惡意文件檢測方法及裝置制造方法
【專利摘要】本發(fā)明公開一種惡意文件檢測方法及裝置����,其方法包括:獲取待檢測的樣本文件;運(yùn)行樣本文件���,并監(jiān)控樣本文件的運(yùn)行行為���,生成日志文件;分析日志文件�,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測。本發(fā)明通過在虛擬機(jī)中運(yùn)行樣本文件��,然后在虛擬機(jī)中運(yùn)行監(jiān)控程序�����,記錄樣本文件的運(yùn)行行為����,以此生成日志文件��,然后再通過提取的特征規(guī)則對(duì)這些日志文件進(jìn)行匹配����,最終實(shí)現(xiàn)樣本文件的惡意檢測���,本發(fā)明可大大提高病毒分析效率,并可及時(shí)找出當(dāng)前反病毒軟件無法檢測出的新樣本或某類有特定行為類型的樣本����,從而提高了病毒樣本的檢測準(zhǔn)確率。
【專利說明】惡意文件檢測方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全【技術(shù)領(lǐng)域】�,尤其涉及一種基于運(yùn)行行為日志分析的惡意文件檢測方法及裝置。
【背景技術(shù)】
[0002]目前���,隨著病毒�����、惡意軟件的大肆泛濫����,病毒樣本分析技術(shù)也得到不斷提高����,通過病毒樣本分析,使病毒分析人員可快速鑒定病毒并了解其行為���,從而制定相應(yīng)的反病毒策略�����,對(duì)病毒進(jìn)行有效攔截���,保護(hù)用戶系統(tǒng)免受破壞����。
[0003]目前基于云的反病毒系統(tǒng)可及時(shí)有效的獲取到最新的樣本����,同時(shí)也帶來了海量的樣本庫。由于人工分析病毒比較費(fèi)時(shí)費(fèi)力�,單靠人工分析無法應(yīng)對(duì)當(dāng)前飛速增長的大量病毒,因此需要結(jié)合各種病毒自動(dòng)化分析技術(shù)來提高病毒分析的效率���。
[0004]現(xiàn)有的病毒分析技術(shù)主要包括:啟發(fā)式病毒分析技術(shù)��、抗靜態(tài)病毒分析技術(shù)���、虛擬機(jī)檢測病毒技術(shù)以及主動(dòng)防御(實(shí)時(shí)防御)檢測技術(shù)��,其中:
[0005]啟發(fā)式病毒分析是利用病毒運(yùn)行和程序正常運(yùn)行時(shí)的行為模式的不同來判斷一個(gè)程序是否是病毒��,這種方式是通過總結(jié)大量病毒的運(yùn)行行為而得出分析結(jié)果,比如通過病毒自啟動(dòng)��、傳播����、盜號(hào)等行為總結(jié)出一定的行為模式規(guī)則,以此來檢測病毒��。但是這種病毒分析效率不高�,而且病毒檢測不夠準(zhǔn)確。
[0006]對(duì)于抗靜態(tài)病毒分析技術(shù),啟發(fā)式分析中靜態(tài)分析技術(shù)比較簡單且檢測速度快�,但是不能對(duì)付加殼、混淆�、變形以及多態(tài)病毒,因?yàn)檫@類病毒通過各種技術(shù)模糊了自身的代碼���,而靜態(tài)分析無法處理這類樣本來了解病毒行為從而判斷其惡意屬性����。
[0007]對(duì)于虛擬機(jī)檢測病毒技術(shù)�����,可以用來應(yīng)對(duì)加殼或加花指令、混淆��、變形病毒�,虛擬機(jī)一般通過模擬CPU和文件、內(nèi)存管理系統(tǒng)以及系統(tǒng)API進(jìn)而模擬代碼的執(zhí)行過程���,病毒程序在虛擬機(jī)的虛擬環(huán)境中執(zhí)行而不是被真實(shí)的執(zhí)行�,監(jiān)控系統(tǒng)內(nèi)軟件運(yùn)行時(shí)的行為�,根據(jù)這些行為日志匹配一些規(guī)則,如果匹配到則說明發(fā)現(xiàn)了可疑樣本�。但是,由于虛擬系統(tǒng)比較耗費(fèi)系統(tǒng)資源�,因此這類虛擬機(jī)并沒有完全的模擬整個(gè)系統(tǒng)。病毒可以運(yùn)行一些特殊指令�,此時(shí)如果虛擬機(jī)沒有模擬這條指令,病毒就能檢測到自己運(yùn)行到虛擬機(jī)下��,則會(huì)改變執(zhí)行流程����,比如不執(zhí)行惡意行為等,從而逃過反病毒軟件檢測����。此外��,這類虛擬技術(shù)不夠穩(wěn)定,在客戶端使用時(shí)比較耗費(fèi)系統(tǒng)資源�,導(dǎo)致用戶機(jī)器運(yùn)行緩慢。
