專利名稱:一種api日志監(jiān)控方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)的反病毒領(lǐng)域����,特別是指一種API日志監(jiān)控方法及裝置。
背景技術(shù):
在反病毒領(lǐng)域�����,計(jì)算機(jī)產(chǎn)生的樣本增量都是海量的����,目前已有的樣本自動(dòng)分析可以歸為兩類
·
I.靜態(tài)自動(dòng)分析通過(guò)反匯編代碼分析、樣本靜態(tài)內(nèi)容比對(duì)以及一系統(tǒng)啟發(fā)式規(guī)則對(duì)比來(lái)給樣本定性���。這種靜態(tài)自動(dòng)分析的技術(shù)的優(yōu)點(diǎn)是快速�,吞量高,可以應(yīng)對(duì)每日的海量樣本���,并給出結(jié)果�;缺點(diǎn)是精準(zhǔn)度一般����,無(wú)法給出樣本的惡意行為,對(duì)加密處理過(guò)的樣本存在較多的誤報(bào)和漏報(bào)�����。2.動(dòng)態(tài)自動(dòng)分析通過(guò)動(dòng)態(tài)執(zhí)行樣本�,并記錄樣本運(yùn)行過(guò)程中的動(dòng)態(tài)行為�,并對(duì)該動(dòng)態(tài)行為進(jìn)行分析,以樣本進(jìn)行定性�。這種動(dòng)態(tài)自動(dòng)分析的技術(shù)的優(yōu)點(diǎn)是精準(zhǔn)度高,可以明確指出樣本惡意行為并可以精確對(duì)樣本進(jìn)行定性�;缺點(diǎn)是低速,吞吐量低����,若想應(yīng)對(duì)海量樣本,需要大量硬件資源投入����。由于病毒行為本身是病毒樣本區(qū)別于正常文件的最本質(zhì)的屬性����,也是病毒家族分類的根本依據(jù)�����,而樣本的動(dòng)態(tài)分析可以精確地指出其產(chǎn)生的各種惡意行為�����,因此具有很高的精確度����,且有很強(qiáng)的事后檢索能力�,可以實(shí)現(xiàn)精確定位一個(gè)病毒家族的一組樣本��。目前已有的樣本的動(dòng)態(tài)分析方法的步驟包括如下I.在特殊的監(jiān)控環(huán)境下執(zhí)行病毒樣本�����;2.記錄病毒對(duì)文件���、注冊(cè)表的修改和訪問(wèn)���;3.記錄進(jìn)程����、線程創(chuàng)建信息并跟蹤��;4.記錄病毒及其衍生進(jìn)程��、線程產(chǎn)生的API (Windows系統(tǒng)接口函數(shù))流日志����,并根據(jù)系統(tǒng)已知文件或者文件路徑過(guò)濾系統(tǒng)文件產(chǎn)生的API流日志,排除干擾�����;5.記錄產(chǎn)生的網(wǎng)絡(luò)通信記錄��;6.利用已有規(guī)則對(duì)上述2�����、3和4步驟中的產(chǎn)生的結(jié)果進(jìn)行分析�,并給出最終結(jié)果����。其中����,該方法中����,利用系統(tǒng)已知文件名或者文件路徑過(guò)濾存在以下缺點(diǎn)I.有潛在的風(fēng)險(xiǎn),將與系統(tǒng)文件同名的病毒的API流日志漏掉�����;2.針對(duì)替換系統(tǒng)文件的病毒手法����,會(huì)將病毒的API流日志漏掉;3.針對(duì)感染型病毒����,感染系統(tǒng)文件后的病毒的API流日志漏掉;4.針對(duì)文件映像指向系統(tǒng)正常文件����,但內(nèi)存內(nèi)容為病毒的內(nèi)容的API流日志漏掉;5.針對(duì)將系統(tǒng)文件名改名并調(diào)用的病毒手法,會(huì)產(chǎn)生大量的垃圾信息����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種API日志監(jiān)控方法及裝置,可以精確判斷API所屬模塊的安全性��,并精確過(guò)濾掉無(wú)關(guān)的模塊產(chǎn)生的API流記錄���,避免漏掉關(guān)鍵API流日志,從而使得到的API流日志更加全面�,精確�。為解決上述技術(shù)問(wèn)題,本發(fā)明的實(shí)施例提供一種API日志監(jiān)控方法��,包括確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信��;獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志�����,若所述API日志所屬的模塊可信���,則不記錄所述API日志,否則,記錄��。其中,所述確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信的步驟包括生成一可信文件列表�;獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件以及所述模塊對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí);若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)����,則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信,否則��,標(biāo)記為不可信��。其中���,所述生成一可信文件列表的步驟包括獲得系統(tǒng)磁盤中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)�����;將所述標(biāo)識(shí)記錄在一動(dòng)態(tài)庫(kù)文件中����;根據(jù)所述動(dòng)態(tài)庫(kù)文件�,生成一可信文件列表。