一種基于pdb調(diào)試信息的惡意代碼分析方法及系統(tǒng)的制作方法
【專利說(shuō)明】一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域�����,尤其涉及一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)�����。
【背景技術(shù)】
[0003]惡意代碼中會(huì)包含生成過(guò)程中產(chǎn)生的調(diào)試信息����,以PDB文件形式存在��。程序數(shù)據(jù)庫(kù)(PDB)文件保存著調(diào)試以及樣本狀態(tài)等信息,根據(jù)從PE文件中提取的調(diào)試路徑分析樣本�����,獲得一些有價(jià)值的信息�����,如用戶名��、樣本路徑����、樣本名稱等,有助于對(duì)惡意樣本的進(jìn)一步分析提供線索���。
[0004]調(diào)試信息通常獨(dú)立于PE程序存儲(chǔ)�,通常存儲(chǔ)為PDB或DBG文件���。程序數(shù)據(jù)庫(kù)(TOB)文件保存著應(yīng)用程序二進(jìn)制文件的調(diào)試和項(xiàng)目狀態(tài)信息�����,記錄了所有的變量���、主信息表的相對(duì)位置及大小��,這些表可保存資源����、導(dǎo)入�、導(dǎo)出、重定位��、調(diào)試���、線程本地存儲(chǔ)及COM運(yùn)行時(shí)的有關(guān)信息����。調(diào)試信息會(huì)幫助調(diào)試者分析被調(diào)試程序的內(nèi)部布局��,當(dāng)程序重新編譯時(shí)�,調(diào)試信息可以正確的反映出變量和函數(shù)的修改,使用這些信息可以對(duì)程序的調(diào)試配置進(jìn)行增量鏈接��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)���,通過(guò)獲取惡意樣本的PDB信息���,并進(jìn)行拆分處理后得到黑樣本庫(kù)�,從而輔助惡意代碼的深入檢測(cè)和分析��。
[0006]本發(fā)明采用如下方法來(lái)實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析方法�,包括: 提取惡意樣本的PDB彳目息��;
拆分所述PDB信息�,獲取相關(guān)的統(tǒng)計(jì)信息;
提取常用操作系統(tǒng)和常用軟件的PDB信息���,并拆分后生成白樣本庫(kù)�����;
利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù)�����;
輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析����。
[0007]進(jìn)一步地,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息���。
[0008]進(jìn)一步地�����,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu)��,獲取調(diào)試目錄地址�����;基于調(diào)試目錄查找PDB信息入口����,并獲取PDB信息���。
[0009]進(jìn)一步地�����,所述分析PE文件結(jié)構(gòu)����,獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口 �����;獲取調(diào)試目錄的虛擬地址和大?�?����;基于調(diào)試目錄的虛擬地址�,獲取調(diào)試目錄的物理地址�����。
[0010]進(jìn)一步地�,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑��、家族名、程序名或者作者。
[0011]本發(fā)明采用如下系統(tǒng)來(lái)實(shí)現(xiàn):一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng)����,包括: PDB信息提取模塊���,用于提取惡意樣本的PDB信息�;
統(tǒng)計(jì)信息獲取模塊�,用于拆分所述PDB信息����,獲取相關(guān)的統(tǒng)計(jì)信息;
白樣本庫(kù)生成模塊�,用于提取常用操作系統(tǒng)和常用軟件的PDB信息�����,并拆分后生成白樣本庫(kù);
黑樣本庫(kù)生成模塊�,用于利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù)��; 輸出模塊�,用于輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析。
[0012]進(jìn)一步地��,所述PDB信息提取模塊具體用于:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息�����。
[0013]進(jìn)一步地�����,所述基于已知樣本的PE文件結(jié)構(gòu)提取roB信息包括:分析PE文件結(jié)構(gòu)�,獲取調(diào)試目錄地址�����;基于調(diào)試目錄查找PDB信息入口,并獲取PDB信息�����。
