專利名稱:鑒定病毒文件的方法、裝置及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機反病毒技術(shù)領(lǐng)域。
背景技術(shù):
近年來,互聯(lián)網(wǎng)上流4亍的病毒和木馬通常不是單個發(fā)作,而是一類的大 量變種在互聯(lián)網(wǎng)上活動,且可頻繁升級,因此很容易發(fā)生大量的病毒或木馬 爆發(fā)的局面。這對反病毒產(chǎn)品升級的周期提出了更高的要求,反病毒產(chǎn)品的 升級速度對是否能有效防殺大量的病毒和木馬起到重要的作用。
目前反病毒最成熟的技術(shù)之一是特征法。特征法一4殳包括病毒分析、特 征提取、病毒庫制作和升級等過程,而這些過程中,鑒定可疑文件是否為病 毒的病毒分析過程是最耗時的過程之一 。
一種分析病毒的方法是動態(tài)分析。動態(tài)分析的主要過程是,在用戶系統(tǒng) 中運行可疑文件,利用半自動工具記錄所述可疑文件運^f亍時的行為,通過系 統(tǒng)運行前和運行后的比較,得出可疑文件運行后對系統(tǒng)的改動結(jié)果,然后對 所述結(jié)果進行對比、分析,最終確認所述可疑文件是否為病毒,如果所述可 疑文件為病毒,則需要重啟系統(tǒng),對系統(tǒng)進行恢復(fù),再繼續(xù)對下一個可疑文 件進行分析。
上述病毒分析方法的不足之處在于,在該方法中,可疑文件在計算機系 統(tǒng)中運行,如果該可疑文件是病毒,則會對系統(tǒng)造成損害,在病毒分析過程 中為了減少病毒的危害性,需要重啟系統(tǒng)對系統(tǒng)進行還原^多復(fù),而重啟動作
使得病毒分析的過程大為延長,從而影響反病毒產(chǎn)品的升級周期;另外,如 果病毒使系統(tǒng)崩潰,則需要重裝系統(tǒng),這將更為延長反病毒產(chǎn)品的升級周期。
發(fā)明內(nèi)容
本發(fā)明提供一種鑒定病毒文件的方法、裝置及網(wǎng)絡(luò)設(shè)備,能夠縮短鑒定 病毒文件的時間,提高了病毒分析的效率。
為達到上述發(fā)明目的,本發(fā)明提出以下的技術(shù)方案
本發(fā)明提供了鑒定病毒文件的方法首先建立虛擬系統(tǒng),在該虛擬系統(tǒng) 中運行可疑文件,記錄所述可疑文件的行為信息;根據(jù)所述行為信息和病毒 行為特征庫,判斷所述可^:文件是否為病毒文件,如果是,則將所述可疑文 件標識為病毒文件;否則,將所述可疑文件標識為安全文件。
本發(fā)明還提供了鑒定病毒文件的裝置,該裝置包括
虛擬系統(tǒng)模塊,用于建立模擬系統(tǒng),將可疑文件的行為定向至虛擬系統(tǒng), 運行可疑文件;
行為信息收集模塊,用于記錄所述可疑文件的行為信息;
行為特征分析模塊,用于根據(jù)所述行為信息和病毒行為特征庫,判斷所 述可疑文件為病毒時,將所述可疑文件標識為病毒;判斷所述可疑文件為安 全文件時,將所述可疑文件標識為安全文件。
另外,針對與上述鑒定病毒文件的方法及裝置,本發(fā)明還提供了一種網(wǎng) 絡(luò)設(shè)備,包括處理器以及處理器所^執(zhí)行的一個或多個指令,所述處理器執(zhí) 行所述指令時,用于實現(xiàn)以下步驟
建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可疑文件,記錄所述可疑文件的行 為信息;
根據(jù)所述行為信息和病毒行為特征庫,判斷所述可^:文件是否為病毒文 件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標 識為安全文^f牛。
本發(fā)明還提供一種存^f諸介質(zhì),用于存儲一個或多個用于鑒定病毒文件的
指令,所述指令在被執(zhí)行時用于完成以下步驟
建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可#是文件,記錄所述可疑文件的行 為信息;根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病 毒文件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文 件標識為安全文件。
