技術(shù)特征:1.一種計(jì)算裝置�,包括:
處理器;以及
一個(gè)或多個(gè)邏輯元件���,所述一個(gè)或多個(gè)邏輯元件包括分類引擎��,所述分類引擎可操作用于:
對(duì)被分析對(duì)象進(jìn)行反匯編��;
創(chuàng)建所述被分析對(duì)象的匯編語言列表����;
將所述匯編語言列表與已知對(duì)象進(jìn)行比較,所述已知對(duì)象屬于對(duì)象分類法中的族��;以及
將所述被分析對(duì)象分類為屬于所述對(duì)象分類法中的所述族���。
2.如權(quán)利要求1所述的計(jì)算裝置�,其中�,所述分類引擎進(jìn)一步可操作用于從所述匯編語言列表中過濾已知干凈函數(shù)。
3.如權(quán)利要求1所述的計(jì)算系統(tǒng)����,其中,所述分類引擎進(jìn)一步可操作用于:
在所述匯編語言列表中標(biāo)識(shí)至少一個(gè)被列入黑名單的函數(shù)��;以及
將所述被分析對(duì)象指定為被列入黑名單的對(duì)象�����。
4.如權(quán)利要求1所述的計(jì)算裝置,其中��,所述分類引擎進(jìn)一步可操作用于創(chuàng)建所述匯編語言列表的調(diào)用蹤跡�。
5.如權(quán)利要求1所述的計(jì)算裝置,其中���,所述分類引擎進(jìn)一步可操作用于標(biāo)準(zhǔn)化所述匯編語言列表的指令。
6.如權(quán)利要求5所述的計(jì)算裝置����,其中,標(biāo)準(zhǔn)化所述匯編語言列表包括:
保留操作代碼或助記符���;以及
對(duì)操作數(shù)進(jìn)行分類�。
7.如權(quán)利要求6所述的計(jì)算裝置����,其中,對(duì)操作數(shù)進(jìn)行分類包括將至少一些操作數(shù)分類為寄存器�����、存儲(chǔ)器地址和常量中的一者����。
8.如權(quán)利要求5所述的計(jì)算裝置�����,其中�����,所述匯編語言的指令包括至少一些指令的語義�,并且其中��,標(biāo)準(zhǔn)化所述匯編語言列表包括丟棄針對(duì)所述至少一些包括語義的指令的操作數(shù)��。
9.如權(quán)利要求1至8中任一項(xiàng)所述的計(jì)算裝置��,其中���,所述分類引擎進(jìn)一步可操作用于對(duì)所述匯編語言列表執(zhí)行N-gram分析����。
10.如權(quán)利要求9所述的計(jì)算裝置�����,其中,所述分類引擎進(jìn)一步可操作用于生成所述N-gram分析中的每個(gè)N-gram的散列�。
11.如權(quán)利要求1至8中任一項(xiàng)所述的計(jì)算裝置,其中���,所述分類引擎進(jìn)一步可操作用于對(duì)所述被分析對(duì)象和所述已知對(duì)象執(zhí)行相似性分析���。
12.如權(quán)利要求11所述的計(jì)算裝置,其中�,所述相似性分析包括計(jì)算杰卡德指數(shù)。
13.如權(quán)利要求1至8中任一項(xiàng)所述的計(jì)算裝置�,其中�����,所述已知對(duì)象為惡意軟件對(duì)象���。
14.一種或多種計(jì)算機(jī)可讀介質(zhì)����,其上存儲(chǔ)有可執(zhí)行指令��,所述可執(zhí)行指令用于指示處理器提供分類引擎���,所述分類引擎可操作用于:
對(duì)被分析對(duì)象進(jìn)行反匯編���;
創(chuàng)建所述被分析對(duì)象的匯編語言列表�;
將所述匯編語言列表與已知對(duì)象進(jìn)行比較���,所述已知對(duì)象屬于對(duì)象分類法中的族�����;以及
將所述被分析對(duì)象分類為屬于所述對(duì)象分類法中的所述族�。
15.如權(quán)利要求14所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其中,所述分類引擎進(jìn)一步可操作用于從所述匯編語言列表中過濾已知干凈函數(shù)�����。
16.如權(quán)利要求14所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其中,所述分類引擎進(jìn)一步可操作用于:
在所述匯編語言列表中標(biāo)識(shí)至少一個(gè)被列入黑名單的函數(shù)���;以及
將所述被分析對(duì)象指定為被列入黑名單的對(duì)象�。
17.如權(quán)利要求14所述的一種或多種計(jì)算機(jī)可讀介質(zhì),其中����,所述分類引擎進(jìn)一步可操作用于創(chuàng)建所述被分析對(duì)象的調(diào)用蹤跡。
18.如權(quán)利要求14所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其中,所述分類引擎進(jìn)一步可操作用于標(biāo)準(zhǔn)化所述匯編語言列表的指令���。
19.如權(quán)利要求18所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其中��,標(biāo)準(zhǔn)化所述匯編語言列表包括:
保留操作代碼或助記符��;以及
將至少一些操作數(shù)分類為寄存器��、存儲(chǔ)器地址和常量中的一者�。
20.如權(quán)利要求18所述的一種或多種計(jì)算機(jī)可讀介質(zhì)�����,其中,所述匯編語言的指令包括至少一些指令的語義�,并且其中,標(biāo)準(zhǔn)化所述匯編語言列表包括丟棄針對(duì)所述至少一些包括語義的指令的操作數(shù)��。
21.如權(quán)利要求14至20中任一項(xiàng)所述的一種或多種計(jì)算機(jī)可讀介質(zhì)��,其中�,所述分類引擎進(jìn)一步可操作用于:對(duì)所述匯編語言列表執(zhí)行N-gram分析,以及生成所述N-gram分析中的每個(gè)N-gram的散列�����。
22.如權(quán)利要求14至20中任一項(xiàng)所述的一種或多種計(jì)算機(jī)可讀介質(zhì)����,其中,所述分類引擎進(jìn)一步可操作用于對(duì)所述被分析對(duì)象和所述已知對(duì)象執(zhí)行相似性分析�,其中,所述相似性分析包括計(jì)算杰卡德指數(shù)��。
23.如權(quán)利要求14至20中任一項(xiàng)所述的一種或多種計(jì)算機(jī)可讀介質(zhì)��,其中����,所述已知對(duì)象為惡意軟件對(duì)象�。
24.一種提供分類引擎的計(jì)算機(jī)實(shí)現(xiàn)的方法���,所述方法包括:
對(duì)被分析對(duì)象進(jìn)行反匯編����;
創(chuàng)建所述被分析對(duì)象的調(diào)用蹤跡����;
將所述調(diào)用蹤跡與已知對(duì)象進(jìn)行比較,所述已知對(duì)象屬于對(duì)象分類法中的族��;以及
生成所述被分析對(duì)象的多重圖�。
25.如權(quán)利要求24所述的計(jì)算機(jī)實(shí)現(xiàn)的方法,進(jìn)一步包括:
根據(jù)所述多重圖確定所述被分析對(duì)象與預(yù)期不匹配����;以及
將所述被分析對(duì)象指定為不屬于所述對(duì)象分類法中的所述族�。