磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置���,該方法包括以下步驟:獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù);根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程;在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中��,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式��;通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�����,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別�����;具有及時(shí)��、準(zhǔn)確地識(shí)別新的引導(dǎo)區(qū)病毒的有益效果,并能夠?qū)ψR(shí)別到的引導(dǎo)區(qū)病毒進(jìn)行及時(shí)的響應(yīng)處理����,提高引導(dǎo)區(qū)病毒的處理速度。
【專利說(shuō)明】磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】�,尤其涉及一種磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置。
【背景技術(shù)】
[0002]磁盤引導(dǎo)區(qū)病毒通常指的是通過(guò)感染MBR(Master Boot Record,磁盤主引導(dǎo)記錄)的方式����,實(shí)現(xiàn)比Windows操作系統(tǒng)更早啟動(dòng)、繞過(guò)安全軟件檢查的病毒��,比如bootkit病毒����。
[0003]目前安全廠商一般都采取檢查本機(jī)MBR的方式來(lái)發(fā)現(xiàn)引導(dǎo)區(qū)病毒,通常先收集各種已知引導(dǎo)區(qū)感染后的MBR數(shù)據(jù)的黑樣本����,以及各種未感染引導(dǎo)區(qū)病毒的MBR數(shù)據(jù)的白樣本,將收集的黑樣本和白樣本保存到后臺(tái)服務(wù)器��。殺毒軟件在本地檢查MBR時(shí)�,首先讀取MBR獲取其特征值(比如md5值)并上傳至服務(wù)器,與服務(wù)器上已經(jīng)保存過(guò)的MBR特征值進(jìn)行比對(duì)�。一旦發(fā)現(xiàn)與已知黑樣本數(shù)據(jù)一致,則認(rèn)為感染病毒;發(fā)現(xiàn)與白樣本數(shù)據(jù)一致����,則不加處理;若發(fā)現(xiàn)既不是白樣本��,也不是黑樣本��,則上傳為新樣本�,由人工分析來(lái)決定該新樣本是黑樣本還是白樣本�����。
[0004]上述處理方式不能在用戶端對(duì)未知的引導(dǎo)區(qū)病毒進(jìn)行主動(dòng)判定�,必須上傳至服務(wù)器分析并確認(rèn)該病毒的存在之后才能進(jìn)行處理,從而導(dǎo)致對(duì)引導(dǎo)區(qū)病毒的處理過(guò)于滯后��,也不能對(duì)其進(jìn)行及早攔截����;由于部分病毒能夠快速演化且MBR也不斷衍生各種版本,而上述處理方式對(duì)每一種演化版本都只能當(dāng)做未知病毒對(duì)待����,且需要重新分析,進(jìn)一步拖慢了對(duì)病毒的攔截速度樣本數(shù)量極多,逐一進(jìn)行人工分析耗時(shí)巨大�����,也容易漏判�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的是提供一種硬盤引導(dǎo)區(qū)病毒的識(shí)別方法及裝置,旨在解決不能及時(shí)���、準(zhǔn)確地識(shí)別新的引導(dǎo)區(qū)病毒的問(wèn)題���。
[0006]本發(fā)明實(shí)施例公開了一種磁盤引導(dǎo)區(qū)病毒識(shí)別方法,包括以下步驟:
[0007]獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式���,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)�����;
[0008]根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程����;
[0009]在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式��;
[0010]通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別����。
[0011]本發(fā)明實(shí)施例還公開了一種磁盤引導(dǎo)區(qū)病毒識(shí)別裝置,包括:
[0012]數(shù)據(jù)獲取模塊����,用于獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式,并獲取磁盤主弓I導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)����;
[0013]模擬執(zhí)行模塊,用于根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�����,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程���;在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式����;
[0014]病毒識(shí)別模塊,用于通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�����,對(duì)磁盤弓I導(dǎo)區(qū)病毒進(jìn)行識(shí)別。