在本發(fā)明中,由于建立了虛擬系統(tǒng),在病毒分析過程中,使可疑文件在 虛擬的系統(tǒng)中運行,對真實的系統(tǒng)沒有損害, 一個文件鑒定完畢,只需放棄 其在虛擬系統(tǒng)的行為結(jié)果即可,而無需對系統(tǒng)進行重啟》,復(fù),因此系統(tǒng)恢復(fù) 速度快,節(jié)約的大量分析時間,提高了鑒定病毒的效率。
圖1為一個實施例中鑒定病毒文件的流程圖2為一個實施例中鑒定病毒文件的裝置的邏輯框圖。
具體實施例方式
在病毒分析的過程中,鑒定一個可疑文件是否為病毒文件,通常是通過 對該文件的運行時的行為進行分析,從而確認是否為病毒文件。請參閱圖1, 本發(fā)明提供一種鑒定病毒文件的方法,首先在系統(tǒng)中構(gòu)造虛擬系統(tǒng)(S101),
當發(fā)現(xiàn)可疑文件時,令可^L文件在該虛擬系統(tǒng)中運行,并記錄可疑文件的行
為信息(S102);并將行為信息和病毒行為特征庫進行比對(S103),判斷所 述可疑文件是否為病毒文件(S104),如果是,則將所述可*是文件標識為病毒 文件(S105);否則,將所述可疑文件標識為安全文件(S106)。
對于步驟S101,虛擬系統(tǒng)可以通過使用計算機程序監(jiān)控系統(tǒng)關(guān)鍵API、 以及模擬真實系統(tǒng)某些功能的方式構(gòu)建一種虛擬框架,可以模擬真實的系統(tǒng) 加載程序的過程,以便使可疑文件作用于真實系統(tǒng)的行為能夠被重定向與該
虛擬系統(tǒng)中。
對于步驟S102,當通過模擬系統(tǒng)對可疑文件進行加載后,令其在虛擬系 統(tǒng)中運行,當可疑文件需要執(zhí)行某個行為時,通常需要發(fā)出行為請求消息, 此時虛擬系統(tǒng)根據(jù)可疑文件的行為請求消息,向所述可^:文件返回所述行為 成功消息,當可疑文件收到成功消息后認為前述的行為成功,因此繼續(xù)運行 下一行為。例如,假設(shè)一個可疑文件的行為是打開一個IE、鏈接到一個網(wǎng)站, 在收集到可疑文件的該行為請求消息后,虛擬系統(tǒng)向該可疑文件行為發(fā)出消 息打開正及網(wǎng)站鏈接成功,在接收到該成功消息后,這個可疑文件認為這 個成功是真實的,/人而進4亍下一步的動作。對于步驟S102,對可疑文件在虛 擬系統(tǒng)中執(zhí)行的行為信息進行記錄,由于真實的操作系統(tǒng)沒有執(zhí)行對應(yīng)于該 可疑文件的行為動作,因此,在可疑文件進行下一步的動作之后,以同樣的 方式進行記錄該行為的行為信息。在一個實施例中,由計算機系統(tǒng)來進行上 述記錄過程,可以將記錄結(jié)果存放到數(shù)據(jù)庫里,也可以存》文為某種文件格式、 曰志、分析報告或者當該可疑文件是用戶上報上來的時候,可以將記錄結(jié)果 回饋給用戶等。
對于步驟S103,當該可疑文件在虛擬系統(tǒng)中的運行完成后,對所記錄的 所有的行為信息進行分析,在一個實施例中,通過分析虛擬系統(tǒng)運行前和運 行后的變化獲得可疑文件運行后對系統(tǒng)的改動結(jié)果,行為信息可以是可疑文 件對系統(tǒng)的改動結(jié)果,可以包括對虛擬系統(tǒng)的注冊表、文件、網(wǎng)絡(luò)或進程等 的影響。以對文件的改動為例,可以包括對文件的感染、》l"改、添加和刪除。 將行為信息與行為特征庫進行比對,如果行為特征庫中存在這個可疑文件的 行為信息,則將其標識為病毒,進行下一步的處理工作,如果不存在,則認 為該可疑文件是正常的行為特征,讓它在真實的系統(tǒng)上真實運行。
作為本發(fā)明的進一步改進,在一個實施例中,對于行為特征庫中存在的
行為特征,可以設(shè)定相應(yīng)的權(quán)值,當將行為信息與行為特征庫進行比對時, 將行為特征庫中對應(yīng)的各權(quán)值進行相加,當權(quán)值大于某個設(shè)定值時,則判定 該可l是文件為病毒了 。
另外,由于在對可疑文件的行為進行分析時需要考慮到各行為的權(quán)值之 和,為了進一步加強對可疑文件分析的準確性, 一個實施例中對所有的可疑 文件依次進行分析,并且對每個可疑文件的行為進行分析時,將該可疑文件 的每個行為分別進行分析,以避免多個行為的權(quán)值之間相互影響,造成誤判。
以下列舉一個對行為特征庫中的行為特征設(shè)定權(quán)值的實例,在該實例中
設(shè)定當可疑文件的各行為的權(quán)值大于3時,該可疑文件為病毒。 在該實施例中,行為特征庫中可以包括以下行為特征 一、注冊表行為特征
1、 在注冊表中添加啟動項
HKEY—LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R
im
在該實施例中將行為特征庫中的該行為特征的權(quán)值設(shè)置為2;
2、 刪除以下注冊表鍵值,破壞系統(tǒng)的安全模式,導(dǎo)致用戶不能選擇進入 安全模式
HKEY—CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot 在該實施例中將行為特征庫中的該行為特征的權(quán)值設(shè)置為4; 二、文件4亍為
1 、將可疑文件自身復(fù)制到系統(tǒng)目錄,在VWindows、system32、復(fù)制 一個名為 svchOst.exe的病毒本體。
在該實施例中將行為特征庫中的該行為特征的權(quán)值設(shè)置為2;
2、同時枚舉d-z的分區(qū)生成文件autorun.inf和病毒體本身(auto.exe),通過
系統(tǒng)的自動運行來激活病毒或傳播病毒。
在該實施例中將行為特征庫中的該行為特征的權(quán)值設(shè)置為5; 三、內(nèi)存4亍為
1、可疑文件在系統(tǒng)中查找安全軟件的進程并進行中止行為,安全軟件的 進程可以是以下關(guān)鍵字的進程名 kvolsdf.exe KvReport,kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXRkxp KvXp一l.kxp KWatch.exe KWatch9x.exe KWatchX.exe MagicSet.exe
在該實施例中將行為特征庫中的該行為特征的權(quán)值設(shè)置為5。 在該實施例中,將可疑文件的行為信息與病毒行為特征庫的行為特征進行 匹配,獲取所述行為的權(quán)值,當某個可疑文件的行為包含以上至少一項與上 述行為特征匹配的行為信息,并且各行為信息的權(quán)值的和大于3時,則認為 該可疑文件為病毒文件,否則,判斷所述可疑文件為安全文件。
在本發(fā)明的一個實施例中,設(shè)定了所述可疑文件在虛擬系統(tǒng)中的運行時 間;在規(guī)定時間內(nèi)對可疑文件的行為信息進行追蹤,可疑文件可以不必運行 完所有的行為,以節(jié)約分析可疑文件的時間。
由上所述,本發(fā)明提供的鑒定病毒文件的方法是由系統(tǒng)執(zhí)行的動態(tài)分析 過程,另外,現(xiàn)有技術(shù)中的鑒定病毒文件通常需要對系統(tǒng)進行重啟,是由于 現(xiàn)有技術(shù)中的鑒定病毒文件的方法是對可疑文件在真實的4喿作系統(tǒng)中的行為 進行分析,為了減小病毒文件對系統(tǒng)的損害,在對一個可疑文件進行鑒定分 析后,需要將系統(tǒng)進行重啟來對系統(tǒng)進行還原,而本發(fā)明的鑒定病毒文件的 方式是在一個虛擬的環(huán)境里進行,可疑文件在虛擬的系統(tǒng)里運行,因此不會 對真實的系統(tǒng)產(chǎn)生影響,從而本發(fā)明的方案既不影響真實的系統(tǒng),避免了重 啟動系統(tǒng)損耗的時間,節(jié)省了鑒定病毒文件的時間。
進一步,由于可疑文件作用于虛擬的系統(tǒng),不作用于真實系統(tǒng)的,因此當 對可疑文件分析完成時,通過放棄該可疑文件在虛擬系統(tǒng)中所產(chǎn)生的行為結(jié)