[0008]主動(dòng)防御(實(shí)時(shí)防御)檢測技術(shù)是通過對(duì)系統(tǒng)中的一些關(guān)鍵API進(jìn)行hook����,記錄下哪些程序調(diào)用了這些API以及調(diào)用時(shí)的參數(shù),通過一個(gè)進(jìn)程運(yùn)行時(shí)調(diào)用的API序列可大致了解該程序的行為���,判斷其惡意屬性�,經(jīng)判斷為惡意程序則可及時(shí)阻止該惡意程序執(zhí)行�。這種檢測技術(shù)雖然耗費(fèi)資源較小,但是�����,在檢測到病毒時(shí)�,病毒可能已在系統(tǒng)中運(yùn)行并對(duì)系統(tǒng)造成了損害。而且�,如果病毒采用一些反病毒軟件未hook的API來實(shí)現(xiàn)其功能,則可繞過主動(dòng)防御系統(tǒng)���。
[0009]因此�,現(xiàn)有的病毒樣本分析技術(shù)對(duì)病毒的檢測存在較大風(fēng)險(xiǎn),易被病毒發(fā)現(xiàn)而繞過�����,使得檢測準(zhǔn)確率不高��,而且病毒分析效率也不高���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的主要目的在于提供一種惡意文件檢測方法及裝置����,旨在提高病毒檢測準(zhǔn)確率及病毒分析的效率���。
[0011]為了達(dá)到上述目的�,本發(fā)明提出一種惡意文件檢測方法�,包括:
[0012]獲取待檢測的樣本文件;
[0013]運(yùn)行所述樣本文件�,并監(jiān)控所述樣本文件的運(yùn)行行為,生成日志文件��;
[0014]分析所述日志文件�,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測。
[0015]本發(fā)明還提出一種惡意文件檢測裝置�,包括:
[0016]獲取模塊�,用于獲取待檢測的樣本文件���;
[0017]運(yùn)行監(jiān)控模塊����,用于運(yùn)行所述樣本文件���,并監(jiān)控所述樣本文件的運(yùn)行行為,生成日志文件���;
[0018]分析檢測模塊����,用于分析所述日志文件����,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測。
[0019]本發(fā)明提出的一種惡意文件檢測方法及裝置����,通過在虛擬機(jī)中運(yùn)行樣本文件,然后在虛擬機(jī)中運(yùn)行監(jiān)控程序����,記錄樣本文件的運(yùn)行行為���,以此生成日志文件,然后再通過提取的特征規(guī)則對(duì)這些日志文件進(jìn)行匹配���,最終實(shí)現(xiàn)樣本文件的惡意檢測�,本發(fā)明可大大提高病毒分析效率��,并可及時(shí)找出當(dāng)前反病毒軟件無法檢測出的新樣本或某類有特定行為類型的樣本�����,從而提高了病毒樣本的檢測準(zhǔn)確率���。
【專利附圖】
【附圖說明】
[0020]圖1是本發(fā)明惡意文件檢測方法較佳實(shí)施例的流程示意圖�;
[0021]圖2是本發(fā)明惡意文件檢測方法較佳實(shí)施例中運(yùn)行所述樣本文件�����,并監(jiān)控所述樣本文件的運(yùn)行行為�����,生成日志文件的流程示意圖;
[0022]圖3是本發(fā)明惡意文件檢測方法較佳實(shí)施例中分析所述日志文件�,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測的流程示意圖;