其中���,所述獲得系統(tǒng)磁盤中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)的步驟包括對(duì)所述每個(gè)系統(tǒng)文件進(jìn)行Hash運(yùn)算�����,將得到的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)�����;其中����,所述Hash值包括對(duì)所述系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第一校驗(yàn)值以及對(duì)所述系統(tǒng)文件的頭部分進(jìn)行校驗(yàn)得到的第二校驗(yàn)值;所述動(dòng)態(tài)庫(kù)文件包括順序存儲(chǔ)的所述每個(gè)系統(tǒng)文件的Hash值形成的序列���。其中��,所述根據(jù)所述動(dòng)態(tài)庫(kù)文件�,生成一可信文件列表的步驟包括從所述動(dòng)態(tài)庫(kù)文件的每個(gè)系統(tǒng)文件的Hash值形成的序列中�����,動(dòng)態(tài)申請(qǐng)多個(gè)所述系統(tǒng)文件的Hash值���,形成所述可信文件列表����。其中��,所述獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件�����,以及所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)的步驟包括對(duì)所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的進(jìn)程及衍生進(jìn)程中的所有模塊以及后續(xù)動(dòng)態(tài)加載的模塊進(jìn)行定位�,獲得所述模塊對(duì)應(yīng)的系統(tǒng)文件;對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件進(jìn)行Hash運(yùn)算�����,將得到的所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)�����;其中��,所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值包括對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第三校驗(yàn)值以及對(duì)所述模塊的內(nèi)存影像的頭部分進(jìn)行校驗(yàn)得到的第四校驗(yàn)值�����。其中����,所述若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)��,則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信�����,否則�,標(biāo)記為不可信的步驟包括根據(jù)所述第三校驗(yàn)值以及所述第四校驗(yàn)值�����,在所述可信文件列表中進(jìn)行檢索���,若檢索到與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值��,則將所述模塊標(biāo)記為可信����,否則�����,標(biāo)記為不可信�。其中,采用二分法����,在所述可信文件列表中檢索是否存在與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值。其中�,所述Hash運(yùn)算是64位Hash運(yùn)算;所述第一校驗(yàn)值�����、所述第二校驗(yàn)值�����、所述第三校驗(yàn)值以及所述第四校驗(yàn)值均是采用CRC32校驗(yàn)算法進(jìn)行校驗(yàn)獲得的���。本發(fā)明的實(shí)施例還提供一種API日志監(jiān)控裝置���,包括確定模塊,用于確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信�����;記錄模塊����,用于獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志��,若所述API日志所屬的模塊可信�����,則不記錄所述API日志�����,否則��,記錄����。本發(fā)明的上述技術(shù)方案的有益效果如下
·
上述方案中��,通過(guò)確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后動(dòng)態(tài)加載的模塊是否可信���,若可信�,則對(duì)該模塊進(jìn)行標(biāo)記��,并進(jìn)一步判斷目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志所屬的來(lái)源模塊是否被標(biāo)記為可信����,若可信�,則記錄該條API����,否則,不記錄該條API ;從而可以精確判斷API所屬模塊的安全性���,并精確過(guò)濾掉無(wú)關(guān)的模塊產(chǎn)生的API流記錄,避免漏掉關(guān)鍵API流日志���,從而使得到的API流日志更加全面����,精確�����。
圖I為本發(fā)明的實(shí)施例API日志監(jiān)控方法流程圖��;圖2為圖I所示方法中�����,判斷模塊是否可信的流程圖;圖3為圖I所示方法中�,判斷API日志是否被記錄的流程圖。
