本申请涉及计算机及通信,具体而言,涉及一种配置信息提取方法及相关设备。
背景技术:
1、近年来,网络安全威胁不断增加,目标软件即服务(malware-as-a-service,maas)已成为一种常见的网络安全威胁。maas允许任何人(即使没有技术知识)通过网络购买或租用目标软件,这使得黑客和犯罪团伙能够轻松地利用目标软件进行攻击。而通过maas服务生成的目标软件一般会具有类似的结构和流程,为了快速识别和检测目标软件,我们可以借助沙箱分析目标软件,但某些目标软件由于反调试、反虚拟机或执行时长不足等原因,无法将目标软件中的高价值信息全部提取。
技术实现思路
1、本申请的实施例提供了一种配置信息提取方法及相关设备,进而至少在一定程度上可以解决现有技术无法将目标软件中的高价值信息全部提取的问题。
2、本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
3、根据本申请实施例的一个方面,提供了一种配置信息提取方法,所述配置信息提取方法包括:对目标软件进行静态提取,得到识别规则代码;根据所述识别规则代码,提取配置特征;对所述配置特征进行校验,得到配置信息。
4、在本申请的一个实施例中,所述根据所述识别规则代码,提取配置特征,具体包括:根据所述识别规则代码,确定恶意家族信息;根据所述恶意家族信息,提取配置特征。
5、在本申请的一个实施例中,根据所述恶意家族信息,提取配置特征,具体包括:所述恶意家族信息,调用对应的提取模块;将所述识别规则代码输入所述对应的提取模块,得到配置特征。
6、在本申请的一个实施例中,所述配置特征包括明文特征和解密特征,所述根据所述恶意家族信息,提取配置特征,具体包括:根据恶意家族信息,得到类特征以及解密方法,所述类特征中包括明文特征、加密特征;对所述加密特征进行反射处理,定位到对应的解密方法;根据所述解密方法,对所述加密特征解密,得到解密特征。
7、在本申请的一个实施例中,所述配置特征包括明文特征和解密特征,所述根据所述识别规则代码,提取配置特征,具体包括:根据所述识别规则代码,得到所述明文特征以及解密方法;根据所述解密方法,得到所述解密特征。
8、在本申请的一个实施例中,所述根据所述解密方法,得到所述解密特征,具体包括:解析所述解密方法,得到所述解密方法对应的偏移值、特征名以及密钥;根据所述偏移值和特征名,定位加密特征;根据所述密钥,对所述加密特征进行解密,得到解密特征。
9、在本申请的一个实施例中,所述根据所述识别规则代码,得到所述明文特征以及解密方法,具体包括:根据所述识别规则代码对所述目标软件进行反汇编处理,得到静态定位特征;对根据所述静态特征进行定位,得到解密方法。
10、在本申请的一个实施例中,所述根据所述解密方法,得到所述解密特征,具体包括:对所述解密方法进行交叉应用分析,得到目标代码片段,所述目标代码片段为调用所述解密方法的代码片段;将所述目标代码片段输入二进制模拟器,得到返回结果;对所述返回结果进行对齐去重处理,得到所述解密特征。
11、在本申请的一个实施例中,所述对所述配置特征进行校验,得到配置信息,具体包括:对所述配置特征进行校验,得到校验结果;根据所述校验结果,确定配置信息。
12、根据本申请实施例的一个方面,提供了一种配置信息提取装置,所述配置信息提取装置包括:代码提取模块,用于对目标软件进行静态提取,得到识别规则代码;特征提取模块,用于根据所述识别规则代码,提取配置特征;信息校验模块,用于对所述配置特征进行校验,得到配置信息。
13、在本申请的一个实施例中,所述特征提取模块具体包括:信息确定子模块,用于根据所述识别规则代码,确定恶意家族信息;特征提取子模块,用于根据所述恶意家族信息,提取配置特征。
14、在本申请的一个实施例中,所述特征提取子模块具体包括:调用单元,用于所述恶意家族信息,调用对应的提取模块;输入单元,用于将所述识别规则代码输入所述对应的提取模块,得到配置特征。
15、在本申请的一个实施例中,所述配置特征包括明文特征和解密特征,所述特征提取子模块具体包括:类特征单元,用于根据恶意家族信息,得到类特征以及解密方法,所述类特征中包括明文特征、加密特征;反射单元,用于对所述加密特征进行反射处理,定位到对应的解密方法;解密单元,用于根据所述解密方法,对所述加密特征解密,得到解密特征。
16、在本申请的一个实施例中,所述配置特征包括明文特征和解密特征,所述特征提取模块具体包括:特征方法子模块,用于根据所述识别规则代码,得到所述明文特征以及解密方法;特征解密子模块,用于根据所述解密方法,得到所述解密特征。
17、在本申请的一个实施例中,所述特征解密子模块具体包括:方法解析单元,用于解析所述解密方法,得到所述解密方法对应的偏移值、特征名以及密钥;特征定位单元,用于根据所述偏移值和特征名,定位加密特征;密钥解密单元,用于根据所述密钥,对所述加密特征进行解密,得到解密特征。
18、在本申请的一个实施例中,所述特征方法子模块具体包括:反汇编单元,用于根据所述识别规则代码对所述目标软件进行反汇编处理,得到静态定位特征;方法定位单元,用于对根据所述静态特征进行定位,得到解密方法。
19、在本申请的一个实施例中,所述特征解密子模块具体包括:交叉应用单元,用于对所述解密方法进行交叉应用分析,得到目标代码片段,所述目标代码片段为调用所述解密方法的代码片段;二进制模拟单元,用于将所述目标代码片段输入二进制模拟器,得到返回结果;对齐去重单元,用于所述返回结果进行对齐去重处理,得到所述解密特征。
20、在本申请的一个实施例中,所述信息校验模块具体包括:校验子模块,用于对所述配置特征进行校验,得到校验结果;确定子模块,用于根据所述校验结果,确定配置信息。
21、根据本申请实施例的一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中所述的配置信息提取方法。
22、根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的配置信息提取方法。
23、在本申请的一些实施例所提供的技术方案中,通过对目标软件进行静态提取,得到识别规则代码,然后根据识别规则代码再目标软件中提取需要的配置特征,最后对需要的配置特征进行校验,即可以得到所有需要的配置信息,解决了现有技术无法将目标软件中的高价值信息全部提取的问题。
24、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
1.一种配置信息提取方法,其特征在于,所述配置信息提取方法包括:
2.如权利要求1所述的配置信息提取方法,其特征在于,所述根据所述识别规则代码,提取配置特征,具体包括:
3.如权利要求2所述的配置信息提取方法,其特征在于,根据所述恶意家族信息,提取配置特征,具体包括:
4.如权利要求2所述的配置信息提取方法,其特征在于,所述配置特征包括明文特征和解密特征,所述根据所述恶意家族信息,提取配置特征,具体包括:
5.如权利要求1所述的配置信息提取方法,其特征在于,所述配置特征包括明文特征和解密特征,所述根据所述识别规则代码,提取配置特征,具体包括:
6.如权利要求5所述的配置信息提取方法,其特征在于,所述根据所述解密方法,得到所述解密特征,具体包括:
7.如权利要求5所述的配置信息提取方法,其特征在于,所述根据所述识别规则代码,得到所述明文特征以及解密方法,具体包括:
8.一种配置信息提取装置,其特征在于,所述配置信息提取装置包括:
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的配置信息提取方法。
10.一种电子设备,其特征在于,包括:
