码运行,产生的文件名或服务名都不一样。
S120,第二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2。
其中,第二次运行样本文件,通过系统进程监视软件产生的动态行为日志,记录运行样本后生成文件的名称、文件内容hash、注册表信息等行为信息2。
注册表信息包括键值路径、键值名称、键值数据等项。其中,部分注册表信息表示系统服务的相关信息,包括服务名,服务启动方式等,部分注册表信息还表示自启动项的相关信息。
S130,对比两次运行记录的行为信息。
其中,可以通过记录样本两次执行产生的行为信息,比较记录的信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,以发现木马随机化行为。
S140,如果两次运行记录中文件内容hash一致,文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
S150,如果两次运行记录中文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
具体的,对比两次的文件名或注册表变化项目的比例,如果发现开始长度3之间部分相同,则发现部分随机化行为。比如第一次生成的文件名为hra33.dll ,第二次生成的文件名为hra456.dll,然后进行对比,发现从开头有3个字符以上(包括三个字符)的相同,剩余的字符不同,则发现部分随机化文件名。
在一些实施例中,还包括:
S160,如果两次运行记录中注册表信息的键值路径和键值数据一致,键值名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:切换系统环境包括硬盘序列号、用户名、计算机环境运行木马,记录上述相同信息,如果发现变化则发现具有系统信息依赖的随机化行为。
图2为根据本发明实施例的一种木马随机化行为的识别系统的框图。如图2所述,系统可以包括:第一运行模块210、第二运行模块220、判断模块230。
第一运行模块210,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1。
第二运行模块220,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2。
其中,注册表信息包括键值路径、键值名称、键值数据等。部分注册表信息表示系统服务的相关信息,包括服务名,服务启动方式等,部分注册表信息还表示自启动项的相关信息。
判断模块230,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果文件内容hash一致,文件名称不同,则确定行为信息2对应行为为随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
在一些实施例中,还包括:
判断模块230,用于对比两次记录的行为信息,如果注册表信息的键值路径和键值数据一致,键值名称不同,则确定行为信息2对应行为为随机行为。
本发明通过两次运行样本文件,记录样本文件运行并得到两份行为信息,将其进行对比判断,识别出木马随机化行为。对需要人工才能够发现的木马随机化行为实现了自动化,可以批量地、及时地发现木马随机化行为。通过该种方法可发现包括木马使用随机文件名创建副本、利用随机服务名注册系统服务、自启动项,对于发现新的随机化行为具有良好的效果。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。
- 还没有人留言评论。精彩留言会获得点赞!