[0023]圖4是本發(fā)明惡意文件檢測裝置較佳實(shí)施例的結(jié)構(gòu)示意圖�;
[0024]圖5是本發(fā)明惡意文件檢測裝置較佳實(shí)施例中運(yùn)行監(jiān)控模塊的結(jié)構(gòu)示意圖;
[0025]圖6是本發(fā)明惡意文件檢測裝置較佳實(shí)施例中分析檢測模塊的結(jié)構(gòu)示意圖�。
[0026]為了使本發(fā)明的技術(shù)方案更加清楚、明了�����,下面將結(jié)合附圖作進(jìn)一步詳述�。
【具體實(shí)施方式】
[0027]本發(fā)明實(shí)施例的解決方案主要是:通過在虛擬機(jī)中運(yùn)行樣本文件��,然后在虛擬機(jī)中運(yùn)行監(jiān)控程序�����,記錄樣本文件的運(yùn)行行為��,包括對(duì)樣本文件�����、注冊(cè)表����、網(wǎng)絡(luò)�、進(jìn)程相關(guān)的讀寫��、修改信息記錄�����,由此生成日志文件��,然后再通過提取的特征規(guī)則對(duì)這些日志文件進(jìn)行匹配�,如果匹配到則表明該樣本文件為惡意樣本,從而實(shí)現(xiàn)病毒的自動(dòng)化行為分析��。
[0028]如圖1所示�����,本發(fā)明較佳實(shí)施例提出一種惡意文件檢測方法�,包括:
[0029]步驟SlOl,獲取待檢測的樣本文件���;
[0030]待檢測的樣本文件可以不限定其獲取來源��,比如可以從指定位置下載�����。[0031]獲取的待檢測樣本文件將被輸入至自動(dòng)化監(jiān)控系統(tǒng)���。
[0032]以病毒為例����,本實(shí)施例所設(shè)置的自動(dòng)化監(jiān)控系統(tǒng)用于批量的自動(dòng)化運(yùn)行病毒并記錄病毒運(yùn)行時(shí)的行為得到日志文件�,供分析人員查看,從而快速了解病毒行為����,節(jié)省人力��。
[0033]其中�����,自動(dòng)化監(jiān)控系統(tǒng)只能運(yùn)行exe程序�,而下載的樣本文件可能有很多壓縮包(rar、zip�����、7z等)、dll���、sys等文件�。因此首先需要對(duì)下載下來的所有樣本文件進(jìn)行格式識(shí)另O��、解壓縮及篩選處理����,如果是壓縮包則使用解壓工具解壓,然后篩選出樣本中的exe文件和解壓后的exe文件放到固定的文件夾����,作為自動(dòng)化監(jiān)控系統(tǒng)運(yùn)行的樣本來源。
[0034]步驟S102����,運(yùn)行所述樣本文件,并監(jiān)控所述樣本文件的運(yùn)行行為�����,生成日志文件�����;
[0035]如前所述,待檢測的樣本文件本被輸入至自動(dòng)化監(jiān)控系統(tǒng)��,由自動(dòng)化監(jiān)控系統(tǒng)運(yùn)行樣本文件并監(jiān)控樣本文件的運(yùn)行行為得到日志文件��,供分析人員查看����,以便快速了解病毒等惡意文件的行為。
[0036]本實(shí)施例在自動(dòng)化監(jiān)控系統(tǒng)中�,使用了虛擬軟件VMware和監(jiān)控工具ProcessMonitor工具,在虛擬機(jī)中通過AutoIt腳本程序來控制上述工具的運(yùn)行,自動(dòng)化控制系統(tǒng)輸出的文件是每個(gè)樣本文件運(yùn)行行為的日志文件(ProcessMonitor監(jiān)控得到的日志文件)�。
[0037]其中,樣本文件的運(yùn)行行為包括:對(duì)文件���、注冊(cè)表����、進(jìn)程和網(wǎng)絡(luò)信息的相關(guān)操作����,如生成�、訪問、刪除了什么文件;設(shè)置���、新建�����、刪除了哪些注冊(cè)表項(xiàng)���;開啟、關(guān)閉了哪些進(jìn)程�;、連接了哪些ip地址等信息���。