[0015]本發(fā)明通過(guò)獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù);根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�����,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程����;在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式���;通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�����,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別的方法���,具有及時(shí)、準(zhǔn)確地識(shí)別新的引導(dǎo)區(qū)病毒的有益效果�,并能夠?qū)ψR(shí)別到的引導(dǎo)區(qū)病毒進(jìn)行及時(shí)的響應(yīng)處理�,提高引導(dǎo)區(qū)病毒的處理速度���。
【專利附圖】
【附圖說(shuō)明】
[0016]圖1是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法一實(shí)施例流程示意圖��;
[0017]圖2是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)服務(wù)端的功能模塊示意圖���;
[0018]圖3是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)又一實(shí)施例流程示意圖;
[0019]圖4是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)客戶端的功能模塊示意圖���;
[0020]圖5是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)再一實(shí)施例流程示意圖�;
[0021]圖6是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置一實(shí)施例功能模塊示意圖����;
[0022]圖7是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于服務(wù)端時(shí)又一實(shí)施例功能模塊示意圖;
[0023]圖8是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于客戶端時(shí)再一實(shí)施例功能模塊示意圖�。
[0024]本發(fā)明目的的實(shí)現(xiàn)��、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例��,參照附圖做進(jìn)一步說(shuō)明���?!揪唧w實(shí)施方式】
[0025]以下結(jié)合說(shuō)明書附圖及具體實(shí)施例進(jìn)一步說(shuō)明本發(fā)明的技術(shù)方案。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。
[0026]本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置,在不影響真實(shí)計(jì)算機(jī)系統(tǒng)的前提下�,對(duì)采用MBR執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)作為虛擬磁盤進(jìn)行模擬引導(dǎo),分析并記錄模擬系統(tǒng)引導(dǎo)時(shí)的所有行為�,從而對(duì)MBR中的磁盤數(shù)據(jù)是否有可疑行為作出判定。上述模擬執(zhí)行過(guò)程可以在服務(wù)端執(zhí)行�����,也可以在客戶端執(zhí)行��。在服務(wù)端執(zhí)行時(shí)�����,可以對(duì)大量的MBR數(shù)據(jù)進(jìn)行批量處理����,自動(dòng)分離出具有病毒行為的MBR數(shù)據(jù)和明顯無(wú)任何可疑的MBR數(shù)據(jù)���,并留下少數(shù)自動(dòng)分析無(wú)法確認(rèn)的樣本,并將上述自動(dòng)分析無(wú)法確認(rèn)的樣本標(biāo)記為需進(jìn)行人工分析的樣本��,提醒后臺(tái)的開發(fā)分析人員進(jìn)行人工分析����;在客戶端執(zhí)行時(shí),當(dāng)發(fā)現(xiàn)MBR被未知的病毒如bootkit感染時(shí)���,即可及時(shí)進(jìn)行攔截和修復(fù)�,并將被病毒感染的MBR數(shù)據(jù)標(biāo)記為黑樣本上傳到服務(wù)端����;當(dāng)傳統(tǒng)的黑白樣本比對(duì)不能得出結(jié)論時(shí),與常用的磁盤引導(dǎo)區(qū)病毒識(shí)別方法相t匕��,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法及裝置能夠提高M(jìn)BR數(shù)據(jù)的分析效率并提前發(fā)現(xiàn)磁盤引導(dǎo)區(qū)的新病毒����。
[0027]請(qǐng)參照?qǐng)D1��,圖1是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法一實(shí)施例流程示意圖��;如圖1所示,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法包括以下步驟:
[0028]步驟S01����、獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)����;
[0029]由于服務(wù)端預(yù)先已收集了各種已知引導(dǎo)區(qū)感染后的MBR數(shù)據(jù)的黑樣本,以及各種未感染引導(dǎo)區(qū)病毒的MBR數(shù)據(jù)的白樣本��,且收集的上述黑樣本和白樣本均保存在服務(wù)端�,則在進(jìn)行磁盤引導(dǎo)區(qū)病毒識(shí)別時(shí),根據(jù)上述已保存的黑樣本和白樣本����,獲取上述預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式,所述引導(dǎo)區(qū)病毒的已知行為模式包括在進(jìn)行人工分析引導(dǎo)區(qū)病毒如bootkit時(shí)���,總結(jié)的一些引導(dǎo)區(qū)病毒的引導(dǎo)過(guò)程所具有的特殊的行為模式���;本領(lǐng)域的技術(shù)人員可以理解,所述一些引導(dǎo)區(qū)病毒的引導(dǎo)過(guò)程所具有的特殊的行為模式包括但不限于:更改系統(tǒng)內(nèi)存數(shù)量以便為自己留出可用的內(nèi)存空間�����、掛鉤int 13中斷等。同時(shí)��,獲取MBR及該MBR執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)����,為后續(xù)建立模擬執(zhí)行環(huán)境做準(zhǔn)備。在一優(yōu)選的實(shí)施例中��,對(duì)于少數(shù)自動(dòng)分析無(wú)法確認(rèn)的樣本�,可以進(jìn)行人工分析并將得到的新的病毒行為模式存儲(chǔ)至服務(wù)端,從而使磁盤引導(dǎo)區(qū)病毒識(shí)別方法的分析精度不斷提高�。
