基于APIHOOK的恶意代码自动分析方法和系统

暂无

基于API HOOK的恶意代码自动分析方法和系统\n技术领域\n[0001] 本发明涉及恶意代码。\n背景技术\n[0002] 本发明是利用API钩子技术和远程线程注入技术，对样本进行监控。本发明记录恶意代码运行过程中对整个系统的影响，并自动生成动态分析报告，记录恶意代码样本对文件，网络，注册表，进程所产生的影响，当样本运行结束后，将系统恢复到样本执行前的状态。它不但具有自动分析功能(整个监控、记录和还原的过程不需要人工的干预)，并且还适用于大量样本的无人工干预的分析，分析速度比较快，分析报告中的无用信息比较少。\n[0003] 目前也有一些相关的专利，以下做些介绍：\n[0004] 专利200610080454.X“一种恶意代码自动分析系统及方法”含有多个相对独立的模块构成，恶意代码运行模块，文件监视模块，注册表监视模块，函数调用监视模块，网络数据监视模块，程序内部行为监视模块，恶意代码行为自动分析模块，方法含有以下步骤：\n加载文件监视和注册表监视的驱动程序，加载预定义要记录的敏感函数，在恶意代码运行的过程，同步记录应用程序接口调用，文件，注册表的访问，网络操作；当恶意代码进程结束而自动退出，系统对这些行为进行自动分析，输出自动分析结果；本发明提供的自动分析方法，完全记录恶意代码运行的行为，并对于恶意代码使用的未知壳或变形壳不受影响。大幅度地提高了恶意代码分析人员的工作效率。专利200610080454.X在每运行一个样本后，对系统进行恢复，没有解决不在人工干预的情况下，自动分析大量样本的问题。而且监控了整个系统的API调用，可能会有很多无用信息。\n[0005] 专利200310106551.8“一种分层协同的网络病毒和恶意代码识别方法”，是分层协同的网络病毒和恶意代码识别方法，特征是借鉴生物免疫强大的自我保护机制，将网络病毒和恶意代码识别技术和生物免疫系统的多层保护机制对应起来，通过统计分析关键词词频判断待检测脚本的危险度，基于注册表操作“自我集”的角度来分析判断注册表写入表项路径的异常行为，以及对应用程序编程接口执行序列进行非我识别，最终将全部异常行为信息通过网络发送到网络控制台，较好地解决了未知网络病毒和恶意代码的异常行为识别问题，对未知网络病毒和恶意代码的具较好的识别能力，实现了对单个系统及整个子网中的网络病毒和恶意代码异常行为的监控和管理。如果对大量的恶意代码样本采用该方法进行识别，分析和检测的速度会很慢。\n[0006] 本发明与以上两个专利相比，不仅在监控完成后，监控软件按照样本对操作系统的操作和影响，进行逆操作，恢复系统到运行样本前的状态。还完成了恶意代码智能分析技术，适用于大量样本的无人工干预的分析，分析速度比较快，分析报告中的无用信息比较少。\n[0007] 本发明的困难性在两个地方。第一在本发明中，检测恶意代码样本对文件，网络，注册表，进程所产生的影响是最重要的功能。必须在恶意代码调用API的时候，对API的调用进行拦截，提取出API调用的参数，对这些参数进行解析，然后把这些信息传送到监控中心，最终生成恶意代码样本分析报告。第二本发明必须不需要人工的干预，自动监测恶意代码样本。在每个样本运行结束后，智能分析系统必须能够恢复系统，然后自动运行下一个样本，自动生成恶意代码样本动态监控报告。\n发明内容\n[0008] 本发明是通过修改可执行文件在内存中映像的有关代码，实现对API调用的动态拦截，获取代码的API调用序列和参数，从而达到监控恶意代码对系统影响的目的。拦截API的调用序列前需要安装API钩子(API Hook)。API钩子由两个模块组成，一个是钩子服务器(Hook Server)模块，为EXE的形式；一个是钩子驱动器(Hook Driver)模块，为DLL的形式。钩子服务器负责向目标进程注入钩子驱动器，使得钩子驱动器运行在目标进程的地址空间中。而钩子驱动器则负责实际的API拦截处理工作，并返回拦截结果，以便后续分析。