樣本的執行方法和裝置制造方法及圖紙

本發明專利技術公開了一種樣本的執行方法和裝置。其中，該方法包括：在沙箱中執行樣本；判斷當前在沙箱中執行的樣本是否為花指令；在判斷出當前在沙箱中執行的樣本是花指令時，確定當前在沙箱中執行的樣本中屬于花指令的指令序列；在指令序列中查找條件跳轉指令，其中，條件跳轉指令指向的目的地址在指令序列以外；跳出指令序列，并根據目的地址執行樣本。本發明專利技術解決了無法在沙箱中執行惡意代碼的技術問題。

Method and apparatus for sample execution

The present invention discloses a method and a device for executing a sample. Among them, the method includes performing a sample in a sandbox; determine the current execution in the sandbox sample is spent in instruction; judge the current execution in the sandbox sample is take command, determine the sequence of instructions executed in the sandbox in the sample belongs to the flower instructions; find a conditional jump instruction in the instruction. In the sequence, a conditional jump instruction to the destination address in the instruction sequence outside; out of sequence of instructions, and perform the sample according to the destination address. The invention solves the technical problem that the malicious code can not be executed in the sandbox.

【技術實現步驟摘要】
樣本的執行方法和裝置
本專利技術涉及病毒檢測領域，具體而言，涉及一種樣本的執行方法和裝置。
技術介紹
隨著動態分析系統在反病毒領域扮演著越來越重要的角色，病毒木馬針對動態分析系統的對抗方法層出不窮，木馬和安全廠商在動態對抗分析技術上的比拼也逐漸升級。在眾多的反動態分析技術中，高CPU消耗型花指令具有易實現，通用性好，對抗性高等優點，在最近幾次發現的流行惡意樣本中使用頻率很高。因此對于這類樣本的對抗，成為反動態分析對抗的重點。其中，動態分析系統是惡意代碼樣本感知動態分析“沙箱”，進而隱藏自身的惡意行為，躲避查殺。反動態分析對抗的核心思想在于反對抗，是對動態分析系統的動態分析對抗的應對策略，使惡意代碼樣本的動態分析對抗失效。通常反動態分析對抗時運行的樣本先執行花指令，然后再執行惡意代碼樣本。在真實環境中，花費很長時間執行花指令，然后執行惡意代碼，完成惡意行為。然而，在沙箱環境進行反動態分析對抗時，由于沙箱對樣本的動態分析有超時限制，花指令的執行時間很長(從幾十分鐘到幾個小時不等)，沙箱不會對單個樣本無限等待，導致在花指令完成之前就結束了反動態分析對抗對樣本的動態分析，在花指令之后執行的惡意代碼并沒有得到執行，從而判定出反動態分析對抗的樣本為非惡意樣本，導致無法達到動態分析對抗的目的。針對上述的問題，目前尚未提出有效的解決方案。
技術實現思路
本專利技術實施例提供了一種樣本的執行方法和裝置，以至少解決無法在沙箱中執行惡意代碼的技術問題。根據本專利技術實施例的一個方面，提供了一種樣本的執行方法，包括：在沙箱中執行樣本；判斷當前在所述沙箱中執行的樣本是否為花指令；在判斷出當前在所述沙箱中執行的樣本是所述花指令時，確定當前在所述沙箱中執行的樣本中屬于花指令的指令序列；在所述指令序列中查找條件跳轉指令，其中，所述條件跳轉指令指向的目的地址在所述指令序列以外；跳出所述指令序列，并根據所述目的地址執行所述樣本。根據本專利技術實施例的另一方面，還提供了一種樣本的執行裝置，包括：第一執行單元，用于在沙箱中執行樣本；判斷單元，用于判斷當前在所述沙箱中執行的樣本是否為花指令；確定單元，用于在判斷出當前在所述沙箱中執行的樣本是所述花指令時，確定當前在所述沙箱中執行的樣本中屬于所述花指令的指令序列；查找單元，用于在所述指令序列中查找條件跳轉指令，其中，所述條件跳轉指令指向的目的地址在所述指令序列以外；第二執行單元，用于跳出所述指令序列，并根據所述目的地址執行所述樣本。在本專利技術實施例中，在沙箱中執行樣本；判斷當前在所述沙箱中執行的樣本是否為花指令；在判斷出當前在所述沙箱中執行的樣本是所述花指令時，確定當前在所述沙箱中執行的樣本中屬于花指令的指令序列；在所述指令序列中查找條件跳轉指令，其中，所述條件跳轉指令指向的目的地址在所述指令序列以外；跳出所述指令序列，并根據所述目的地址執行所述樣本，在本實施例中，本應在花指令執行完成后再執行的惡意事件提前被執行，避免了在沙箱超時后還無法執行惡意事件的問題，達到了執行惡意事件的技術效果，進而解決了無法在沙箱中執行惡意代碼的技術問題。附圖說明此處所說明的附圖用來提供對本專利技術的進一步理解，構成本申請的一部分，本專利技術的示意性實施例及其說明用于解釋本專利技術，并不構成對本專利技術的不當限定。在附圖中：圖1是根據本專利技術實施例的樣本的執行方法的流程圖；圖2是根據本專利技術實施例的一種可選的樣本的執行方法的流程圖；圖3是根據本專利技術實施例的一種可選的樣本的執行方法的流程圖；圖4是根據本專利技術實施例的樣本的執行裝置的示意圖；圖5是根據本專利技術實施例的終端的示意圖。具體實施方式為了使本
的人員更好地理解本專利技術方案，下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分的實施例，而不是全部的實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都應當屬于本專利技術保護的范圍。需要說明的是，本專利技術的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數據在適當情況下可以互換，以便這里描述的本專利技術的實施例能夠以除了在這里圖示或描述的那些以外的順序實施。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對于這些過程、方法、產品或設備固有的其它步驟或單元。名詞解釋：沙箱：即虛擬系統程序，允許在沙箱環境中運行瀏覽器或者其他程序，在沙箱內部運行的程序并不能對磁盤產生永久性的影響，其為一個獨立的虛擬環境，可以測試不受信任的應用程序或者上網行為。可執行程序動態分析：在“沙箱”系統中運行可執行程序，捕獲代碼執行序列以及進行參數分析，以此判定惡意程序?；ㄖ噶睿涸诔哐h次數的循環中執行無意義的花指令(匯編指令)，以達到占用CPU的目的。動態分析對抗：惡意樣本感知動態分析“沙箱”，進而隱藏自身的惡意行為，躲避查殺。反動態分析對抗：核心思想在于反對抗，是動態“沙箱”系統對于動態分析對抗的應對策略，使惡意樣本的動態分析對抗失效。根據本專利技術實施例，提供了一種可以通過本申請裝置實施例執行的方法實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執行所示出或描述的步驟。圖1是根據本專利技術實施例的樣本的執行方法的流程圖，以下結合圖1對本專利技術實施例所提供的樣本的執行方法做具體介紹，如圖1所示，該樣本的執行方法主要包括如下步驟：步驟S102，在沙箱中執行樣本。步驟S104，判斷當前在沙箱中執行的樣本是否為花指令。步驟S106，在判斷出當前在沙箱中執行的樣本是花指令時，確定當前在沙箱中執行的樣本中屬于花指令的指令序列。步驟S108，在指令序列中查找條件跳轉指令，其中，條件跳轉指令指向的目的地址在指令序列以外。步驟S110，跳出指令序列，并根據目的地址執行樣本。在本實施例中，先判斷沙箱中當前執行的樣本是否為花指令，如果不是花指令則繼續在沙箱中運行樣本，如果當前執行的樣本是花指令，則暫停執行花指令并確定屬于花指令的指令序列。確定屬于花指令的指令序列即確定樣本中哪些指令序列屬于花指令，并在該指令序列中內查找條件跳轉指令，其中，條件跳轉指令指示在A條件下跳轉到目的地址，在非A條件下不跳轉到目的地址，在不出現A條件的情況下繼續執行花指令。由于惡意事件在執行完花指令后再執行，且花指令是高循環次數的循環，跳出花指令的循環所執行的事件才有可能是惡意事件，因此，查找目的地址在屬于花指令的指令序列以外的條件跳轉指令。在一些實施例中，目的地址為多個的情況下，執行目的地址的樣本時多個目的地址中的至少一個地址的樣本是惡意事件，執行這多個目的地址的樣本就能實現執行惡意事件；在目的地址為一個的情況下，該目的地址的樣本即為惡意事件，在執行目的地址的樣本時該惡意事件就能夠被執行。即在本實施例中，本應在花指令執行完成后再執行的惡意事件提前被執行，避免了在沙箱超時后還無法本文檔來自技高網...

