[發明專利]檢測文件中的惡意代碼的系統和方法有效

申請號：	201710452788.3	申請日：	2017-06-15
公開（公告）號：	CN107808094B	公開（公告）日：	2021-06-04
發明（設計）人：	馬克西姆·Y·戈洛夫金;阿列克謝·V·莫納斯蒂爾斯基;弗拉季斯拉夫·V·皮恩提斯基;米哈伊爾·A·帕夫尤什切克;維塔利·V·布圖佐夫;德米特里·V·卡拉索夫斯基	申請（專利權）人：	卡巴斯基實驗室股份制公司
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	北京同達信恒知識產權代理有限公司 11291	代理人：	黃志華;何月華
地址：	俄羅斯***	國省代碼：	暫無信息
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	檢測文件中的惡意代碼系統方法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種用于檢測文件中的惡意代碼的計算機實施的方法，所述方法包括：

在執行從計算設備的文件啟動的進程期間，通過處理器攔截一個或多個應用程序接口API函數調用；

通過所述處理器檢測所述進程的退出條件的滿足，其中，所述退出條件是基于分配給多個類型的可疑事件的權重；

響應于檢測所述退出條件，識別一個或多個第一類型的簽名以及將所述計算設備的一個或多個保存的存儲器信息轉儲轉移到模擬器用于執行，其中，所述一個或多個第一類型的簽名中的簽名包括用于包含關于以下項的信息的至少一個記錄的數據結構：所攔截的API函數調用，可疑事件或對所述至少一個記錄強加的條件；以及

至少基于所轉移的所述計算設備的所述存儲器信息轉儲的執行結果，響應于檢測一個或多個第二類型的簽名，識別所述文件中的惡意代碼，其中，所述一個或多個第二類型的簽名中的簽名包括用于包含關于以下項的信息的至少一個記錄的數據結構：所攔截的API函數調用，處理器指令，所述處理器的內部狀態的快照，可疑事件，或對所述至少一個記錄強加的條件。

2.根據權利要求1所述的計算機實施的方法，還包括：經由在所述計算設備上安裝的防病毒應用程序的控制，在所述計算設備的虛擬機中執行從所述文件啟動的所述進程。

3.根據權利要求2所述的計算機實施的方法，還包括：確定攔截的所述API函數調用的連續記錄并且將其存儲在所述計算設備的所述虛擬機的第一日志中。

4.根據權利要求1所述的計算機實施的方法，其中，通過所述處理器確定和檢測所述進程的所述退出條件的存在包括檢測以下項中的至少一者：所述進程已經完成的指示；指定的時段已經過去；由所述進程執行的指令的數目已經超過選擇的閾值；或者檢測到的可疑事件的數目已經超過選擇的閾值。

5.根據權利要求3所述的計算機實施的方法，還包括：

基于攔截的所述API函數調用，檢測在執行所述進程期間發生的一個或多個可疑事件；以及

響應于檢測所述一個或多個可疑事件和將攔截的所述API函數調用的連續記錄存儲到所述第一日志中，將所述進程的存儲器信息轉儲存儲在所述計算設備的所述虛擬機的數據庫中。

6.根據權利要求5所述的計算機實施的方法，其中，至少基于在所述第一日志中的所述連續記錄，執行識別所述一個或多個第一類型的簽名，各個所述第一類型的簽名包括用于包含針對關于攔截的所述API函數調用或者檢測的所述一個或多個可疑事件的信息的所述至少一個記錄的所述數據結構。

7.根據權利要求1所述的計算機實施的方法，其中，在所述模擬器中執行轉移的所述計算設備的一個或多個保存的存儲器信息轉儲包括：

反匯編在所述一個或多個保存的存儲器信息轉儲中包含的一個或多個可執行代碼；

在所述模擬器的虛擬環境中執行所述一個或多個可執行代碼；

在執行所述一個或多個可執行代碼期間確定到所述一個或多個API函數調用的地址的跳轉；以及

將所述一個或多個API函數調用的記錄相繼保持在第二日志中。

8.根據權利要求7所述的計算機實施的方法，其中，在所述第二日志中的各個記錄包含與以下項有關的信息：被調用的API函數的名稱；從對應的文件啟動的所述進程的唯一標識符PID；執行所述進程的地址空間的指令的線程的唯一標識符TID；以及所述API函數的參數的集合。

9.根據權利要求7所述的計算機實施的方法，其中，所述第二日志配置成保持和記錄所述模擬器的執行軌跡，所述執行軌跡包括正在所述處理器上執行的不間斷的指令序列以及所述處理器在執行各個指令時的內部狀態的快照。

10.根據權利要求9所述的計算機實施的方法，其中，所述一個或多個第二類型的簽名包括包含所述第二日志中的所述記錄的至少一者的所述數據結構。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于卡巴斯基實驗室股份制公司，未經卡巴斯基實驗室股份制公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201710452788.3/1.html，轉載請聲明來源鉆瓜專利網。

上一篇：伺服器、使用者裝置及終端裝置
下一篇：用于檢測網頁的異常元素的系統和方法

同類專利

專利分類

G 物理

G06 計算；推算；計數
G06F 電數字數據處理
G06F21-00 防止未授權行為的保護計算機或計算機系統的安全裝置
G06F21-02 .通過保護計算機的特定內部部件
G06F21-04 .通過保護特定的外圍設備，如鍵盤或顯示器
G06F21-06 .通過感知越權操作或外圍侵擾
G06F21-20 .通過限制訪問計算機系統或計算機網絡中的節點
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級VIP會員，免費下載

專利文獻下載

說明：

1、專利原文基于中國國家知識產權局專利說明書；

2、支持發明專利、實用新型專利、外觀設計專利（升級中）；

3、專利數據每周兩次同步更新，支持Adobe PDF格式；

4、內容包括專利技術的結構示意圖、流程工藝圖或技術構造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進行下載，點擊【登陸】【注冊】