[0014]進(jìn)一步地,所述分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu)�����,查找PE文件的可選頭入口 ���;獲取調(diào)試目錄的虛擬地址和大?���。换谡{(diào)試目錄的虛擬地址���,獲取調(diào)試目錄的物理地址。
[0015]進(jìn)一步地,所述統(tǒng)計(jì)信息包括:惡意樣本相關(guān)的路徑��、家族名�、程序名或者作者�。
[0016]綜上所述���,本發(fā)明提供了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)�,本發(fā)明所提供的技術(shù)方案�,首先�,提取惡意樣本的PDB信息,并對(duì)所述PDB信息進(jìn)行拆分����,獲取統(tǒng)計(jì)信息��;基于已知常用的操作系統(tǒng)和常用軟件的PDB信息��,進(jìn)行拆分后生成白樣本庫(kù)��;將獲取的統(tǒng)計(jì)信息基于白樣本庫(kù)進(jìn)行過(guò)濾后���,生成黑樣本庫(kù);所述白樣本庫(kù)和黑樣本庫(kù)將用于輔助惡意代碼樣本的檢測(cè)和深入分析��。
[0017]本發(fā)明的有益效果為:本發(fā)明的技術(shù)方案通過(guò)提取與惡意樣本相關(guān)的調(diào)試信息,從而獲取環(huán)境信息、病毒文件名�、作者等信息�����,基于大量的惡意樣本的PDB信息做關(guān)聯(lián)分析���,從而獲取病毒家族或者病毒樣本間的關(guān)聯(lián)信息,有利于更加深入的分析惡意代碼����。
【附圖說(shuō)明】
[0018]為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0019]圖1為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例流程圖�����; 圖2為本發(fā)明提供的一種基于PDB調(diào)試信息的惡意代碼分析系統(tǒng)實(shí)施例結(jié)構(gòu)圖����。
【具體實(shí)施方式】
[0020]本發(fā)明給出了一種基于PDB調(diào)試信息的惡意代碼分析方法及系統(tǒng)的實(shí)施例��,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的�����、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明:
本發(fā)明首先提供了一種基于PDB調(diào)試信息的惡意代碼分析方法實(shí)施例,如圖1所示�����,包括:
S101提取惡意樣本的PDB信息;
S102拆分所述PDB信息�,獲取相關(guān)的統(tǒng)計(jì)信息�;
S103提取常用操作系統(tǒng)和常用軟件的PDB信息,并拆分后生成白樣本庫(kù)����; 其中���,所述常用操作系統(tǒng)包括:windows xp����、windows 7、linux等常用的操作系統(tǒng); S104利用白樣本庫(kù)對(duì)所述統(tǒng)計(jì)信息進(jìn)行過(guò)濾后生成黑樣本庫(kù)��;
其中����,所述過(guò)濾方式可以為:利用pdb全路徑或者推斷程序名為基準(zhǔn)進(jìn)行過(guò)濾;
S105輸出白樣本庫(kù)和黑樣本庫(kù)用于惡意代碼分析����。
[0021]其中���,所述白樣本庫(kù)和黑樣本庫(kù)的形式為����,但不限于這一種形式:
Struct PDB_Black (或者 Struct PDB_ffHITE):
{
Pdb_name; //名稱或路徑 Number of samples;//樣本個(gè)數(shù) MD5 of samples;//樣本 MD5
}
“net1ugc.pdf”: {
“count”:9,
“md5”:[
“8cefae2396730128c0d88f97288e31e8d9b2365f”
“8cefae2396730128c0d88f97288e31e8d9b2365f”
“8cefae2396730128c0d88f97288e31e8d9b2365f”
]
優(yōu)選地���,所述提取惡意樣本的PDB信息包括:基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息和基于未知樣本的totalhash提取PDB信息���。
[0022]其中���,所述基于未知樣本的totalhash提取PDB信息包括:采用網(wǎng)頁(yè)爬蟲(chóng)方式�,根據(jù)MD5值從totalhash的pdb搜索結(jié)果中收集html報(bào)告�����,進(jìn)而抓取pdb信息及相關(guān)屬性����。
[0023]優(yōu)選地��,所述基于已知樣本的PE文件結(jié)構(gòu)提取PDB信息包括:分析PE文件結(jié)構(gòu),獲取調(diào)試目錄地址�����;基于調(diào)試目錄查找PDB信息入口����,并獲取PDB信息�����。
[0024]優(yōu)選地��,所述分析PE文件結(jié)構(gòu)�����,獲取調(diào)試目錄地址具體為:分析PE文件結(jié)構(gòu)�,查找PE文件的可選頭入口 �;獲取調(diào)試目錄的虛擬地址和大?���?;基于調(diào)試目錄的虛擬地址���,獲取調(diào)試目錄的物理地址。
[0025]其中����,分析PE文件結(jié)構(gòu),查找PE文件的可選頭入口���,遍歷可選頭末尾的DataDirectory 成員;
進(jìn)而查