[0038]此外�����,由于很多惡意程序在運(yùn)行后會(huì)釋放別的惡意程序���,因此也需要對(duì)這些惡意程序釋放的文件進(jìn)行計(jì)算,獲取其MD5����,并構(gòu)成自動(dòng)化監(jiān)控系統(tǒng)輸出的日志文件的一部分內(nèi)容���。通常情況下,如果母體文件判斷是惡意的�����,那么其釋放的子體文件也很可能是惡意的���。
[0039]現(xiàn)有技術(shù)采用的虛擬機(jī)檢測技術(shù)大多是放在客戶端執(zhí)行���,而且使用的是簡易的虛擬機(jī),并未完整模擬操作系統(tǒng)��,本實(shí)施例使用的自動(dòng)化監(jiān)控系統(tǒng)在后臺(tái)運(yùn)行樣本���,而且使用虛擬軟件VMware���,可以比較完整的模擬操作系統(tǒng),而且可以減少被病毒發(fā)現(xiàn)而繞過的風(fēng)險(xiǎn)����。
[0040]步驟S103,分析所述日志文件����,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測。
[0041]每個(gè)樣本文件運(yùn)行后都會(huì)生成一個(gè)ProcessMonitor的日志文件,通過分析該日志文件可以了解到樣本文件運(yùn)行時(shí)的行為�����,主要包括文件�、注冊(cè)表、進(jìn)程���、網(wǎng)絡(luò)信息等的相關(guān)操作�����,比如生成���、訪問、刪除了什么文件��;設(shè)置�、新建、刪除了哪些注冊(cè)表項(xiàng)���;開啟����、關(guān)閉了哪些進(jìn)程;連接了哪些ip地址等信息�����。
[0042]本實(shí)施例預(yù)先對(duì)一些特定的樣本提取日志匹配規(guī)則���,以此來匹配過濾當(dāng)前樣本文件的日志文件�����。將樣本文件運(yùn)行后生成的日志文件與上述預(yù)先設(shè)置的匹配規(guī)則進(jìn)行匹配�����,如果某個(gè)樣本文件的日志文件的惡意屬性匹配到了某條規(guī)則��,則表明該樣本文件是這條規(guī)則對(duì)應(yīng)的特定的惡意文件�。
[0043]具體地�,如圖2所示,作為運(yùn)行所述樣本文件�����,并監(jiān)控所述樣本文件的運(yùn)行行為,生成日志文件的一種實(shí)施例�,上述步驟S102可以包括:
[0044]步驟S1021�,對(duì)運(yùn)行樣本文件的虛擬機(jī)進(jìn)行環(huán)境初始化操作;
[0045]在自動(dòng)化監(jiān)控系統(tǒng)中運(yùn)行樣本文件并監(jiān)控樣本文件的運(yùn)行行為時(shí)�,首先需要對(duì)自動(dòng)化監(jiān)控系統(tǒng)中對(duì)運(yùn)行樣本文件的虛擬機(jī)進(jìn)行環(huán)境初始化操作,即恢復(fù)虛擬機(jī)快照���,該快照是之前配置好的虛擬機(jī)環(huán)境��,在虛擬機(jī)環(huán)境中設(shè)置有控制程序����、bat文件等����,對(duì)虛擬機(jī)進(jìn)行環(huán)境初始化操作,即是使虛擬機(jī)做好運(yùn)行樣本文件的準(zhǔn)備工作����。
[0046]步驟S1022,將所述樣本文件復(fù)制到虛擬機(jī)的固定目錄�;
[0047]步驟S1023,在所述虛擬機(jī)中運(yùn)行所述樣本文件��,并通過監(jiān)控工具對(duì)運(yùn)行過程中所述樣本文件的運(yùn)行行為進(jìn)行監(jiān)控,生成日志文件��。
[0048]本實(shí)施例需要將樣本文件復(fù)制到虛擬機(jī)中運(yùn)行并使用ProcessMonitor工具來監(jiān)控樣本文件的運(yùn)行行為����。因此,在監(jiān)控時(shí)�,需要枚舉之前篩選出的所有可執(zhí)行樣本程序,每枚舉一個(gè)樣本文件則完成一次自動(dòng)監(jiān)控過程�����。該過程使用VMware自帶的工具vmrun.exe的一些控制命令來通過物理機(jī)控制虛擬機(jī)的運(yùn)行�。
