[发明专利]基于Win32平台下病毒行为的自动化分析系统

权利要求书

1.基于Win32平台下病毒行为的自动化分析系统，该系统由数据模块、控 制模块、运行模块以及数据库组成，所述控制模块工作于物理机环境中，所述 运行模块工作于由虚拟机形成的虚拟环境中；其特征在于，所述数据模块包括 样本数据模块、自动入库模块以及行为数据模块，所述样本数据模块包括有病 毒样本数据模块以及合法程序样本数据模块，所述自动入库模块是用于将大量 样本的相关信息准确入数据库，通过访问这些数据库记录，可以使得整个联机 系统中的每台捕获引擎都能够准确获取每个样本的路径信息并能访问样本库所 在的物理机，所述样本库是用来放置样本的文件服务器，所述行为数据模块包 括有用来将捕获的病毒样本行为数据记入数据库中并进行统计、并转化成易于 建模的二维表的病毒样本行为数据模块和用来将捕获的合法程序样本行为数据 记入数据库中并进行统计、并转化成易于建模的二维表的合法程序样本行为模 块，所述样本数据模块通过自动入库模块连接行为数据模块；所述运行模块包 括捕获引擎模块和HOOKDLL模块，所述捕获引擎模块与HOOKDLL模块是协同 工作在虚拟环境下捕获病毒的行为，并写入XML文件回传至控制模块，所述 HOOKDLL模块负责接收捕获引擎模块捕获的函数及其实际参数，并对实际参数 进行具体分析，将分析的结果进行格式化输出到数据库或文件中；所述控制模 块用于控制虚拟机的运行，并负责提取病毒样本，所述控制模块连接样本数据 模块以及行为数据模块，并且控制运行模块中的捕获引擎模块，所述控制模块 连接数据库，从对象程序表中取得未分析的样本文件；所述控制模块启动虚拟 机，并登陆虚拟机中的操作系统；所述控制模块传送样本文件至虚拟机中的操 作系统，存放在虚拟机C盘根目录下；所述控制模块启动捕获引擎模块并对样本 的行为实施跟踪，并将行为记录在XML文件中；所述控制模块在跟踪完毕后， 关闭虚拟机，并将回传的XML文件解析，其行为记录存入数据库的跟踪事件数 据表。

2.根据权利要求1所述的基于Win32平台下病毒行为的自动化分析系统，其 特征在于，所述捕获引擎模块根据工作目录下的HOOKDLL对指定API调用入口 处设置调试断点；所述捕获引擎模块通过操作系统调试子系统中获取需要捕获 的API调用事件及其参数；所述捕获引擎模块向HOOKDLL模块中相应的处理函 数传递断点发生处的堆栈信息。

3.根据权利要求1所述的基于Win32平台下病毒行为的自动化分析系统，其 特征在于，所述HOOKDLL模块将分析的结果进行格式化输出的内容有两种， Trace型即记录函数调用的记录而不关注其参数，Analysis型即把函数和参数进行 结合判断后再记录与函数相关的恶意代码行为特征。

4.根据权利要求1所述的基于Win32平台下病毒行为的自动化分析系统，其 特征在于，所述自动入库模块由文件检测和数据库操作两个子模块组成；所述 文件检测子模块对用户输入的信息进行校验，判断输入数据是否正确，所述文 件检测子模块还根据输入的参数信息，判断是否进行数字签名和文件格式检测， 以及相关的DLL检测；所述数据库操作子模块能够对数据库执行读数据操作、 写数据操作、更新数据操作。

5.根据权利要求1所述的基于Win32平台下病毒行为的自动化分析系统，其 特征在于，控制模块对数据库具有如下互斥操作流程：

(1)当虚拟机启动，首先控制模块会向数据库请求一个未被分析样本的路 径信息，对数据库中对象程序表和跟踪数据表中加X锁，查询对象程序表中的 istraced和Prog_id两个字段的值，若istraced为false且Prog_id的值未在跟踪数据表 中出现，则判断该样本未被分析过，并向控制模块提交路径信息；

(2)若控制模块成功下载病毒样本，控制模块在跟踪数据表插入一条新记 录，并进行初始化操作，系统自动填入trace_id和prog_id两个字段的值，字段 “istraced”设置为“true”；同时释放对象程序表和跟踪状态表的X锁；

(3)控制模块解析虚拟机传回来的含有病毒行为的XML文件，并记录至数 据库中的跟踪事件数据表。