技術(shù)特征:1.一種基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)��,其特征在于��,包括:文件導入��,用于導入待檢測的威脅未知的文件���;
惡意程序檢測系統(tǒng),用于對待檢測文件進行綜合檢測�;
日志系統(tǒng),用于記錄檢測過程中攻擊行為和代碼特征�����;
威脅內(nèi)容分析,用于分析所檢測到的惡意程序威脅詳情�。
2.根據(jù)權(quán)利要求1所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng),其特征在于���,所述文件導入包括用戶直接離線文件導入和遠程批量離線文件導入���。
3.根據(jù)權(quán)利要求2所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng),其特征在于�,遠程批量導入是指由用戶提供遠程導入文件的權(quán)限,系統(tǒng)支持基于SMB協(xié)議的遠程網(wǎng)絡資源共享方式導入遠程的大批量文件�����。
4.根據(jù)權(quán)利要求1所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)���,其特征在于�,所述的惡意程序檢測系統(tǒng)包括:
病毒檢測���,指基于惡意代碼特征的病毒檢測���;
靜態(tài)檢測,指對攻擊威脅中的漏洞進行ShellCode檢測�;
動態(tài)檢測���,指通過虛擬機技術(shù)建立多個不同的應用環(huán)境�����,觀察程序在其中執(zhí)行的行為����,來判斷是否存在攻擊。
5.根據(jù)權(quán)利要求4所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)��,其特征在于�,所述的病毒檢測是采用特征檢測方式對未知威脅的程序文件進行檢測,目的是將待測文件中攜帶已知病毒的文件快速篩選檢測出來����。
6.根據(jù)權(quán)利要求4所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng),其特征在于���,所述的靜態(tài)檢測是利用同一漏洞的不同惡意程序���,根據(jù)已知的漏洞信息,使用一套完整的檢測規(guī)則進行檢測����,包括檢測已知漏洞利用的惡意程序和部分的未知惡意程序��。
7.根據(jù)權(quán)利要求4所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)��,其特征在于�,所述的動態(tài)檢測采用虛擬執(zhí)行技術(shù)檢測已知和未知惡意程序��,記錄在虛擬執(zhí)行環(huán)境下惡意程序執(zhí)行的行為和特征��。
8.根據(jù)權(quán)利要求7所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)�����,其特征在于���,所述的虛擬執(zhí)行環(huán)境包括操作系統(tǒng)和文件宿主程序�,使用虛擬機技術(shù)創(chuàng)建虛擬執(zhí)行環(huán)境���,為進行動態(tài)檢測創(chuàng)立適合的執(zhí)行環(huán)境�。
9.根據(jù)權(quán)利要求7所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)�,其特征在于,所述的行為和特征包括進程�、文件���、注冊表、網(wǎng)絡和漏洞利用����。
10.根據(jù)權(quán)利要求1所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)�����,其特征在于��,所述的日志系統(tǒng)是指檢測完成后系統(tǒng)記下此次未知程序的攻擊行為 和代碼特征�����,為后續(xù)對攻擊情況進行統(tǒng)計分析提供詳細的記錄���。
11.根據(jù)權(quán)利要求1所述的基于虛擬執(zhí)行的未知惡意程序離線檢測系統(tǒng)�,其特征在于���,所述的威脅內(nèi)容分析包括跟蹤分析未知程序的指令特征以及行為特征�,指令特征包括了堆����、棧中的代碼執(zhí)行情況�����。