[0049]首先將枚舉到的一個(gè)樣本文件復(fù)制到虛擬機(jī)的一個(gè)固定目錄,然后運(yùn)行虛擬機(jī)中的監(jiān)控程序�,該程序的功能是設(shè)置ProcessMonitor過濾器,用于過濾掉一些系統(tǒng)程序�����,然后運(yùn)行預(yù)定時(shí)間(比如IOs)后關(guān)閉進(jìn)程,接著保存ProcessMonitor的日志文件,并初步分析日志文件�,查看其釋放的文件并計(jì)算其md5保存到指定文件。
[0050]步驟S1024����,將所述日志文件從所述虛擬機(jī)復(fù)制到物理機(jī)的固定目錄���。
[0051]最后將ProcessMonitor的日志文件,包括行為日志和釋放文件的md5列表�����,從虛擬機(jī)復(fù)制到物理機(jī)的固定目錄�����,以便對(duì)日志文件進(jìn)行分析���。
[0052]如圖3所示,作為分析所述日志文件�����,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測的一種實(shí)施例���,上述步驟S103可以包括:
[0053]步驟S1031�����,從所述物理機(jī)的固定目錄獲取所述日志文件����;
[0054]步驟S1032,分析所述日志文件的運(yùn)行行為����;
[0055]以病毒為例,每個(gè)病毒程序運(yùn)行后都會(huì)生成一個(gè)ProcessMonitor的日志文件��,通過分析該日志文件可以了解到病毒運(yùn)行時(shí)的行為�,主要包括文件、注冊(cè)表�����、進(jìn)程�����、網(wǎng)絡(luò)信息等相關(guān)操作�。如生成、訪問�����、刪除了什么文件;設(shè)置�����、新建��、刪除了哪些注冊(cè)表項(xiàng)��;開啟�、關(guān)閉了哪些進(jìn)程;連接了哪些ip地址等信息��。
[0056]步驟S1033����,將所述日志文件的運(yùn)行行為與預(yù)置的匹配規(guī)則中的惡意日志進(jìn)行匹配����;
[0057]步驟S1034,若匹配成功��,則檢測出所述日志文件對(duì)應(yīng)的樣本文件為惡意文件����。
[0058]對(duì)于一些特定的樣本可以提取日志規(guī)則來過濾日志,如果某個(gè)樣本的日志文件匹配到了某條規(guī)則,則說明該樣本是這條規(guī)則對(duì)應(yīng)的特定的病毒��。比如對(duì)于QQ盜號(hào)木馬�����,可以提取一條特征是:刪除QQ的自動(dòng)登錄文件����,因此,如果發(fā)現(xiàn)一個(gè)樣本的行為日志里有這樣的日志記錄����,即可判斷該樣本是QQ盜號(hào)木馬。
[0059]以即時(shí)通訊QQ為例�����,目前在實(shí)際應(yīng)用中��,會(huì)涉及到QQ刷鉆程序的篩選和QQ盜號(hào)木馬的篩選����,QQ刷鉆程序運(yùn)行后會(huì)在界面上顯示QQ業(yè)務(wù)的各種鉆的類別,然后提示用戶輸入QQ號(hào)碼和密碼����,并開通各種鉆(簡稱刷鉆)的業(yè)務(wù)����,其實(shí)質(zhì)是欺騙用戶��,盜取用戶的QQ號(hào)碼和密碼���,因?yàn)檫@些應(yīng)用程序?qū)嶋H上不能刷鉆����。
[0060]由于QQ刷鉆程序主要是利用社會(huì)工程學(xué)方法欺騙用戶���,一般沒有采用技術(shù)方法來盜取QQ密碼�,沒有特定的行為特征����,但是這類刷鉆程序的主程序界面上有一些特定的關(guān)鍵字�,可以通過這些關(guān)鍵字來匹配這類樣本,因此對(duì)于QQ刷鉆程序�,是通過匹配窗口的關(guān)鍵字來實(shí)現(xiàn)惡意樣本的檢測。
