【技术实现步骤摘要】
对文件的执行进行仿真的系统和方法
本专利技术总体上涉及对文件的执行进行仿真的领域,具体地,涉及对文件的执行进行仿真的系统和方法。
技术介绍
目前,存在用于开发可执行文件的各种各样的方法。通常,在开发软件期间,特别是在创建可执行文件时,与机器指令不同的指令被放置在这些可执行文件中,诸如以中间代码形式的指令(诸如通用中间语言指令或CIL指令)或脚本形式的指令。在对文件(如可移植可执行文件或PE文件)的执行进行仿真时,重要的是形成尽可能完整的函数调用日志。在对文件的执行进行仿真时,这样的日志的完整性特别影响恶意文件的检测质量(例如检测率)。当可执行文件使用来自动态库的数据或函数类型时,仿真器执行操作系统(OperatingSystem,OS)加载器的多个步骤。例如,对于WindowsOS的可执行文件,仿真器改变可执行文件的图像的IAT(输入地址表)部分,该IAT部分涉及在文件的执行期间(以及因此在对执行的仿真期间)所需要调用的函数的地址的固定。仿真器保存输入到IAT中的、关于函数的地址与函数的名称之间的对应性的信息。因此,当在对文件的执行的仿真期间调用某个函数时,仿真器确定已经调用了某个库函数,并适当地改变函数调用日志。但是在对包含与机器指令不同的指令的文件的执行进行仿真时,根本没有关于以与机器指令不同的方式形式化的函数的信息保存在IAT中,从而出现了指令的日志记录问题(将函数调用记录在日志中),包括以与机器指令不同的方式形式化的函数的问题。
技术实现思路
因此,本文公开了一种用于对文件的执行进行仿真的系统和方法,更具体地,公开了用于对包含与机器指令不同的指令的文件 ...
【技术保护点】
1.一种用于对文件的执行进行仿真的方法,其中,所述方法包括:生成文件的图像,所述文件的图像由从所述文件中读取的指令构成;在从所述文件中读取的部分中检测至少一个已知指令集;将断点插入到生成的所述文件的图像中的位置中,所述位置对应于从所述文件的被读取的所述部分中检测到的所述至少一个已知指令集的起点;以及通过对来自生成的所述文件的图像的指令的执行进行仿真来对所述文件的执行进行仿真,以及将与仿真的所述至少一个已知指令集的执行相关联的相应记录添加到仿真日志。
【技术特征摘要】
2017.08.17 RU 2017129267;2017.10.12 US 15/730,9581.一种用于对文件的执行进行仿真的方法,其中,所述方法包括:生成文件的图像,所述文件的图像由从所述文件中读取的指令构成;在从所述文件中读取的部分中检测至少一个已知指令集;将断点插入到生成的所述文件的图像中的位置中,所述位置对应于从所述文件的被读取的所述部分中检测到的所述至少一个已知指令集的起点;以及通过对来自生成的所述文件的图像的指令的执行进行仿真来对所述文件的执行进行仿真,以及将与仿真的所述至少一个已知指令集的执行相关联的相应记录添加到仿真日志。2.根据权利要求1所述的方法,其中,所述文件的图像包括所述文件中包含的程序代码的指令以及关于所述程序代码的入口点的服务信息。3.根据权利要求1所述的方法,其中,通过对来自生成的所述文件的图像的指令的执行进行仿真来对所述文件的执行进行仿真还包括:响应于遇到插入的所述断点:将指示对所述已知指令集的执行的仿真的记录添加到所述仿真日志;以及对检测到的所述至少一个已知指令集所对应的替选指令集的执行进行仿真,以及制止对检测到的所述至少一个已知指令集的执行进行仿真。4.根据权利要求3所述的方法,其中,所述替选指令集包括优化的指令集,所述优化的指令集配置成,与所述已知指令集相比,具有相同的对执行进行仿真的结果,且消耗较少的资源。5.根据权利要求3所述的方法,其中,检测到的所述至少一个已知指令集包括反仿真指令,所述反仿真指令配置成阻止对所述文件的执行的仿真,其中,所述反仿真指令所对应的所述替选指令集配置成具有相同的对所述文件的执行的仿真结果,且不阻止对所述文件的执行的仿真。6.根据权利要求1所述的方法,其中,检测到的所述至少一个已知指令集包括解释器库的指令集,所述解释器库的指令集配置成处理所述文件的与机器指令不同的指令。7.根据权利要求1所述的方法,其中,使用来自已知指令集的数据库的一个或多个签名来检测从所述文件中读取的所述部分中的所述至少一个已知指令集。8.根据权利要求1所述的方法,还包括:生成所述文件的指令的解释器的库文件的图像。9.一种用于对文件的执行进行仿真的系统,所述系统包括:配置成存储文件、文件的图像以及仿真日志的存储设备;以及硬件处理器,所述硬件处理器配置成:生成所述文件的图像,所述文件的图像由从所述文件中读取的指令构成;在从所述文件中读取的部分中检测至少一个已知...
【专利技术属性】
技术研发人员:亚历山大·V·利斯金,弗拉基米尔·V·克雷洛夫,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:俄罗斯,RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。