专利详情

专利名称	一种恶意代码捕获方法
申请号	CN201110029135.7	专利类型	发明专利
公开（公告）号	CN102622536A	公开（授权）日	2012.08.01
申请（专利权）人	中国科学院软件研究所	发明（设计）人	杨轶;冯登国;苏璞睿;应凌云
主分类号	G06F21/00(2006.01)I	IPC主分类号	G06F21/00(2006.01)I
专利有效期	一种恶意代码捕获方法至一种恶意代码捕获方法	法律状态	实质审查的生效
说明书摘要	本发明公开了一种恶意代码捕获方法，属于网络安全技术领域。本方法为：1)配置硬件模拟器，加载并启动目标操作系统；2)硬件模拟器读取目标操作系统的虚拟内存，识别所有进程及进程所加载的动态库中的导出表，获取所述导出表中所有API的地址并拦截网络接收API函数；3)根据网络接收API函数的返回值，将进程由网络接收到的数据包标记为污点数据包；4)硬件模拟器反汇编当前进程执行的指令，对其进行污点传播计算；5)判定污点传播过程中当前进程的状态是否发生异常行为，如果发生异常行为则判定当前进程为恶意代码，并从目标操作系统的内存中提取恶意代码镜像。本发明实现对恶意代码完全透明的分析，具有更高的效率和准确性。