具體實(shí)施例方式為使本發(fā)明要解決的技術(shù)問(wèn)題����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例進(jìn)行詳細(xì)描述�。如圖I所示,本發(fā)明的實(shí)施例提供一種API日志監(jiān)控方法���,包括步驟11����,確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可/[目;步驟12��,獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志����,若所述API日志所屬的模塊可信,則不記錄所述API日志����,否則,記錄��。本發(fā)明的該實(shí)施例通過(guò)確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后動(dòng)態(tài)加載的模塊是否可信,若可信��,則對(duì)該模塊進(jìn)行標(biāo)記�����,并進(jìn)一步判斷目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志所屬的來(lái)源模塊是否被標(biāo)記為可信�����,若可信����,則記錄該條API����,否則,不記錄該條API ;從而可以精確判斷API所屬模塊的安全性��,并精確過(guò)濾掉無(wú)關(guān)的模塊產(chǎn)生的API流記錄��,避免漏掉關(guān)鍵API流日志��,從而使得到的API流日志更加全面�,精確。在本發(fā)明的另一實(shí)施例中,包括上述步驟11和12的基礎(chǔ)上����,其中,步驟11具體可以包括步驟111�����,生成一可信文件列表�����;步驟112�,獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件以及所述模塊對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí);步驟113�,若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí),則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信����,否則,標(biāo)記為不可信����。其中,步驟111可具體包括步驟1111����,獲得系統(tǒng)磁盤中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)�;如遍歷系統(tǒng)磁盤C盤中的所有系統(tǒng)文件(如可移植的執(zhí)行體PE文件)步驟1112�����,將所述標(biāo)識(shí)記錄在一動(dòng)態(tài)庫(kù)文件中�,如一指定DB文件中;步驟1113����,根據(jù)所述動(dòng)態(tài)庫(kù)文件,生成一可信文件列表���。進(jìn)一步地�����,步驟1111可具體包括對(duì)所述每個(gè)系統(tǒng)文件進(jìn)行Hash(哈希)運(yùn)算,優(yōu)選的��,進(jìn)行64位Hash運(yùn)算���,將得到的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)����,其中,所述Hash值包括對(duì)所述系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第一校驗(yàn)值以及對(duì)所述系統(tǒng)文件的頭部分進(jìn)行校驗(yàn)得到的第二校驗(yàn)值�;所述第一校驗(yàn)值、所述第二校驗(yàn)值均是采用CRC32校驗(yàn)算法進(jìn)行校驗(yàn)獲得的�。 相應(yīng)的,所述動(dòng)態(tài)庫(kù)文件包括順序存儲(chǔ)的所述每個(gè)系統(tǒng)文件的Hash值形成的序列����,如下表所示,最終得到動(dòng)態(tài)庫(kù)文件(DB文件)為順序存儲(chǔ)的文件Hash特征序列
file—sig—I file—sig—2 file—sig—3 ...進(jìn)一步地��,上述1113可以包括從所述動(dòng)態(tài)庫(kù)文件的每個(gè)系統(tǒng)文件的Hash值形成的序列中�����,動(dòng)態(tài)申請(qǐng)多個(gè)所述系統(tǒng)文件的Hash值����,形成所述可信文件列表。在本發(fā)明的另一實(shí)施例中�,包括上述步驟111-113,以及步驟12的基礎(chǔ)上��,其中��,步驟112包括步驟1121,對(duì)所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的進(jìn)程及衍生進(jìn)程中的所有模塊以及后續(xù)動(dòng)態(tài)加載的模塊進(jìn)行定位�����,獲得所述模塊對(duì)應(yīng)的系統(tǒng)文件�;步驟1122,對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件進(jìn)行Hash運(yùn)算�,優(yōu)選的,進(jìn)行64位Hash運(yùn)算���,將得到的所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)�����,其中����,所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值包括對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第三校驗(yàn)值以及對(duì)所述模塊的內(nèi)存影像的頭部分進(jìn)行校驗(yàn)得到的第四校驗(yàn)值����;其中�,所述第三校驗(yàn)值、所述第四校驗(yàn)值均是采用CRC32校驗(yàn)算法進(jìn)行校驗(yàn)獲得的���。