[0030]步驟S02、根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�����,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程��;
[0031]步驟S03��、在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中�����,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式;
[0032]由于客戶端的BIOS (Basic Input Output System,基本輸入輸出系統(tǒng))進(jìn)行初始化和上電自檢后���,啟動(dòng)系統(tǒng)自檢程序,檢測(cè)MBR,并執(zhí)彳丁 MBR中所包含的指令���,然后由這些指令去引導(dǎo)windows系統(tǒng)的啟動(dòng)�����;而磁盤引導(dǎo)區(qū)病毒是通過(guò)感染MBR的方式���、實(shí)現(xiàn)比操作系統(tǒng)更早啟動(dòng)且能夠繞過(guò)客戶端安全軟件檢查的病毒,因此��,可以根據(jù)獲取的MBR及MBR執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)建立一個(gè)虛擬的模擬執(zhí)行環(huán)境��,模擬MBR的執(zhí)行過(guò)程���,分析并記錄MBR的模擬行為模式�����,盡早識(shí)別磁盤引導(dǎo)區(qū)病毒����,并采取相應(yīng)的措施。
[0033]本領(lǐng)域的技術(shù)人員可以理解����,由于MBR比較短小(實(shí)際只有512字節(jié)),因此即使MBR感染病毒后可能加載更多的指令進(jìn)行病毒操作����,但這個(gè)執(zhí)行過(guò)程的時(shí)間仍然較短且執(zhí)行的指令數(shù)量不多,很容易分離出一些有明顯病毒特征的行為模式����,因?yàn)檫@些行為模式是正常的系統(tǒng)引導(dǎo)過(guò)程所沒(méi)有的。因此�����,模擬執(zhí)行上述過(guò)程所需要的系統(tǒng)資源和時(shí)間都相對(duì)較少���。
[0034]所述模擬執(zhí)行是指���,在一臺(tái)計(jì)算機(jī)上用軟件資源來(lái)模擬硬件的執(zhí)行過(guò)程,也可以理解為在一臺(tái)計(jì)算機(jī)上模擬另一臺(tái)計(jì)算機(jī)執(zhí)行軟件的技術(shù)����。目前�����,常用的模擬執(zhí)行方式有多種����,比如解釋執(zhí)行方式:對(duì)每條指令進(jìn)行解碼��,并利用軟件資源模擬每一條指令的行為�����;或者使用VT技術(shù)(英特爾公司提供的X86芯片硬件支持的虛擬技術(shù))進(jìn)行模擬執(zhí)行�,比如開源軟件Bochs,本身是一個(gè)x86硬件平臺(tái)的虛擬機(jī),類似于虛擬機(jī)VMWare和VirtualBox��。由于Bochs也虛擬了所有的硬件�����,因此運(yùn)行Bochs并不會(huì)對(duì)計(jì)算機(jī)本身真實(shí)磁盤中的數(shù)據(jù)產(chǎn)生實(shí)際的影響���,且Bochs不會(huì)在計(jì)算機(jī)本機(jī)中加載任何驅(qū)動(dòng)程序����,僅是一個(gè)單純的應(yīng)用程序。[0035]在一優(yōu)選的實(shí)施例中����,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法采用解釋執(zhí)行作為模擬執(zhí)行的一種較佳的實(shí)現(xiàn)方式。利用解釋執(zhí)行的方式進(jìn)行模擬執(zhí)行時(shí)�����,不真實(shí)執(zhí)行任何指令�,而是解碼每條指令并讀取其行為進(jìn)行虛擬執(zhí)行,比如:模擬執(zhí)行“讀寫寄存器”時(shí)�,實(shí)際執(zhí)行的是讀寫虛擬寄存器(比如一些C語(yǔ)言定義的變量);模擬執(zhí)行“讀寫內(nèi)存”時(shí)�,實(shí)際操作的只是一個(gè)數(shù)組;模擬執(zhí)行“10 (Input/Output���,輸入輸出)操作”��,實(shí)際是和一些虛擬的設(shè)備進(jìn)行交互�,而這些虛擬的設(shè)備也是一些C語(yǔ)言編寫的數(shù)據(jù)結(jié)構(gòu)以及維持其運(yùn)作的軟件程序�;模擬執(zhí)行“中斷”,實(shí)際執(zhí)行的是在指令執(zhí)行過(guò)程中插入一些異步事件�����。
[0036]步驟S04、通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別。
[0037]將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析����,若記錄的模擬行為模式與預(yù)先存儲(chǔ)的MBR白樣本一致,則識(shí)別對(duì)應(yīng)的磁盤引導(dǎo)區(qū)暫時(shí)沒(méi)被引導(dǎo)區(qū)病毒感染��;若記錄的模擬行為模式與預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式匹配成功�����,或者記錄的模擬行為模式與預(yù)先存儲(chǔ)的MBR黑樣本一致���,或者,一些明顯引導(dǎo)區(qū)病毒的行為模式(比如更改系統(tǒng)內(nèi)存數(shù)量以便為自己留出可用的內(nèi)存空間���、掛鉤int 13中斷�、訪問(wèn)磁盤空間的尾部等)�,則識(shí)別所述模擬行為模式所對(duì)應(yīng)的磁盤引導(dǎo)區(qū)已被病毒感染,并標(biāo)記對(duì)應(yīng)的所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)為黑樣本����。
