[发明专利]程序分析系统和方法

说明书

技术领域

本发明在对计算机程序的行动进行分析的程序分析系统中，对程序动作的执行环境的时刻管理功能进行操作，记录使执行环境内的时间经过速度变化为比实际时间高速或低速时的程序的活动。

背景技术

作为不使用源代码而对计算机程序的行动进行分析的方法，有静态分析和动态分析的2种。静态分析通过对程序的文件中记述的指令代码进行分析，来调查动作。另一方面，在动态分析中，通过在计算机上执行程序，观测当时的动作，来调查行动。根据程序，为了阻止静态分析，研究了各种防御策略。特别针对以前的恶意软件（malware：计算机病毒、间谍软件等非法程序），为了阻止静态分析，大多对文件构造进行反解读、加密，在基于静态分析的调查中，产生花费时间长、需要熟练的技术人员的问题。另一方面，与静态分析相比，动态分析对实际的动作进行观测，调查行动，因此难以受到文件反解读、加密的影响，能够在比较短的时间内完成分析。

与此相伴，研究开发出了专利文件1、专利文件2等对动态分析的处理进行自动化而实现高效的分析的系统。在这些系统中，在执行环境中执行恶意软件，取得并分析在一定时间内观测到的行动（例如恶意软件的文件访问、网络通信）。

现有技术文件

专利文件

专利文件1：特开2009-181335号公报

专利文件2：特开2009-37545号公报

非专利文件

非专利文件1

IEEE International Conference of Communications 2008Proceedings,“Malware Behavior Analysis in Isolated Miniature Network for RevealingMalware`s Network Activity”

发明内容

但是，根据程序，有时在启动后经过一定时间后，或者只在特定的日期时间，进行实质的活动。另外，如Y2K问题那样，有时在超过特定的日期时间时引起误动作。在通过上述系统对这样的程序进行分析的情况下，存在分析花费很多时间、或分析失败的问题。在非专利文件1中，为了使分析对象的恶意软件的活动停止一定时间而使所执行的函数无效，由此谋求分析高效化。但是，该方法在执行函数后验证时间经过，或者只在特定的日期时间对活动的恶意软件无效。

本发明的目的在于：提供一种对启动后一定时间后、或只在特定日期时间活动的程序进行高效的分析的系统和方法。

在所揭示的程序分析系统中，是一边调整程序执行环境的时间经过速度一边进行程序的分析的装置。程序分析系统的主要功能部件是分析管理部、检测体执行部、活动记录部、活动分析部的4个。在此，“检测体”是指分析对象的恶意软件。分析管理部设定执行环境中的时间经过速度和程序执行开始时间、执行结束时间等分析条件。检测体执行部依照分析管理部的决定，调整时间经过速度和程序执行开始时间，到执行结束时间为止执行程序。活动记录部监视执行环境，取得程序的活动记录。活动分析部对活动记录进行分析，了解程序的行动。分析管理部根据分析结果，再设定分析条件，进行再分析。

根据本发明，实现对在启动后一定时间后、或只在特定的日期时间活动的程序进行的高效的分析。

附图说明

图1是表示用于实施本发明的系统的整体结构的图。

图2是表示系统管理装置的物理结构的图。

图3是表示系统管理装置的逻辑结构的图。

图4是表示检测体执行装置的物理结构的图。

图5是表示检测体执行装置的逻辑结构的图。

图6是表示计时器装置的物理结构的图。

图7是表示活动分析装置的物理结构的图。

图8是表示活动分析装置的逻辑结构的图。

图9是表示分析方案DB的记录例子的图。

图10是表示活动记录DB的记录例子的图。

图11是表示再分析规则DB的记录例子的图。

图12是分析结果DB的记录例子的图。

图13是表示记录规则DB的记录例子的图。

图14是表示分析规则DB的记录例子的图。

图15是表示管理实绩管理处理的流程的图。

图16是表示检测体执行处理的流程的图。

图17是表示计时器装置与时钟部的关系的图。

图18是表示时刻经过处理的调整处理的流程的图。

图19是表示活动记录处理的流程的图。

图20是表示活动分析处理的流程的图。