進(jìn)一步地,上述步驟113可以具體包括步驟1131�����,根據(jù)所述第三校驗(yàn)值以及所述第四校驗(yàn)值�����,在所述可信文件列表中進(jìn)行檢索�,若檢索到與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值,則將所述模塊標(biāo)記為可信���,否則���,標(biāo)記為不可信。具體地���,對(duì)目標(biāo)進(jìn)程及其衍生進(jìn)程中的所有已有模塊及后續(xù)動(dòng)態(tài)加載模塊進(jìn)行判斷���,根據(jù)模塊路徑定位到對(duì)應(yīng)系統(tǒng)文件,對(duì)系統(tǒng)文件計(jì)算文件全文full_crc32特征����,對(duì)模塊的內(nèi)存映像的頭部分計(jì)算head_CrC32特征�,利用該兩部分特征到可信文件列表中檢索���,若匹配成功標(biāo)記模塊可信����,否則標(biāo)記不可信����,并將模塊信息插入模塊信息鏈表以備API監(jiān)控階段用于過(guò)濾。優(yōu)選的����,采用二分法,在所述可信文件列表中檢索是否存在與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值�����。本發(fā)明的上述實(shí)施例通過(guò)判斷目標(biāo)樣本運(yùn)行過(guò)程中的所有模塊以及后續(xù)動(dòng)態(tài)加載的模塊是不可信���,并采用了磁盤的系統(tǒng)文件Hash及內(nèi)存映像Hash相結(jié)合的方式�����,判斷模塊是否可信��,其中�,磁盤的系統(tǒng)文件采用全文Hash���,防止漏過(guò)感染代碼導(dǎo)致校驗(yàn)被繞過(guò)�;內(nèi)存映像頭部件Hash計(jì)算防止病毒通過(guò)修改內(nèi)存映像的方式逃避檢測(cè)����;并進(jìn)一步采用頭部取特定長(zhǎng)度數(shù)據(jù)計(jì)算Hash的方式(64位Hash以及CRC32校驗(yàn)),防止正常軟件內(nèi)存映像對(duì)特定字段正常修改導(dǎo)致校驗(yàn)失敗�。與上述方法相應(yīng)的,本發(fā)明的實(shí)施例還提供一種API日志監(jiān)控裝置���,包括確定模塊����,用于確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信����;記錄模塊,用于獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志��,若所述API日志所屬的模塊可信,則不記錄所述API日志��,否則����,記錄。 其中��,確定模塊進(jìn)一步用于完成如上述方法實(shí)施例中步驟111-113以及這些步驟的所有具體實(shí)現(xiàn)方式�,因此,該裝置的實(shí)施例也能達(dá)到與上述方法實(shí)施例相同的技術(shù)效果����,在此不再贅述。該裝置實(shí)施例中�����,可以將該裝置部署在一個(gè)安全干凈的目標(biāo)操作系統(tǒng)(以XP系統(tǒng)為例)中����,確保該系統(tǒng)中不存在任何惡意文件。以上所述是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明所述原理的前提下���,還可以作出若干改進(jìn)和潤(rùn)飾����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種API日志監(jiān)控方法��,其特征在于�,包括 確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可 目; 獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志,若所述API日志所屬的模塊可信���,貝1J不記錄所述API日志,否則,記錄���。
2.根據(jù)權(quán)利要求I所述的API日志監(jiān)控方法,其特征在于��,所述確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信的步驟包括 生成一可信文件列表����; 獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件,以及所述模塊對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)�; 若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí),則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信,否則���,標(biāo)記為不可信��。
3.根據(jù)權(quán)利要求2所述的API日志監(jiān)控方法�,其特征在于��,所述生成一可信文件列表的步驟包括 獲得系統(tǒng)磁盤中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)��; 將所述標(biāo)識(shí)記錄在一動(dòng)態(tài)庫(kù)文件中����; 根據(jù)所述動(dòng)態(tài)庫(kù)文件,生成一可信文件列表�����。