[0038]本實(shí)施例通過(guò)獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式��、磁盤主引導(dǎo)記錄及磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)���;根據(jù)獲取的磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境,模擬磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程����,分析并記錄磁盤主引導(dǎo)記錄的模擬行為模式;通過(guò)將記錄的模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�����,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別的方法����,具有及時(shí)、準(zhǔn)確地識(shí)別新的引導(dǎo)區(qū)病毒的有益效果��。
[0039]本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)��,請(qǐng)參照?qǐng)D2����,圖2是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)服務(wù)端的功能模塊示意圖�;如圖2所示�����,磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)����,磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是服務(wù)端從磁盤樣本MBR開始讀取的磁盤樣本文件,該磁盤樣本文件為服務(wù)端從客戶端收集的磁盤數(shù)據(jù)樣本�����。在模擬執(zhí)行時(shí)�,服務(wù)端通過(guò)文件讀寫接口從MBR開始從上述磁盤樣本文件中讀取相關(guān)磁盤數(shù)據(jù)�����,且對(duì)上述磁盤樣本文件進(jìn)行讀操作��,并記錄上述磁盤樣本文件的寫操作及寫入的具體內(nèi)容���,作為其行為模式的一部分��,通過(guò)服務(wù)端的模擬器與MBR黑白樣本自動(dòng)判定程序的交互操作����,在服務(wù)端完成對(duì)磁盤引導(dǎo)區(qū)病毒的識(shí)別過(guò)程。
[0040]結(jié)合圖1和圖2所述的實(shí)施例��,請(qǐng)參照?qǐng)D3�����,圖3是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于服務(wù)端時(shí)又一實(shí)施例流程示意圖�;本實(shí)施例與圖1所述實(shí)施例的區(qū)別是,僅增加了步驟Sll ;本實(shí)施例僅對(duì)步驟Sll作具體描述�,有關(guān)本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法所涉及的其他步驟請(qǐng)參照上述相關(guān)實(shí)施例的具體描述,在此不再贅述���。
[0041]如圖3所示�����,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法在步驟S04��、通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析����,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別的步驟之后還包括步驟:
[0042]步驟S11、將所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)標(biāo)記為需進(jìn)行人工分析的磁盤數(shù)據(jù)樣本���。
[0043]服務(wù)端將記錄的模擬行為模式與存儲(chǔ)的已知行為模式進(jìn)行比對(duì)分析��,對(duì)于與已知行為模式中的白樣本匹配成功的��,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)暫時(shí)沒(méi)有安全威脅����;對(duì)于與已知行為模式中的黑樣本匹配成功或者是一些明顯的引導(dǎo)區(qū)病毒的行為模式的�����,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)已感染引導(dǎo)區(qū)病毒�;而對(duì)于既不能與白樣本匹配成功,也不能與黑樣本匹配成功����,且不能識(shí)別記錄的該模擬行為模式是否為明顯的引導(dǎo)區(qū)病毒的行為模式,則向客戶端發(fā)出提示信息���,提醒客戶端對(duì)該模擬行為模式所對(duì)應(yīng)的磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)進(jìn)行人工分析,以便及早識(shí)別該模擬行為模式所對(duì)應(yīng)的MBR是否已感染病毒��,便于及時(shí)采取相應(yīng)措施。
[0044]本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)����,請(qǐng)參照?qǐng)D4,圖4是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)客戶端的功能模塊示意圖�;如圖4所示,磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)�,磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是客戶端從自身的真實(shí)磁盤MBR開始讀取的客戶端真實(shí)磁盤文件。在模擬執(zhí)行時(shí)�,客戶端通過(guò)文件讀寫接口從MBR開始從上述客戶端真實(shí)的磁盤中讀取磁盤數(shù)據(jù),且對(duì)上述磁盤文件進(jìn)行讀操作����,并記錄上述磁盤樣本文件的寫操作及寫入的具體內(nèi)容,作為其行為模式的一部分�����,通過(guò)客戶端的模擬器與MBR黑白樣本自動(dòng)判定程序的交互操作���,在客戶端完成對(duì)磁盤引導(dǎo)區(qū)病毒的識(shí)別過(guò)程�。