[0061]樣本文件在虛擬機(jī)中運(yùn)行后�,運(yùn)行一個(gè)QQ刷鉆檢測程序��,該程序會(huì)枚舉到系統(tǒng)中的所有窗口和這些窗口的子窗口的文字�,然后查找是否包含如下關(guān)鍵字:刷鉆�����、刷鉆��、刷Q�、紅鉆、Q業(yè)務(wù)�����、QQ密碼�����、Q幣��、QB����,如果發(fā)現(xiàn)則表明該樣本是一個(gè)QQ刷鉆程序。
[0062]對(duì)于QQ盜號(hào)木馬的篩選則是通過提取行為規(guī)則來篩選���。因?yàn)檫@類QQ盜號(hào)木馬是通過技術(shù)方法來盜取QQ密碼�,比如替換QQ的一些文件等,常用的QQ盜號(hào)木馬的篩選規(guī)則如下:
[0063](I)關(guān)閉了 QQ.exe 進(jìn)程�;
[0064](2)訪問(釋放)了 QQ\bin目錄下的文件;
[0065](3)刪除了 QQ的Registry, db文件(該文件保存QQ自動(dòng)登錄信息,很多QQ盜號(hào)木馬會(huì)刪除該文件使得QQ自動(dòng)登錄失效�,以便讓用戶再次輸入QQ密碼來實(shí)現(xiàn)盜號(hào));
[0066](4)修改了 QQ.1nk快捷方式文件����,使得該Ink文件指向QQ盜號(hào)木馬。
[0067]在對(duì)應(yīng)篩選規(guī)則進(jìn)行匹配判斷時(shí)�,讀取日志文件的每一行,然后判斷每行是否有以下四個(gè)字符串中的任一個(gè):同時(shí)存在QQ.exe和Process Exit�、QQ\Bin、Registry, db����、QQ.1nk。
[0068]如果包含上述四個(gè)行為中的任一個(gè)����,那么就判斷該日志文件對(duì)應(yīng)的樣本文件為QQ盜號(hào)木馬���,并將其md5記錄到指定的文本文件中��。
[0069]在實(shí)際應(yīng)用中�,可以通過配置計(jì)劃任務(wù),每天運(yùn)行一次自動(dòng)化監(jiān)控系統(tǒng)��,從前一天的樣本文件中得到QQ刷鉆程序和QQ盜號(hào)木馬��,通過不斷監(jiān)控這些樣本文件的熱度和廣度���,從而得到熱度和廣度最大的樣本文件����,以便進(jìn)行重點(diǎn)處理����。
[0070]本實(shí)例通過測試自動(dòng)化監(jiān)控系統(tǒng)獲取到如下實(shí)驗(yàn)數(shù)據(jù)。其中�,設(shè)定自動(dòng)化監(jiān)控系統(tǒng)監(jiān)控一個(gè)樣本文件的平均時(shí)間是45s,通過測試幾批樣本(一天中“刷鉆關(guān)鍵字過濾”和“QQ目錄監(jiān)控”得到的所有樣本�����,QQ目錄監(jiān)控是監(jiān)控在QQ目錄釋放的文件����,由于很多盜號(hào)木馬是在該目錄釋放DLL實(shí)現(xiàn)盜號(hào)�,而這里的自動(dòng)化是用于自動(dòng)運(yùn)行EXE程序�,實(shí)際上找到的EXE程序大部分是QQ盜號(hào)木馬),隨機(jī)抽取四批數(shù)據(jù)���,如下:
[0071]刷鉆關(guān)鍵字過濾樣本數(shù)據(jù)如下表1所示:
[0072]
【權(quán)利要求】
1.一種惡意文件檢測方法����,其特征在于����,包括: 獲取待檢測的樣本文件; 運(yùn)行所述樣本文件�����,并監(jiān)控所述樣本文件的運(yùn)行行為�,生成日志文件; 分析所述日志文件���,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述獲取待檢測的樣本文件的步驟之后還包括: 對(duì)所述樣本文件進(jìn)行格式識(shí)別���、解壓縮和\或篩選處理,得到可運(yùn)行的樣本文件�����。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述運(yùn)行樣本文件�,并監(jiān)控所述樣本文件的運(yùn)行行為�,生成日志文件的步驟包括: 對(duì)運(yùn)行樣本文件的虛擬機(jī)進(jìn)行環(huán)境初始化操作; 將所述樣本文件復(fù)制到虛擬機(jī)的固定目錄���; 在所述虛擬機(jī)中運(yùn)行所述樣本文件�,并通過監(jiān)控工具對(duì)運(yùn)行過程中所述樣本文件的運(yùn)行行為進(jìn)行監(jiān)控�����,生成日志文件。