果,就可以將系統(tǒng)恢復(fù),即將病毒文件在虛擬系統(tǒng)中的行為內(nèi)容刪除。比如 清除病毒在虛擬的系統(tǒng)中創(chuàng)建的文件,也就是說,本發(fā)明不需要重新啟動系 統(tǒng),可自我恢復(fù)系統(tǒng),從而加快對可疑文件的鑒定效率。
對應(yīng)于上述鑒定病毒文件的方法,本發(fā)明還提供一種鑒定病毒文件的裝 置,請參閱圖2,該裝置包括虛擬系統(tǒng)模塊201,用于建立虛擬系統(tǒng),將可疑 文件的行為定向至虛擬系統(tǒng),運行可疑文件;行為信息收集模塊202,用于記 錄所述可疑文件的行為信息;行為特征分析模塊203,用于根據(jù)所述行為信息 和病毒行為特征庫,判斷所述可疑文件為病毒時,將所述可疑文件標識為病 毒;判斷所述可疑文件為安全文件時,將所述可疑文件標識為安全文件。
所述虛擬系統(tǒng)模塊201可以包括可疑文件存儲模塊2011和映像加載模塊 2012。
虛擬系統(tǒng)模塊201通過監(jiān)控真實系統(tǒng)的關(guān)鍵API以及模擬真實系統(tǒng)的某些 功能建立一個虛擬系統(tǒng),可疑文件存儲;漠塊2011將所有的可疑文件組成文件
隊列,進行存儲;映像加載模塊2012模擬真實系統(tǒng)的加載程序的過程,從可 疑文件存儲模塊2011獲取可疑文件,逐一將可疑文件加載到內(nèi)存,當收到可 疑文件的行為請求信息后,向該可疑文件發(fā)送成功消息,令可疑文件在虛擬 系統(tǒng)中運行;行為信息收集模塊2012從虛擬系統(tǒng)模塊201中獲取可疑文件的 各種行為信息,進行規(guī)范記錄;行為特征分析模塊203將行為信息收集模塊 202的信息記錄與行為特征庫進行匹配,獲得該行為的權(quán)值,并將分析結(jié)果發(fā) 送給數(shù)據(jù)安全處理模塊204,數(shù)據(jù)安全處理模塊204將分析結(jié)果是病毒文件的 可疑文件對虛擬系統(tǒng)作用的內(nèi)容進行清空,通知映像加載模塊2012加載下一 個可疑文件。
上文所述的各實施例中的鑒定病毒文件的方法中各步驟可以通過一條或 多條指令實現(xiàn),上述鑒定病毒文件的裝置可以用于反病毒引擎工作過程中進 行可疑文件的鑒定,并最終確定可疑文件為病毒文件,所述反病毒引擎利用 被鑒定為病毒的文件的特征去標識其它文件為病毒并進行清除;所述指令可 以被配置在包含處理器的網(wǎng)絡(luò)設(shè)備中,由該處理器執(zhí)行,同時,所述指令可 以存儲在存儲介質(zhì)中。所述網(wǎng)絡(luò)設(shè)備可以是計算機等網(wǎng)絡(luò)設(shè)備。
以上所述的本發(fā)明實施方式,并不構(gòu)成對本發(fā)明保護范圍的限定。任何 在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進等,均應(yīng)包含在本 發(fā)明的權(quán)利要求保護范圍之內(nèi)。
權(quán)利要求
1、一種鑒定病毒文件的方法,其特征在于,包括步驟建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可疑文件,記錄所述可疑文件的行為信息;根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標識為安全文件。
2、 根據(jù)權(quán)利要求1所述的鑒定病毒文件的方法,其特征在于,在該虛擬 系統(tǒng)中運行可疑文件的過程包括所述可疑文件發(fā)出行為請求消息,所述虛擬系統(tǒng)才艮據(jù)所述可疑文件的行 為請求消息,向所述可疑文件返回所述行為成功消息,所述可疑文件運行下 一行為。
3、 根據(jù)權(quán)利要求2所述的鑒定病毒文件的方法,其特征在于, 建立虛擬系統(tǒng)時,還進一步包括設(shè)定所述可疑文件的運行時間; 記錄所述可疑文件的行為信息具體包括在所述運行時間內(nèi)記錄可疑文件的行為信息。
4、 根據(jù)權(quán)利要求2所述的鑒定病毒文件的方法,其特征在于,還包括步驟當判斷所述可疑文件為病毒文件時,將所述病毒文件在所述虛擬系統(tǒng)的 行為內(nèi)容清空。