[0045]結(jié)合圖1和圖4所述的實(shí)施例�����,請(qǐng)參照?qǐng)D5,圖5是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法應(yīng)用于客戶端時(shí)再一實(shí)施例流程示意圖�����;本實(shí)施例與圖1所述實(shí)施例的區(qū)別是�����,僅增加了步驟S12 ;本實(shí)施例僅對(duì)步驟S12作具體描述�����,有關(guān)本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法所涉及的其他步驟請(qǐng)參照上述相關(guān)實(shí)施例的具體描述�����,在此不再贅述�。
[0046]如圖5所示,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別方法在步驟S04�、通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別的步驟之后還包括步驟:
[0047]步驟S12����、將標(biāo)記為黑樣本的所述磁盤數(shù)據(jù)上傳至服務(wù)端,并進(jìn)行客戶端自身的修復(fù)操作���。
[0048]客戶端將記錄的模擬行為模式與存儲(chǔ)的已知行為模式進(jìn)行比對(duì)分析�,對(duì)于與已知行為模式中的白樣本匹配成功的����,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)暫時(shí)沒(méi)有安全威脅;對(duì)于與已知行為模式中的黑樣本匹配成功或者是一些明顯的引導(dǎo)區(qū)病毒的行為模式的����,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)已感染引導(dǎo)區(qū)病毒;客戶端將標(biāo)記為黑樣本的磁盤數(shù)據(jù)上傳至服務(wù)端����,并進(jìn)行自身的修復(fù)操作。
[0049]在一優(yōu)選的實(shí)施例中���,對(duì)于既不能與白樣本匹配成功�����,也不能與黑樣本匹配成功的模擬行為模式�����,則將上述模擬行為模式上傳至服務(wù)端����,由服務(wù)端對(duì)其進(jìn)行分析,并與存儲(chǔ)的黑白樣本進(jìn)行匹配���;若服務(wù)端分析后���,仍不能對(duì)該模擬行為模式進(jìn)行確認(rèn),則由后臺(tái)分析人員對(duì)其進(jìn)行人工分析���,根據(jù)分析結(jié)果對(duì)其進(jìn)行處理�;比如��,分析結(jié)果為�����,該模擬行為模式為安全行為����,則不對(duì)其進(jìn)行處理;分析結(jié)果為�����,該模擬行為模式會(huì)對(duì)客戶端造成安全威脅,則將該模擬行為模式所對(duì)應(yīng)的磁盤數(shù)據(jù)進(jìn)行刪除�����、修復(fù)等處理����,并將上述分析結(jié)果及處理過(guò)程均上傳至服務(wù)端����。客戶端可以根據(jù)分析結(jié)果將安全行為所對(duì)應(yīng)的磁盤數(shù)據(jù)標(biāo)記為白樣本���,將對(duì)客戶端造成安全威脅的磁盤數(shù)據(jù)標(biāo)記為黑樣本后���,將所述白樣本及黑樣本上傳至服務(wù)端。
[0050]本實(shí)施例在客戶端識(shí)別引導(dǎo)區(qū)病毒后�����,進(jìn)行自身修復(fù)操作����,具有對(duì)識(shí)別到的引導(dǎo)區(qū)病毒進(jìn)行及時(shí)響應(yīng)處理的有益效果����,提高了客戶端引導(dǎo)區(qū)病毒的處理速度��。
[0051]參照?qǐng)D6�,圖6是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置一實(shí)施例功能模塊示意圖;如圖6所示���,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置包括:數(shù)據(jù)獲取模塊01��、模擬執(zhí)行模塊02和病毒識(shí)別模塊03�����。
[0052]數(shù)據(jù)獲取模塊01����,用于獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)。
[0053]由于服務(wù)端預(yù)先已收集了各種已知引導(dǎo)區(qū)感染后的MBR數(shù)據(jù)的黑樣本�,以及各種未感染引導(dǎo)區(qū)病毒的MBR數(shù)據(jù)的白樣本,且收集的上述黑樣本和白樣本均保存在服務(wù)端,則在進(jìn)行磁盤引導(dǎo)區(qū)病毒識(shí)別時(shí)����,根據(jù)上述已保存的黑樣本和白樣本,數(shù)據(jù)獲取模塊01獲取上述預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,所述引導(dǎo)區(qū)病毒的已知行為模式包括在進(jìn)行人工分析引導(dǎo)區(qū)病毒如bootkit時(shí),總結(jié)的一些引導(dǎo)區(qū)病毒的引導(dǎo)過(guò)程所具有的特殊的行為模式���;本領(lǐng)域的技術(shù)人員可以理解,所述一些引導(dǎo)區(qū)病毒的引導(dǎo)過(guò)程所具有的特殊的行為模式包括但不限于:更改系統(tǒng)內(nèi)存數(shù)量以便為自己留出可用的內(nèi)存空間�、掛鉤int 13中斷等。同時(shí)�,數(shù)據(jù)獲取模塊01獲取MBR及該MBR執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù),為后續(xù)建立模擬執(zhí)行環(huán)境做準(zhǔn)備��。在一優(yōu)選的實(shí)施例中��,對(duì)于少數(shù)自動(dòng)分析無(wú)法確認(rèn)的樣本����,可以進(jìn)行人工分析并將得到的新的病毒行為模式存儲(chǔ)至服務(wù)端,從而使磁盤引導(dǎo)區(qū)病毒識(shí)別裝置對(duì)引導(dǎo)區(qū)病毒的分析精度不斷提高�����。
