[发明专利]一种样本行为获取方法、装置、存储介质及电子设备

权利要求书

1.一种样本行为获取方法，其特征在于，包括：

监测样本对端口的监听行为；

若监测到所述样本对所述端口具有监听行为，判断所述样本的网络环境能否访问外网，若所述样本的网络环境不能访问外网，则构建与所述端口的连接；其中，所述构建与所述端口的连接，包括：向accept()函数注册预先设置的hook函数；在确定所述样本对所述端口具有监听行为后，触发所述hook函数取消对所述accept()函数的阻塞状态；向所述accept()函数返回一新套接字标识号，以使所述accept()函数依据所述新套接字标识号，构建所述端口和所述hook函数的连接；其中，所述触发所述hook函数取消对所述accept()函数的阻塞状态包括：触发所述hook函数构建一虚拟客户端；依据所述hook函数中的自定义逻辑，通过所述虚拟客户端向所述accept()函数发送连接请求，以使所述accept()函数接收到所述连接请求后，取消阻塞状态；或者，所述触发所述hook函数取消对所述accept()函数的阻塞状态包括：触发所述hook函数中的自定义逻辑，向所述accept()函数返回表征连接的返回值，以使所述accept()函数依据所述返回值取消阻塞状态；或者，所述构建与所述端口的连接包括：向accept()函数注册预先设置的hook函数；利用所述hook函数调用预先设置的虚拟客户端中的客户端模拟程序，并将监听的端口信息传递给所述客户端模拟程序；基于所述虚拟客户端以及所述端口信息建立连接；

获取所述样本对截取的基于所述连接传输至所述端口的数据的样本行为。

2.根据权利要求1所述的样本行为获取方法，其特征在于，所述监测样本对端口的监听行为包括：

向listen()函数注册预先设置的hook函数，以使所述hook函数监测对所述listen()函数的调用行为。

3.根据权利要求1所述的样本行为获取方法，其特征在于，所述监测样本对端口的监听行为包括：

利用注入方法将预先设置的hook函数注入到样本进程中，以监测所述样本进程对端口的监听行为。

4.根据权利要求2或3所述的样本行为获取方法，其特征在于，所述若监测到所述样本对所述端口具有监听行为包括：

若注册或注入的所述hook函数监测到调用listen()函数的行为，解析获取调用所述listen()函数的参数列表中包含的端口信息，确定所述样本对所述端口信息映射的端口具有监听行为。

5.根据权利要求1至3任一项所述的样本行为获取方法，其特征在于，所述方法还包括：

对获取的样本行为进行分析，以确定所述样本的安全性。