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于����,所述運(yùn)行樣本文件,并監(jiān)控所述樣本文件的運(yùn)行行為�����,生成日志文件的步驟還包括: 將所述日志文件從所述虛擬機(jī)復(fù)制到物理機(jī)的固定目錄���。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于����,所述分析日志文件,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測的步驟包括: 從所述物理機(jī)的固定目錄獲取所述日志文件��; 分析所述日志文件的運(yùn)行行為; 將所述日志文件的運(yùn)行行為與預(yù)置的匹配規(guī)則中的惡意日志進(jìn)行匹配�����; 若匹配成功����,則檢測出所述日志文件對(duì)應(yīng)的樣本文件為惡意文件�����。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法���,其特征在于�,所述運(yùn)行行為包括:對(duì)文件�、注冊(cè)表、進(jìn)程和/或網(wǎng)絡(luò)信息的相關(guān)操作����;所述日志文件包括:行為日志和樣本文件運(yùn)行后釋放的子體文件的md5列表。
7.—種惡意文件檢測裝置��,其特征在于�,包括: 獲取模塊,用于獲取待檢測的樣本文件; 運(yùn)行監(jiān)控模塊�����,用于運(yùn)行所述樣本文件�����,并監(jiān)控所述樣本文件的運(yùn)行行為���,生成日志文件���; 分析檢測模塊,用于分析所述日志文件�,并基于預(yù)置的匹配規(guī)則進(jìn)行惡意文件檢測。
8.根據(jù)權(quán)利要求7所述的裝置����,其特征在于,所述獲取模塊還用于對(duì)所述樣本文件進(jìn)行格式識(shí)別����、解壓縮和\或篩選處理,得到可運(yùn)行的樣本文件����。
9.根據(jù)權(quán)利要求7或8所述的裝置��,其特征在于�����,所述運(yùn)行監(jiān)控模塊包括: 初始化單元�,用于對(duì)運(yùn)行樣本文件的虛擬機(jī)進(jìn)行環(huán)境初始化操作����; 復(fù)制單元���,用于將所述樣本文件復(fù)制到虛擬機(jī)的固定目錄��; 運(yùn)行監(jiān)控單元����,用于在所述虛擬機(jī)中運(yùn)行所述樣本文件�����,并通過監(jiān)控工具對(duì)運(yùn)行過程中所述樣本文件的運(yùn)行行為進(jìn)行監(jiān)控���,生成日志文件���。
10.根據(jù)權(quán)利要求9所述的裝置�,其特征在于����,所述復(fù)制單元還用于將所述日志文件從所述虛擬機(jī)復(fù)制到物理機(jī)的固定目錄。
11.根據(jù)權(quán)利要求9所述的裝置��,其特征在于���,所述分析檢測模塊包括: 獲取單元��,用于從所述物理機(jī)的固定目錄獲取所述日志文件���; 分析單元,用于分析所述日志文件的運(yùn)行行為�; 匹配單元,用于將所述日志文件的運(yùn)行行為與預(yù)置的匹配規(guī)則中的惡意日志進(jìn)行匹配��; 檢測單元���,用于當(dāng)所述日志文件的運(yùn)行行為與預(yù)置的匹配規(guī)則中的惡意日志匹配成功時(shí)���,檢測出所述 日志文件對(duì)應(yīng)的樣本文件為惡意文件���。
【文檔編號(hào)】G06F21/56GK103839003SQ201210478566
【公開日】2014年6月4日 申請(qǐng)日期:2012年11月22日 優(yōu)先權(quán)日:2012年11月22日
【發(fā)明者】李萌萌 申請(qǐng)人:騰訊科技(深圳)有限公司