[0054]模擬執(zhí)行模塊02,用于根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境����,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程;在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中����,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式。
[0055]由于客戶端的BIOS進(jìn)行初始化和上電自檢后���,啟動(dòng)系統(tǒng)自檢程序���,檢測(cè)MBR,并執(zhí)行MBR中所包含的指令���,然后由這些指令去引導(dǎo)windows系統(tǒng)的啟動(dòng)��;而磁盤引導(dǎo)區(qū)病毒是通過(guò)感染MBR的方式�、實(shí)現(xiàn)比操作系統(tǒng)更早啟動(dòng)且能夠繞過(guò)客戶端安全軟件檢查的病毒���,因此�,模擬執(zhí)行模塊02可以根據(jù)數(shù)據(jù)獲取模塊01獲取的MBR及MBR執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)建立一個(gè)虛擬的模擬執(zhí)行環(huán)境,模擬MBR的執(zhí)行過(guò)程����,分析并記錄MBR的模擬行為模式,盡早識(shí)別磁盤引導(dǎo)區(qū)病毒��,并采取相應(yīng)的措施�����。
[0056]本領(lǐng)域的技術(shù)人員可以理解�����,由于MBR比較短小(實(shí)際只有512字節(jié))����,因此即使MBR感染病毒后可能加載更多的指令進(jìn)行病毒操作�����,但這個(gè)執(zhí)行過(guò)程的時(shí)間仍然較短且執(zhí)行的指令數(shù)量不多����,很容易分離出一些有明顯病毒特征的行為模式,因?yàn)檫@些行為模式是正常的系統(tǒng)引導(dǎo)過(guò)程所沒(méi)有的。因此�,模擬執(zhí)行上述過(guò)程所需要的系統(tǒng)資源和時(shí)間都相對(duì)較少。
[0057]有關(guān)模擬執(zhí)行的相關(guān)描述��,請(qǐng)參照上述相關(guān)實(shí)施例的具體描述����,在此不再贅述。
[0058]在一優(yōu)選的實(shí)施例中�,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置采用解釋執(zhí)行作為模擬執(zhí)行的一種較佳的實(shí)現(xiàn)方式。利用解釋執(zhí)行的方式進(jìn)行模擬執(zhí)行時(shí)�,不真實(shí)執(zhí)行任何指令,而是解碼每條指令并讀取其行為進(jìn)行虛擬執(zhí)行���,比如:模擬執(zhí)行“讀寫寄存器”時(shí)���,實(shí)際執(zhí)行的是讀寫虛擬寄存器(比如一些C語(yǔ)言定義的變量);模擬執(zhí)行“讀寫內(nèi)存”時(shí)�����,實(shí)際操作的只是一個(gè)數(shù)組����;模擬執(zhí)行“10操作”�����,實(shí)際是和一些虛擬的設(shè)備進(jìn)行交互���,而這些虛擬的設(shè)備也是一些C語(yǔ)言編寫的數(shù)據(jù)結(jié)構(gòu)以及維持其運(yùn)作的軟件程序;模擬執(zhí)行“中斷”�,實(shí)際執(zhí)行的是在指令執(zhí)行過(guò)程中插入一些異步事件。
[0059]病毒識(shí)別模塊03���,用于通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析����,對(duì)磁盤弓I導(dǎo)區(qū)病毒進(jìn)行識(shí)別���。[0060]病毒識(shí)別模塊03將模擬執(zhí)行模塊02記錄的模擬行為模式與數(shù)據(jù)獲取模塊01獲取的已知行為模式進(jìn)行對(duì)比分析,若記錄的模擬行為模式與預(yù)先存儲(chǔ)的MBR白樣本一致��,病毒識(shí)別模塊03識(shí)別對(duì)應(yīng)的磁盤引導(dǎo)區(qū)暫時(shí)沒(méi)被引導(dǎo)區(qū)病毒感染���;若記錄的模擬行為模式與預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式匹配成功�,或者記錄的模擬行為模式與預(yù)先存儲(chǔ)的MBR黑樣本一致����,或者��,一些明顯引導(dǎo)區(qū)病毒的行為模式(比如更改系統(tǒng)內(nèi)存數(shù)量以便為自己留出可用的內(nèi)存空間�����、掛鉤int 13中斷����、訪問(wèn)磁盤空間的尾部等)���,病毒識(shí)別模塊03則識(shí)別所述模擬行為模式所對(duì)應(yīng)的磁盤引導(dǎo)區(qū)已被病毒感染�,并標(biāo)記對(duì)應(yīng)的所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)為黑樣本���。
[0061]本實(shí)施例通過(guò)獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式��、磁盤主引導(dǎo)記錄及磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)���;根據(jù)獲取的磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境,模擬磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程���,分析并記錄磁盤主引導(dǎo)記錄的模擬行為模式�;通過(guò)將記錄的模擬行為模式與已知行為模式進(jìn)行對(duì)比分析,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別�,具有及時(shí)、準(zhǔn)確地識(shí)別新的引導(dǎo)區(qū)病毒的有益效果����。
