技術領域

本發明涉及計算機的反病毒領域，特別是指一種API日志監控方法及裝置。

背景技術

在反病毒領域，計算機產生的樣本增量都是海量的，目前已有的樣本自動分析可以歸為兩類：

1.靜態自動分析：通過反匯編代碼分析、樣本靜態內容比對以及一系統啟發式規則對比來給樣本定性。這種靜態自動分析的技術的優點是：快速，吞量高，可以應對每日的海量樣本，并給出結果；缺點是：精準度一般，無法給出樣本的惡意行為，對加密處理過的樣本存在較多的誤報和漏報。

2.動態自動分析：通過動態執行樣本，并記錄樣本運行過程中的動態行為，并對該動態行為進行分析，以樣本進行定性。這種動態自動分析的技術的優點是：精準度高，可以明確指出樣本惡意行為并可以精確對樣本進行定性；缺點是：低速，吞吐量低，若想應對海量樣本，需要大量硬件資源投入。

由于病毒行為本身是病毒樣本區別于正常文件的最本質的屬性，也是病毒家族分類的根本依據，而樣本的動態分析可以精確地指出其產生的各種惡意行為，因此具有很高的精確度，且有很強的事后檢索能力，可以實現精確定位一個病毒家族的一組樣本。

目前已有的樣本的動態分析方法的步驟包括如下：

1.在特殊的監控環境下執行病毒樣本；

2.記錄病毒對文件、注冊表的修改和訪問；

3.記錄進程、線程創建信息并跟蹤；

4.記錄病毒及其衍生進程、線程產生的API(Windows系統接口函數)流日志，并根據系統已知文件或者文件路徑過濾系統文件產生的API流日志，排除干擾；

5.記錄產生的網絡通信記錄；

6.利用已有規則對上述2、3和4步驟中的產生的結果進行分析，并給出最終結果。

其中，該方法中，利用系統已知文件名或者文件路徑過濾存在以下缺點：

1.有潛在的風險，將與系統文件同名的病毒的API流日志漏掉；

2.針對替換系統文件的病毒手法，會將病毒的API流日志漏掉；

3.針對感染型病毒，感染系統文件后的病毒的API流日志漏掉；

4.針對文件映像指向系統正常文件，但內存內容為病毒的內容的API流日志漏掉；

5.針對將系統文件名改名并調用的病毒手法，會產生大量的垃圾信息。

發明內容

本發明要解決的技術問題是提供一種API日志監控方法及裝置，可以精確判斷API所屬模塊的安全性，并精確過濾掉無關的模塊產生的API流記錄，避免漏掉關鍵API流日志，從而使得到的API流日志更加全面，精確。

為解決上述技術問題，本發明的實施例提供一種API日志監控方法，包括：

確定目標樣本運行過程中產生的所有進程中的模塊以及后續動態加載的模塊是否可信；

獲得所述目標樣本運行過程中產生的每一條API日志，若所述API日志所屬的模塊可信，則不記錄所述API日志，否則，記錄。

其中，所述確定目標樣本運行過程中產生的所有進程中的模塊以及后續動態加載的模塊是否可信的步驟包括：

生成一可信文件列表；

獲得所述目標樣本運行過程中產生的所有進程中的模塊以及后續動態加載的模塊對應的系統文件以及所述模塊對應的系統文件的標識；

若在所述可信文件列表中匹配到所述對應的系統文件的標識，則將所述對應的系統文件對應的模塊標記為可信，否則，標記為不可信。

其中，所述生成一可信文件列表的步驟包括：

獲得系統磁盤中每個系統文件的唯一標識；

將所述標識記錄在一動態庫文件中；

根據所述動態庫文件，生成一可信文件列表。

其中，所述獲得系統磁盤中每個系統文件的唯一標識的步驟包括：

對所述每個系統文件進行Hash運算，將得到的Hash值作為所述每個系統文件的唯一標識；其中，所述Hash值包括：對所述系統文件全文進行校驗得到的第一校驗值以及對所述系統文件的頭部分進行校驗得到的第二校驗值；

所述動態庫文件包括：順序存儲的所述每個系統文件的Hash值形成的序列。

其中，所述根據所述動態庫文件，生成一可信文件列表的步驟包括：

從所述動態庫文件的每個系統文件的Hash值形成的序列中，動態申請多個所述系統文件的Hash值，形成所述可信文件列表。

其中，所述獲得所述目標樣本運行過程中產生的所有進程中的模塊以及后續動態加載的模塊對應的系統文件，以及所述對應的系統文件的標識的步驟包括：