技术特征:
技术总结
本发明提供一种针对动态链接库形式的恶意代码的动态分析方法。其步骤如下:解析配置文件,判断配置文件中是否包含动态链接库的导出函数名表以及各导出函数对应的参数表;如是,则对该动态链接库的各导出函数进行遍历调用;如否,则载入该动态链接库,解析该动态链接库的结构,遍历获得其导出函数表,并模拟各导出函数对应的参数表后;再对各导出函数遍历调用;分析前述函数调用运行过程中是否有恶意攻击行为。在调用导出函数所需参数形式未知时,可以模拟导出函数所需的参数,从而完成对导出函数的调用,能够完成对未知动态链接库形式的可执行代码的动态分析。通过参数模拟减少大量的人工分析干预各未知参数的时间,从而节约了人力成本。
技术研发人员:闫佳;应凌云;聂眉宁;苏璞睿
受保护的技术使用者:中国科学院软件研究所
技术研发日:2017.04.21
技术公布日:2017.10.20