[0062]結(jié)合圖2和圖6所述的實(shí)施例,請(qǐng)參照7��,圖7是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于服務(wù)端時(shí)又一實(shí)施例功能模塊示意圖���;本實(shí)施例與圖6所述實(shí)施例的區(qū)別是����,僅增加了樣本標(biāo)記模塊04�,本實(shí)施例僅對(duì)樣本標(biāo)記模塊04做具體描述,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置所涉及的其他模塊請(qǐng)參照相關(guān)實(shí)施例的具體描述��,在此不再贅述����。
[0063]如圖7所示�����,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于服務(wù)端時(shí),還包括:
[0064]樣本標(biāo)記模塊04���,用于將所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)標(biāo)記為需進(jìn)行人工分析的磁盤數(shù)據(jù)樣本�。
[0065]病毒識(shí)別模塊03將模擬執(zhí)行模塊02記錄的模擬行為模式與數(shù)據(jù)獲取模塊01獲取的已知行為模式進(jìn)行對(duì)比分析����,對(duì)于與已知行為模式中的白樣本匹配成功的,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)暫時(shí)沒(méi)有安全威脅�;對(duì)于與已知行為模式中的黑樣本匹配成功或者是一些明顯的引導(dǎo)區(qū)病毒的行為模式的,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)已感染引導(dǎo)區(qū)病毒���;而對(duì)于既不能與白樣本匹配成功�,也不能與黑樣本匹配成功�,且不能識(shí)別記錄的該模擬行為模式是否為明顯的引導(dǎo)區(qū)病毒的行為模式,樣本標(biāo)記模塊04向客戶端發(fā)出提示信息����,提醒客戶端對(duì)該模擬行為模式所對(duì)應(yīng)的磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)進(jìn)行人工分析,以便及早識(shí)別該模擬行為模式所對(duì)應(yīng)的MBR是否已感染病毒��,便于及時(shí)采取相應(yīng)措施��。
[0066]結(jié)合圖4和圖6所述的實(shí)施例�,請(qǐng)參照?qǐng)D8���,圖8是本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于客戶端時(shí)再一實(shí)施例功能模塊示意圖。本實(shí)施例與圖6所述實(shí)施例的區(qū)別是��,僅增加了數(shù)據(jù)修復(fù)模塊05 ;本實(shí)施例僅對(duì)數(shù)據(jù)修復(fù)模塊05作具體描述���,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置所涉及的其他模塊請(qǐng)參照相關(guān)實(shí)施例的具體描述��,在此不再贅述�。
[0067]如圖8所示��,本發(fā)明磁盤引導(dǎo)區(qū)病毒識(shí)別裝置應(yīng)用于客戶端時(shí)�,還包括:
[0068]數(shù)據(jù)修復(fù)模塊05,用于將標(biāo)記為黑樣本的所述磁盤數(shù)據(jù)上傳至服務(wù)端����,并進(jìn)行客戶端自身的修復(fù)操作。
[0069]病毒識(shí)別模塊03將模擬執(zhí)行模塊02記錄的模擬行為模式與數(shù)據(jù)獲取模塊01獲取的已知行為模式進(jìn)行對(duì)比分析��,對(duì)于與已知行為模式中的白樣本匹配成功的�����,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)暫時(shí)沒(méi)有安全威脅;對(duì)于與已知行為模式中的黑樣本匹配成功或者是一些明顯的引導(dǎo)區(qū)病毒的行為模式的����,則識(shí)別對(duì)應(yīng)的MBR數(shù)據(jù)已感染引導(dǎo)區(qū)病毒����;客戶端的數(shù)據(jù)修復(fù)模塊05將標(biāo)記為黑樣本的磁盤數(shù)據(jù)上傳至服務(wù)端,并進(jìn)行自身的修復(fù)操作�。
[0070]在一優(yōu)選的實(shí)施例中,對(duì)于既不能與白樣本匹配成功�����,也不能與黑樣本匹配成功的模擬行為模式���,數(shù)據(jù)修復(fù)模塊05將上述模擬行為模式上傳至服務(wù)端�,由服務(wù)端對(duì)其進(jìn)行分析�����,并與存儲(chǔ)的黑白樣本進(jìn)行匹配��;若服務(wù)端分析后����,仍不能對(duì)該模擬行為模式進(jìn)行確認(rèn)��,則由后臺(tái)分析人員對(duì)其進(jìn)行人工分析���,根據(jù)分析結(jié)果對(duì)其進(jìn)行處理;比如����,分析結(jié)果為,該模擬行為模式為安全行為�����,則數(shù)據(jù)修復(fù)模塊05不對(duì)其進(jìn)行處理�;分析結(jié)果為,該模擬行為模式會(huì)對(duì)客戶端造成安全威脅�����,則數(shù)據(jù)修復(fù)模塊05將該模擬行為模式所對(duì)應(yīng)的磁盤數(shù)據(jù)進(jìn)行刪除����、修復(fù)等處理,并將上述分析結(jié)果及處理過(guò)程均上傳至服務(wù)端����。數(shù)據(jù)修復(fù)模塊05可以根據(jù)分析結(jié)果將安全行為所對(duì)應(yīng)的磁盤數(shù)據(jù)標(biāo)記為白樣本�����,將對(duì)客戶端造成安全威脅的磁盤數(shù)據(jù)標(biāo)記為黑樣本后,將所述白樣本及黑樣本上傳至服務(wù)端�。
[0071]本實(shí)施例在客戶端識(shí)別引導(dǎo)區(qū)病毒后,進(jìn)行自身修復(fù)操作����,具有對(duì)識(shí)別到的引導(dǎo)區(qū)病毒進(jìn)行及時(shí)響應(yīng)處理的有益效果,提高了客戶端引導(dǎo)區(qū)病毒的處理速度�。
