1.一種API日志監(jiān)控方法，其特征在于，包括：

確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信；

獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志，若所述API日志所屬的模塊可信，則不記錄所述API日志，否則，記錄。

2.根據(jù)權(quán)利要求1所述的API日志監(jiān)控方法，其特征在于，所述確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信的步驟包括：

生成一可信文件列表；

獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件，以及所述模塊對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)；

若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)，則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信，否則，標(biāo)記為不可信。

3.根據(jù)權(quán)利要求2所述的API日志監(jiān)控方法，其特征在于，所述生成一可信文件列表的步驟包括：

獲得系統(tǒng)磁盤(pán)中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)；

將所述標(biāo)識(shí)記錄在一動(dòng)態(tài)庫(kù)文件中；

根據(jù)所述動(dòng)態(tài)庫(kù)文件，生成一可信文件列表。

4.根據(jù)權(quán)利要求3所述的API日志監(jiān)控方法，其特征在于，所述獲得系統(tǒng)磁盤(pán)中每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)的步驟包括：

對(duì)所述每個(gè)系統(tǒng)文件進(jìn)行Hash運(yùn)算，將得到的Hash值作為所述系統(tǒng)文件的唯一標(biāo)識(shí)；其中，所述Hash值包括：對(duì)所述系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第一校驗(yàn)值以及對(duì)所述系統(tǒng)文件的頭部分進(jìn)行校驗(yàn)得到的第二校驗(yàn)值；

所述動(dòng)態(tài)庫(kù)文件包括：順序存儲(chǔ)的所述每個(gè)系統(tǒng)文件的Hash值形成的序列。

5.根據(jù)權(quán)利要求4所述的API日志監(jiān)控方法，其特征在于，所述根據(jù)所述動(dòng)態(tài)庫(kù)文件，生成一可信文件列表的步驟包括：

從所述動(dòng)態(tài)庫(kù)文件的每個(gè)系統(tǒng)文件的Hash值形成的序列中，動(dòng)態(tài)申請(qǐng)多個(gè)所述系統(tǒng)文件的Hash值，形成所述可信文件列表。

6.根據(jù)權(quán)利要求4所述的API日志監(jiān)控方法，其特征在于，所述獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊對(duì)應(yīng)的系統(tǒng)文件，以及所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)的步驟包括：

對(duì)所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的進(jìn)程及衍生進(jìn)程中的所有模塊以及后續(xù)動(dòng)態(tài)加載的模塊進(jìn)行定位，獲得所述模塊對(duì)應(yīng)的系統(tǒng)文件；

對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件進(jìn)行Hash運(yùn)算，將得到的所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值作為所述每個(gè)系統(tǒng)文件的唯一標(biāo)識(shí)；其中，所述模塊對(duì)應(yīng)的系統(tǒng)文件的Hash值包括：對(duì)所述模塊對(duì)應(yīng)的系統(tǒng)文件全文進(jìn)行校驗(yàn)得到的第三校驗(yàn)值以及對(duì)所述模塊的內(nèi)存影像的頭部分進(jìn)行校驗(yàn)得到的第四校驗(yàn)值。

7.根據(jù)權(quán)利要求6所述的API日志監(jiān)控方法，其特征在于，所述若在所述可信文件列表中匹配到所述對(duì)應(yīng)的系統(tǒng)文件的標(biāo)識(shí)，則將所述對(duì)應(yīng)的系統(tǒng)文件對(duì)應(yīng)的模塊標(biāo)記為可信，否則，標(biāo)記為不可信的步驟包括：

根據(jù)所述第三校驗(yàn)值以及所述第四校驗(yàn)值，在所述可信文件列表中進(jìn)行檢索，若檢索到與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值，則將所述模塊標(biāo)記為可信，否則，標(biāo)記為不可信。

8.根據(jù)權(quán)利要求7所述的API日志監(jiān)控方法，其特征在于，采用二分法，在所述可信文件列表中檢索是否存在與所述第三校驗(yàn)值相同的第一校驗(yàn)值以及與所述第四校驗(yàn)值相同的第二校驗(yàn)值。

9.根據(jù)權(quán)利要求4-8任一項(xiàng)所述的API日志監(jiān)控方法，其特征在于，所述Hash運(yùn)算是64位Hash運(yùn)算；所述第一校驗(yàn)值、所述第二校驗(yàn)值、所述第三校驗(yàn)值以及所述第四校驗(yàn)值均是采用CRC32校驗(yàn)算法進(jìn)行校驗(yàn)獲得的。

10.一種API日志監(jiān)控裝置，其特征在于，包括：

確定模塊，用于確定目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的所有進(jìn)程中的模塊以及后續(xù)動(dòng)態(tài)加載的模塊是否可信；

記錄模塊，用于獲得所述目標(biāo)樣本運(yùn)行過(guò)程中產(chǎn)生的每一條API日志，若所述API日志所屬的模塊可信，則不記錄所述API日志，否則，記錄。