\n[0009] 在注入方式上，我们没有采用注册表注入和系统范围的Windows钩子，因为这两种方式会使我们的系统性能严重下降，所以我们使用了CreateRemoteThread函数在目标进程中建立并运行一个远程线程的动态链接库(DLL)注入方式。首先得到远程进程的句柄，在远程进程中为我们自己的动态链接库文件名分配内存，然后使用CreateRemoteThread函数和LoadLibrary函数把我们的动态链接库映射进远程进程，这样就实现了注入。在拦截机制上，我们先找到原先的API函数的地址，然后把该函数开始的几个字节用一个JMP指令代替，从而使得对该API函数的调用能够转向我们自己的函数调用。\n[0010] 本发明首先采用挂起的方式启动恶意代码样本程序。这样恶意代码进程已经创建，但是并没有运行。然后将网络监控模块，注册表监控模块，进程监控模块和文件监控模块采用远程线程注入的方法注入到样本进程中去，对其进行监控。然后将恶意代码进程唤醒，让其继续运行。恶意代码对文件，网络，注册表，进程等的操作，会被网络监控模块，注册表监控模块，进程监控模块和文件监控模块拦截。各个模块拦截到API后，对参数进行解析，然后让样本调用真正的API执行。监控模块将监控信息通过socket发送到监控中心，监控中心整理所有的信息，最终生成分析报告，并恢复系统到运行样本前的状态。\n[0011] 本专利系统主要包括监控中心、4个监控模块和系统恢复模块：\n[0012] 样本监控中心：从收集到的数据中提取出一个样本进行运行，实现dll的注入，对样本主进程及其创建的进程线程进行监控，对监控中反馈的信息进行记录，最终提交恶意代码样本动态监控报告，通过分析样本动态监控报告中记录的样本对系统产生的影响情况，将系统恢复到运行样本前的状态。\n[0013] 监控模块：\n[0014] (1)文件监控模块：该模块监控样本在系统中创建新的文件，修改文件，删除文件的各种行为。将监控模块的dll注入到样本进程中，监控CreateFileA()，WriteFile()，ReadFile()，DeleteFile()等文件操作API的调用情况，将样本要删除和修改的文件拷贝到系统备份目录下，记录样本所创建的文件的完整路径，将获取的信息传送给日志记录模块。\n[0015] (2)网络监控模块：监控样本对外连接的IP或URL，获取发送或接收的数据，将从网络上下载的文件存放在样本监控中心的目录下，以便以后进一步的分析处理。监控socket建立的函数，以及send()函数，监控样本对外连接的网络地址端口等信息，以及发送的数据内容。并把收集的内容发送给日志记录模块。\n[0016] (3)注册表监控模块：监控样本对注册表的添加，删除，修改等情况，监控RegOpenEx()，RegDeleteKey()，RegSetValueEx()，RegCreateKeyEx()等注册表操作API的调用情况，并把获取的修改信息发送给日志模块。\n[0017] (4)进程监控模块：监控样本是否创建新的进程，或注入远线程到其他进程中，监控CreateProcess()，ResumeProcess()，CreateRemoteThread()等进程或线程操作API的调用情况，进一步检测子线程或子进程的运行情况，并把获取的信息发送给日志模块。\n[0018] 系统恢复模块：\n[0019] (1)文件系统恢复：通过分析日志报告将样本在系统中创建的文件删除，将样本修改、删除的文件从备份位置拷贝回原位置，使文件系统恢复到样本运行前的状态。\n[0020] (2)注册表恢复：通过分析日志报告将样本在系统注册表中添加的表项删除、将样本修改、删除的表项恢复成原键值，使系统注册表恢复到样本运行前的状态。\n[0021] (3)网络端口恢复：通过分析日志报告将样本打开的端口关闭。\n[0022] (4)进程恢复：通过分析日志报告将样本创建的进程、线程结束，将样本加载的dll库卸载。\n附图说明\n[0023] 图1为本专利的具体流程图；\n[0024] 图2为文件监控模块流程图；\n[0025] 图3为系统恢复流程图；\n具体实施方式\n[0026] 下面结合附图对本发明的技术方案作详细说明。