[0072]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例,并非因此限制其專利范圍��,凡是利用本發(fā)明說(shuō)明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換��,直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】��,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)�����。
【權(quán)利要求】
1.一種磁盤引導(dǎo)區(qū)病毒識(shí)別方法����,其特征在于��,包括以下步驟: 獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)���; 根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境�,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程���; 在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中�,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式��; 通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析���,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別��。
2.如權(quán)利要求1所述的方法���,其特征在于,所述通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析�,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別的步驟包括: 在記錄的所述模擬行為模式與已知行為模式匹配成功時(shí)����,識(shí)別所述模擬行為模式所對(duì)應(yīng)的磁盤引導(dǎo)區(qū)已被病毒感染����,標(biāo)記所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)為黑樣本。
3.如權(quán)利要求1或2所述的方法�,其特征在于,所述方法應(yīng)用于服務(wù)端時(shí)����,所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是服務(wù)端收集的客戶端的磁盤數(shù)據(jù)樣本��。
4.如權(quán)利要求3所述的方法��,其特征在于�����,還包括: 將所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)標(biāo)記為需進(jìn)行人工分析的磁盤數(shù)據(jù)樣本���。
5.如權(quán)利要求1或2所述的方法����,其特征在于,所述方法應(yīng)用于客戶端時(shí)�����,所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是所述客戶端從自身的磁盤中讀取的數(shù)據(jù)����。
6.如權(quán)利要求5所述的方法,其特征在于�����,還包括: 將標(biāo)記為黑樣本的所述磁盤數(shù)據(jù)上傳至服務(wù)端����,并進(jìn)行客戶端自身的修復(fù)操作。
7.—種磁盤引導(dǎo)區(qū)病毒識(shí)別裝置��,其特征在于���,包括: 數(shù)據(jù)獲取模塊��,用于獲取預(yù)先存儲(chǔ)的引導(dǎo)區(qū)病毒的已知行為模式����,并獲取磁盤主引導(dǎo)記錄及所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù); 模擬執(zhí)行模塊����,用于根據(jù)獲取的所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)建立模擬執(zhí)行環(huán)境,模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程��;在模擬所述磁盤主引導(dǎo)記錄的執(zhí)行過(guò)程中��,分析并記錄所述磁盤主引導(dǎo)記錄的模擬行為模式��; 病毒識(shí)別模塊�,用于通過(guò)將記錄的所述模擬行為模式與已知行為模式進(jìn)行對(duì)比分析,對(duì)磁盤引導(dǎo)區(qū)病毒進(jìn)行識(shí)別����。
8.如權(quán)利要求7所述的裝置����,其特征在于,所述病毒識(shí)別模塊還用于: 在記錄的所述模擬行為模式與已知行為模式匹配成功時(shí)�����,識(shí)別所述模擬行為模式所對(duì)應(yīng)的磁盤引導(dǎo)區(qū)已被病毒感染��,標(biāo)記所述磁盤主引導(dǎo)記錄執(zhí)行時(shí)調(diào)用的磁盤數(shù)據(jù)為黑樣本。
9.如權(quán)利要求7或8所述的裝置��,其特征在于,所述裝置應(yīng)用于服務(wù)端時(shí)�����,所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是服務(wù)端收集的客戶端的磁盤數(shù)據(jù)樣本���。
10.如權(quán)利要求9 所述的裝置,其特征在于����,還包括: 樣本標(biāo)記模塊,用于將所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)標(biāo)記為需進(jìn)行人工分析的磁盤數(shù)據(jù)樣本����。
11.如權(quán)利要求7或8所述的裝置,其特征在于�����,所述裝置應(yīng)用于客戶端時(shí)����,所述磁盤主引導(dǎo)記錄及磁盤數(shù)據(jù)是所述客戶端從自身的磁盤中讀取的數(shù)據(jù)����。
12.如權(quán)利要求11所述的裝置��,其特征在于��,還包括: 數(shù)據(jù)修復(fù)模塊�����,用于將標(biāo)記為黑樣本的所述磁盤數(shù)據(jù)上傳至服務(wù)端��,并進(jìn)行客戶端自身的修 復(fù)操作��。
【文檔編號(hào)】G06F9/445GK103971052SQ201310031901
【公開日】2014年8月6日 申請(qǐng)日期:2013年1月28日 優(yōu)先權(quán)日:2013年1月28日
【發(fā)明者】譚文 申請(qǐng)人:騰訊科技(深圳)有限公司