技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，特別是涉及一種計(jì)算機(jī)惡意代碼處理方法和系統(tǒng)，尤其是涉及到一種檢查計(jì)算機(jī)程序文件中是否包含有計(jì)算機(jī)惡意代碼，以及從包含計(jì)算機(jī)惡意代碼的計(jì)算機(jī)程序文件中提取惡意代碼特征碼的方法和系統(tǒng)。

背景技術(shù)

隨著計(jì)算機(jī)的普及和互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)惡意代碼(廣義上，一般也可以叫計(jì)算機(jī)病毒)的威脅越來越嚴(yán)重，計(jì)算機(jī)惡意代碼的數(shù)量增長(zhǎng)迅速，其傳播性、危害性、隱藏性等等也在不斷提高，從而使反計(jì)算機(jī)惡意代碼的工作面臨著巨大的挑戰(zhàn)。

現(xiàn)有的廣泛應(yīng)用的反計(jì)算機(jī)惡意代碼技術(shù)是靜態(tài)的模式匹配技術(shù)，其在可能包含惡意代碼的計(jì)算機(jī)程序文件出現(xiàn)后進(jìn)行人工分析，確定文件是否包含惡意代碼，如果包含惡意代碼就從計(jì)算機(jī)程序文件中提取惡意代碼的特征碼，然后把新的惡意代碼的特征碼升級(jí)給惡意代碼特征碼庫來提供給用戶查殺計(jì)算機(jī)程序中的惡意代碼。這些分析和提取惡意代碼特征碼的工作都要由人工來完成。其中，有許多包含惡意代碼的計(jì)算機(jī)程序文件，他們的文件外表是千差萬別的，不能直接看出文件是包含什么惡意代碼的計(jì)算機(jī)程序文件，不得不通過人工一個(gè)一個(gè)計(jì)算機(jī)程序文件去分析其是否包含惡意代碼，然后基于這個(gè)計(jì)算機(jī)程序文件提取所包含的惡意代碼，生成惡意代碼特征碼，加入到惡意代碼特征碼庫來提供給用戶查殺計(jì)算機(jī)程序中的惡意代碼。然而，現(xiàn)有的很多計(jì)算機(jī)惡意代碼具有多種變種，在運(yùn)行時(shí)具有很多相同或者相似的代碼信息。如威金病毒(Viking)，灰鴿子后門病毒(Huigezi、Gpigeon)，Banker盜取銀行密碼病毒等等，這些數(shù)量眾多的變種惡意代碼運(yùn)行時(shí)具有相同或者相似的代碼信息。如威金病毒家族，其運(yùn)行時(shí)具有三個(gè)相同或者相似的代碼信息：1)都會(huì)感染W(wǎng)indows程序；2)把原始文件捆綁在惡意代碼的后面；3)從網(wǎng)上下載數(shù)個(gè)盜取密碼的惡意程序，并通過局域網(wǎng)傳播。盡管威金病毒家族的變種很多，但基本行為就是這三個(gè)方面，但是而對(duì)于每一個(gè)惡意代碼及其變種，都不得不通過人工重復(fù)多次進(jìn)行分析，才能得到惡意代碼及其變種的惡意代碼特征碼，使得工作效率降低，并影響到惡意代碼特征碼庫的更新速度。

中國專利授權(quán)公告號(hào)為CN1235108C的發(fā)明專利公開了一種計(jì)算機(jī)病毒檢測(cè)和識(shí)別方法，其通過模擬生物免疫系統(tǒng)，將免疫原理應(yīng)用于反計(jì)算機(jī)病毒的特征代碼法，結(jié)合行為監(jiān)測(cè)法等計(jì)算機(jī)病毒檢測(cè)和識(shí)別方法，通過監(jiān)控計(jì)算機(jī)系統(tǒng)來檢測(cè)和發(fā)現(xiàn)計(jì)算機(jī)病毒并獲得病毒樣本，然后在學(xué)習(xí)識(shí)別階段通過使用變異進(jìn)化以及樣本文本分析來獲得病毒特征碼。該發(fā)明具有檢測(cè)一些已知惡意代碼和未知惡意代碼的能力，但該發(fā)明沒有對(duì)監(jiān)測(cè)和發(fā)現(xiàn)計(jì)算機(jī)惡意代碼的過程中，感染計(jì)算機(jī)惡意代碼的文件運(yùn)行時(shí)的代碼信息進(jìn)行充分的收集并加以分析和利用，割裂被包含計(jì)算機(jī)惡意代碼的計(jì)算機(jī)程序文件和惡意代碼及其變種之間的在運(yùn)行過程中的聯(lián)系，其還是一種基于單一文件的惡意代碼特征碼提取方法，同樣不能提高工作效率，并影響到惡意代碼特征碼庫的更新速度。同時(shí)，該發(fā)明由于它無法直接生成準(zhǔn)確的惡意代碼特征碼，需要不斷的變異和進(jìn)化，這必然導(dǎo)致在生成特征碼時(shí)需要重復(fù)的比對(duì)，從而增加了系統(tǒng)的開銷，而且，其中的自體文件庫，需要囊括所有正常文件的代碼集合，實(shí)現(xiàn)的難度很大，實(shí)用性很小。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題在于提供一種計(jì)算機(jī)惡意代碼處理方法和系統(tǒng)，以提高惡意代碼分析的工作效率，降低系統(tǒng)開銷和實(shí)現(xiàn)難度。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種計(jì)算機(jī)惡意代碼處理方法，包括下列步驟：

步驟A，讀取可能包含惡意代碼的計(jì)算機(jī)程序文件并運(yùn)行，采集所述計(jì)算機(jī)程序文件運(yùn)行時(shí)的與惡意代碼相關(guān)聯(lián)的代碼信息；

步驟B，將所述代碼信息進(jìn)行信息組合，與惡意代碼知識(shí)庫中的惡意代碼知識(shí)比較匹配，分析所述計(jì)算機(jī)程序文件是否包含惡意代碼。

所述的計(jì)算機(jī)惡意代碼處理方法，在步驟A與步驟B之間還可以包括下列步驟：

隔離所述采集代碼信息的計(jì)算機(jī)運(yùn)行環(huán)境。

所述讀取可能包含惡意代碼的計(jì)算機(jī)程序文件并運(yùn)行，可以是：

復(fù)制可能包含惡意代碼的計(jì)算機(jī)程序文件，并運(yùn)行所述計(jì)算機(jī)程序文件。

所述步驟A還可以包括下列步驟：

將所述代碼信息與所述計(jì)算機(jī)程序文件的文件代碼的數(shù)據(jù)地址相對(duì)應(yīng)，生成編碼數(shù)據(jù)。

所述將代碼信息與計(jì)算機(jī)程序文件的文件代碼的數(shù)據(jù)地址相對(duì)應(yīng)，可以是：

根據(jù)所述代碼信息，記錄與所述代碼信息相對(duì)應(yīng)的計(jì)算機(jī)程序文件的文件代碼的數(shù)據(jù)地址，并將所述數(shù)據(jù)地址轉(zhuǎn)化為地址文本，建立所述代碼信息與數(shù)據(jù)地址的關(guān)聯(lián)。

所述生成編碼數(shù)據(jù)，可以是：