1.一种木马随机化行为的识别方法,其特征在于,包括:
运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;
二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;
对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
2.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
3.根据权利要求1所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
4.根据权利要求1所述的方法,其特征在于,所述注册表信息包括键值路径、键值名称、键值数据。
5.根据权利要求4所述的方法,其特征在于,所述对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为,包括:
对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。
6.一种木马随机化行为的识别系统,其特征在于,包括:
第一运行模块,用于运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息1;
第二运行模块,用于二次运行样本文件,记录运行后生成文件的包括文件名称、文件内容hash、文件注册表信息,产生行为信息2;
判断模块,用于对比两次运行记录的行为信息,基于不一致的判断结果,确定行为信息2对应行为为随机行为。
7.根据权利要求6所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果所述文件内容hash一致,所述文件名称不同,则确定行为信息2对应行为为随机行为。
8.根据权利要求6所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果文件名称或注册表信息中的名称开始部分有设定长度的相同,则确定行为信息2对应行为为部分随机行为。
9.根据权利要求6所述的系统,其特征在于,所述注册表信息包括键值路径、键值名称、键值数据。
10.根据权利要求9所述的系统,其特征在于,所述判断模块,用于对比两次记录的行为信息,如果所述注册表信息的键值路径和键值数据一致,所述键值名称不同,则确定行为信息2对应行为为随机行为。