[发明专利]一种API日志的循环逻辑的识别方法及装置

权利要求书

1.一种API日志的循环逻辑的识别方法，其特征在于，包括：

对API日志进行解析，获得多个节点组成的节点序列；其中每一个所述节点包括：对可移植的执行体PE文件执行过程中调用到的系统接口函数的内存地址REIP以及该系统接口函数API名称的组合；

获得所述REIP和所述API名称的组合的校验值，并将所述校验值作为所述节点的键值；

根据节点的键值，在所述节点序列中，识别出一个节点子序列，并将所述节点子序列作为一个内层循环体；

根据识别出的所述内层循环体，在所述节点序列中，识别出所有循环体；

根据识别出的所有循环体对病毒行为进行动态分析。

2.根据权利要求1所述的API日志的循环逻辑的识别方法，其特征在于，所述根据节点的键值，在所述节点序列中，识别出一个节点子序列，并将所述节点子序列作为一个内层循环体的步骤包括：

在所述节点序列中，从第N+1个节点开始，在所述第N+1个节点之前的N个节点中，如果查找到与所述第N+1个节点的键值相同的第P个节点，获得所述第P个节点到所述第N+1个节点组成的第一节点子序列；其中，N为正整数，P大于等于1且小于N+1；

将所述第一节点子序列与从第N+1节点到所述第P个节点组成的第二节点子序列进行相应位置的节点匹配，若完全匹配，则将所述第二节点子序列作为一个内层循环体。

3.根据权利要求2所述的API日志的循环逻辑的识别方法，其特征在于，所述根据识别出的所述内层循环体，在所述节点序列中，识别出所有循环体的步骤包括：

根据识别出的所述内层循环体，在所述节点序列中，识别出与所述内层循环体相匹配的其它内层循环体；

对识别出的每一个内层循环体，进行内层循环体内的各节点的REIP和API名称的合并；

获得合并后的REIP和API名称的组合的校验值，作为所述内层循环体的键值；

根据内层循环体的键值，在多个内层循环体的键值形成的循环体节点序列中，识别出外层循环体，从而得到包括内层循环体和外层循环体的所有循环体。

4.根据权利要求3所述的API日志的循环逻辑的识别方法，其特征在于，所述根据识别出的所述内层循环体，在所述节点序列中，识别出与所述内层循环体相匹配的其它内层循环体的步骤包括：

在所述节点序列中，从识别出的第一个内层循环体的结束位置的下一个节点开始向后匹配，查找到与所述第一个内层循环体内的各节点的键值完全相同的其它节点子序列，将所述其它节点子序列作为其它内层循环体。

5.根据权利要求4所述的API日志的循环逻辑的识别方法，其特征在于，所述根据内层循环体的键值，在多个内层循环体的键值形成的循环体节点序列中，识别出外层循环体，从而得到包括内层循环体和外层循环体的所有循环体的步骤包括：

在多个内层循环体的键值形成的循环体节点序列中，从第M+1个循环体节点开始，在所述第M+1个节点之前的M个循环体节点中，如果查找到与所述第M+1个节点的键值相同的第T个循环体节点，获得所述第T个循环体节点到所述第M+1个循环体节点组成的第一循环体节点子序列；其中，M为正整数，T大于等于1且小于M+1；

将所述第一循环体节点子序列与从第M+1节点到所述第T个节点组成的第二循环体节点子序列进行相应位置的节点匹配，若完全匹配，则将所述第二循环体节点子序列作为一个外层循环体；

在所述循环体节点序列中，查找到与识别出的所述一个外层循环体匹配的其它外层循环体，从而得到包括所有内层循环体以及外层循环体的所有循环体。

6.根据权利要求1－5任一项所述的API日志的循环逻辑的识别方法，其特征在于，所述节点还包括：API的返回值及参数信息。

7.根据权利要求1或3所述的API日志的循环逻辑的识别方法，其特征在于，所述校验值是所述REIP和所述API名称的组合采用CRC32校验算法得到的校验值。

8.根据权利要求1或5所述的API日志的循环逻辑的识别方法，其特征在于，所述识别出所有循环体后还包括：

用可扩展标记语言XML文件保存所述所有循环体。