\n[0027] 图1显示了具体执行本发明的步骤图，为了清楚地描述本发明，下面描述一个具体的实施例，细化图1各步骤如下：\n[0028] S101枚举系统进程，找到样本进程，采用远程线程注入的方式启动恶意代码监控系统，注册和加载各个模块\n[0029] S102当一个样本运行完毕，分析完日志报告，系统还原后，检测样本集目录中是否还有样本，如果没有则结束\n[0030] S103以suspend状态启动样本进程，此时样本进程已经创建，但是并没有运行[0031] S104通过使用远程线程注入的方式把文件监控模块，网络监控模块，注册表监控模块，进程监控模块注入到样本进程中\n[0032] S105当样本进程调用被监控的创建文件、修改文件和删除文件函数时，自动启动文件监控模块\n[0033] S106当样本进程调用被监控的网络数据接收和发送函数，对外连接IP和URL函数时，自动启动网络监控模块\n[0034] S107当样本进程调用被监控的注册表添加、修改和删除函数时，自动启动注册表监控模块\n[0035] S108当样本进程调用被监控的进程、线程创建函数、内存修改函数时，自动启动进程监控模块\n[0036] S109解析监控模块发送过来的函数调用和参数信息，将信息以层次关系的方式记录到日志报告中，日志报告格式为XML。\n[0037] S110分析日志报告，将样本对系统产生的影响以逆序的方式使系统还原到样本运行前的状态\n[0038] 不难发现本发明专利中主要使用由恶意代码自动分析系统从收集到的大量样本中，分析出样本对系统的影响，最终生成样本分析报告。最终的分析报告保存在样本报告库中。\n[0039] 图2显示了监控模块的具体工作过程，下面描述一个具体的实施例，细化图2各步骤如下：\n[0040] S201根据被监控函数的函数原型，创建需要被监控的函数的监控函数[0041] S202通过解析样本进程调用的动态链接库，获取我们需要监控的函数的地址[0042] S203获得我们自己编写的监控函数的地址\n[0043] S204初始化钩子函数的时候，读取并保存该函数的头5个字节\n[0044] S205将被监控函数的头5个字节修改成jump汇编指令，使该函数能跳到我们自己编写的监控函数\n[0045] S206调用被hook的函数时，程序会转到并执行我们自己编写的监控函数[0046] S207记录传入被监控函数的各项参数\n[0047] S208解析各项参数值，并保存到日志报告\n[0048] S209将被监控函数的头5个字节重新恢复成原值，使钩子函数中可以正常使用该函数。\n[0049] S210调用被监控的函数，记录返回值\n[0050] S211将被监控函数的头5个字节改回成jump汇编指令，以便当该函数再次被调用时能够\n[0051] 再一次被挂钩\n[0052] 图3表示系统恢复功能的具体过程，主要是要消除恶意代码样本运行后对系统的影响，使下一个样本的监控信息更加准确。它包含了以下步骤：\n[0053] S301当检测到样本进程退出时，或者样本运行15分钟后，将监控完成标志置为真，此时监控完成\n[0054] S302卸载注入的监控模块\n[0055] S303终止样本创建的进程和线程、卸载dll库\n[0056] S304分析日志报告，将样本在系统中创建的文件删除，将样本修改、删除的文件从备份位置拷贝回原位置，使文件系统恢复到样本运行前的状态\n[0057] S305分析日志报告，将样本在系统注册表中添加的表项删除、将样本修改、删除的表项恢复成原键值，使系统注册表恢复到样本运行前的状态\n[0058] S306分析日志报告，将样本打开的端口关闭\n[0059] S307查找样本集目录，找到创建时间最早的一个样本，以suspend状态启动样本进程并进行监控\n[0060] 虽然本说明书只描述了所述方法的细节，而未更多地谈及本发明的应用，但由于基于APIHOOK的恶意代码自动分析方法和系统在恶意代码研究中的重要价值，其应用面是非常广泛的，所以，本发明的精神和范围不应该局限于此处所描述的实施例。