【技術保護點】
一種樣本的執行方法，其特征在于，包括：在沙箱中執行樣本；判斷當前在所述沙箱中執行的樣本是否為花指令；在判斷出當前在所述沙箱中執行的樣本是所述花指令時，確定當前在所述沙箱中執行的樣本中屬于所述花指令的指令序列；在所述指令序列中查找條件跳轉指令，其中，所述條件跳轉指令指向的目的地址在所述指令序列以外；跳出所述指令序列，并根據所述目的地址執行所述樣本。

【技術特征摘要】
1.一種樣本的執行方法，其特征在于，包括：在沙箱中執行樣本；判斷當前在所述沙箱中執行的樣本是否為花指令；在判斷出當前在所述沙箱中執行的樣本是所述花指令時，確定當前在所述沙箱中執行的樣本中屬于所述花指令的指令序列；在所述指令序列中查找條件跳轉指令，其中，所述條件跳轉指令指向的目的地址在所述指令序列以外；跳出所述指令序列，并根據所述目的地址執行所述樣本。2.根據權利要求1所述的方法，其特征在于，確定當前在所述沙箱中執行的樣本中屬于所述花指令的指令序列包括：在判斷出當前在所述沙箱中執行的樣本是所述花指令時，記錄當前調用的指令寄存器；從所述指令寄存器開始對所述花指令進行虛擬執行；在對所述指令序列進行虛擬執行的過程中再次調用所述指令寄存器時，將相鄰兩次調用的所述指令寄存器之間的指令序列作為所述屬于花指令的指令序列。3.根據權利要求2所述的方法，其特征在于，在再次調用所述指令寄存器之后，所述方法還包括：停止對所述指令序列進行虛擬執行。4.根據權利要求2所述的方法，其特征在于，跳出所述指令序列，并根據所述目的地址執行所述樣本包括：將所述指令寄存器的地址設置為所述目的地址；在所述沙箱中執行所述指令序列并且調用所述指令寄存器時，跳轉到所述目的地址來執行所述樣本。5.根據權利要求1或2所述的方法，其特征在于，跳出所述指令序列，并根據所述目的地址執行所述樣本包括：將所述條件跳轉指令修改為目標指令，其中，所述目標指令的條件與所述條件跳轉指令的條件相反；在所述沙箱中執行所述指令序列時，根據所述目標指令的條件執行所述目標指令來跳出所述指令序列，并跳轉到所述目的地址來執行所述樣本。6.根據權利要求1所述的方法，其特征在于，判斷當前在所述沙箱中執行的樣本是否為花指令包括：監控執行所述樣本的進程的用戶態和內核態；判斷所述進程處于內核態的時間和所述進程處于所述用戶態的時間的比值是否大于預設比值；當判斷出所述進程處于內核態的時間和所述進程處于所述用戶態的時間的比值大于所述預設比值時，確定當前在所述沙箱中執行的樣本是所述花指令。7.根據權利要求1所述的方法，其特征在于，在判斷出當前在所述沙箱中執行的...

【專利技術屬性】
技術研發人員：高家華，
申請(專利權)人：騰訊科技深圳有限公司，
類型：發明
國別省市：廣東,44