5、 權(quán)利要求1~4任一項所述的鑒定病毒文件的方法,其特征在于,判 斷所述可疑文件是否為病毒文件的過程具體為將所述行為信息與病毒行為特征庫的行為特征進行匹配,獲取所述行為 的權(quán)值,檢測所述行為的權(quán)值之和是否大于設(shè)定值,如果是,則判斷所述文 件為病毒;否則,判斷所述可疑文件為安全文件。
6、 一種鑒定病毒文件的裝置,其特征在于,該裝置包括 虛擬系統(tǒng)模塊,用于建立虛擬系統(tǒng),將可疑文件的行為定向至該虛擬系統(tǒng),運行所述可疑文件;行為信息收集模塊,用于記錄所述可疑文件的行為信息;行為特征分析模塊,用于根據(jù)所述行為信息和病毒行為特征庫,判斷所 述可疑文件為病毒時,將所述可疑文件標識為病毒;判斷所述可疑文件為安 全文件時,將所述可疑文件標識為安全文件。
7、 如權(quán)利要求6所述的鑒定病毒文件的裝置,其特征在于,所述虛擬系 統(tǒng)模塊包括可疑文件存儲模塊,用于存儲所述可疑文件,以及映像加載模塊,用于將所述可疑文件在該虛擬系統(tǒng)中逐一加載,并在所 述虛擬系統(tǒng)中運行所述可疑文件。
8、 如權(quán)利要求7所述的鑒定病毒文件的裝置,其特征在于,該裝置還包括定時單元,用于設(shè)定所述可疑文件運行時間;'所述行為信息收集單元,還用于在所述定時單元設(shè)定的運行時間內(nèi),記 錄所述可疑文件的行為信息。
9、 如權(quán)利要求8所述的鑒定病毒文件的裝置,其特征在于,該裝置還包 括數(shù)據(jù)安全處理模塊,用于當判斷所述可疑文件為病毒文件時,將所述病 毒文件在所述虛擬系統(tǒng)的行為內(nèi)容清空,并通知所述映像加載模塊加載下一 個可疑文件。
10、 一種網(wǎng)絡(luò)設(shè)備,其特征在于,包括處理器以及處理器所執(zhí)行的一 個或多個指令,所述處理器執(zhí)行所述指令時,用于實現(xiàn)以下步驟建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可疑文件,記錄所述可疑文件的行為信息;根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文 件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標 識為安全文件。
11、 一種存儲介質(zhì),其特征在于,用于存儲一個或多個用于鑒定病毒文 件的指令,所述指令在被執(zhí)行時用于完成以下步驟建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可疑文件,記錄所述可疑文件的行 為信息;根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文 件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標 識為安全文件。
全文摘要
本發(fā)明提供的鑒定病毒文件的方法,首先建立虛擬系統(tǒng),在該虛擬系統(tǒng)中運行可疑文件,記錄所述可疑文件的行為信息;根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文件,如果是,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標識為安全文件。本發(fā)明還提供了鑒定病毒文件的裝置,包括虛擬系統(tǒng)模塊,用于建立模擬系統(tǒng),將可疑文件的行為定向至虛擬系統(tǒng),運行可疑文件;行為信息收集模塊,用于記錄所述可疑文件的行為信息;行為特征分析模塊,用于根據(jù)所述行為信息和病毒行為特征庫,判斷所述可疑文件為病毒時,將所述可疑文件標識為病毒;判斷所述可疑文件為安全文件時,將所述可疑文件標識為安全文件。
文檔編號G06F21/00GK101350049SQ200710029168
公開日2009年1月21日 申請日期2007年7月16日 優(yōu)先權(quán)日2007年7月16日
發(fā)明者輝 姚, 敏 李, 李偉健, 凱 肖, 閩 趙 申請人:珠海金山軟件股份有限公司