4.根據(jù)權(quán)利要求3所述的API日志監(jiān)控方法��,其特征在于���,所述獲得系統(tǒng)磁盤中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)的步驟包括 對(duì)所述每個(gè)系統(tǒng)文件進(jìn)行Hash運(yùn)算��,將得到的Hash值作為所述系統(tǒng)文件的唯一標(biāo)識(shí)��;其中��,所述Hash值包括對(duì)所述系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第一校驗(yàn)值以及對(duì)所述系統(tǒng)文件的頭部分進(jìn)行校驗(yàn)得到的第二校驗(yàn)值���; 所述動(dòng)態(tài)庫(kù)文件包括順序存儲(chǔ)的所述每個(gè)系統(tǒng)文件的Hash值形成的序列���。
5.根據(jù)權(quán)利要求4所述的API日志監(jiān)控方法,其特征在于����,所述根據(jù)所述動(dòng)態(tài)庫(kù)文件���,生成一可信文件列表的步驟包括 從所述動(dòng)態(tài)庫(kù)文件的每個(gè)系統(tǒng)文件的Hash值形成的序列中��,動(dòng)態(tài)申請(qǐng)多個(gè)所述系統(tǒng)文件的Hash值�����,形成所述可信文件列表�����。
6.根據(jù)權(quán)利要求4所述的API日志監(jiān)控方法�����,其特征在于���,所述獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件���,以及所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)的步驟包括 對(duì)所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的進(jìn)程及衍生進(jìn)程中的所有模塊以及后續(xù)動(dòng)態(tài)加載的模塊進(jìn)行定位,獲得所述模塊對(duì)應(yīng)的系統(tǒng)文件��; 對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件進(jìn)行Hash運(yùn)算��,將得到的所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)���;其中�����,所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值包括對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第三校驗(yàn)值以及對(duì)所述模塊的內(nèi)存影像的頭部分進(jìn)行校驗(yàn)得到的第四校驗(yàn)值����。
7.根據(jù)權(quán)利要求6所述的API日志監(jiān)控方法����,其特征在于���,所述若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí),則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信����,否則,標(biāo)記為不可信的步驟包括根據(jù)所述第三校驗(yàn)值以及所述第四校驗(yàn)值����,在所述可信文件列表中進(jìn)行檢索,若檢索到與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值����,則將所述模塊標(biāo)記為可信���,否則�,標(biāo)記為不可信����。
8.根據(jù)權(quán)利要求7所述的API日志監(jiān)控方法,其特征在于�����,采用二分法,在所述可信文件列表中檢索是否存在與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值���。
9.根據(jù)權(quán)利要求4-8任一項(xiàng)所述的API日志監(jiān)控方法����,其特征在于�,所述Hash運(yùn)算是64位Hash運(yùn)算;所述第一校驗(yàn)值�、所述第二校驗(yàn)值、所述第三校驗(yàn)值以及所述第四校驗(yàn)值均是采用CRC32校驗(yàn)算法進(jìn)行校驗(yàn)獲得的����。
10.一種API日志監(jiān)控裝置,其特征在于����,包括 確定模塊,用于確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可/[目; 記錄模塊����,用于獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志,若所述API日志所屬的模塊可信���,則不記錄所述API日志����,否則,記錄�。
全文摘要
本發(fā)明提供一種API日志監(jiān)控方法及裝置,其中方法包括確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信����;獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志,若所述API日志所屬的模塊可信�,則不記錄所述API日志,否則�����,記錄�����。本發(fā)明的方案可以精確判斷API所屬模塊的安全性����。
文檔編號(hào)G06F21/56GK102930207SQ20121012976
公開(kāi)日2013年2月13日 申請(qǐng)日期2012年4月27日 優(yōu)先權(quán)日2012年4月27日
發(fā)明者白彥庚, 劉歡, 鄒義鵬, 張楠, 陳勇 申請(qǐng)人:北京金山安全軟件有限公司, 可牛網(wǎng)絡(luò)技術(shù)(北京)有限公司, 貝殼網(wǎng)際(北京)安全技術(shù)有限公司