本發(fā)明涉及一種檢測(cè)文件中的惡意代碼的系統(tǒng)和方法。一個(gè)示例性方法包括：在執(zhí)行從計(jì)算設(shè)備的文件啟動(dòng)的進(jìn)程期間，通過(guò)處理器攔截一個(gè)或多個(gè)應(yīng)用程序接口(API)調(diào)用；通過(guò)處理器確定和檢測(cè)進(jìn)程的退出條件的存在；響應(yīng)于檢測(cè)到退出條件，識(shí)別一個(gè)或多個(gè)第一類(lèi)型的簽名以及將計(jì)算設(shè)備的一個(gè)或多個(gè)保存的存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)轉(zhuǎn)移到模擬器用于執(zhí)行；以及至少基于所轉(zhuǎn)移的計(jì)算設(shè)備的存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)的執(zhí)行結(jié)果，響應(yīng)于檢測(cè)一個(gè)或多個(gè)第二類(lèi)型的簽名，確定和識(shí)別文件中的惡意代碼。

技術(shù)領(lǐng)域

本發(fā)明總體涉及數(shù)據(jù)安全性領(lǐng)域，更具體地涉及檢測(cè)文件中的惡意代碼的系統(tǒng)和方法。

背景技術(shù)

傳統(tǒng)的簽名分析并不總是能夠檢測(cè)惡意文件，尤其是多形態(tài)病毒、惡意文件的變型版本、以及溢出代碼。因此，現(xiàn)代防病毒應(yīng)用程序另外使用所謂的“沙盒”-用于安全執(zhí)行進(jìn)程的計(jì)算機(jī)環(huán)境進(jìn)行掃描。例如，基于文件系統(tǒng)和注冊(cè)表的部分虛擬化、基于文件系統(tǒng)和注冊(cè)表的訪問(wèn)規(guī)則、或者基于混合方法，沙盒能夠以虛擬機(jī)的形式實(shí)現(xiàn)。在沙盒中執(zhí)行正被掃描的文件。作為從文件啟動(dòng)的進(jìn)程執(zhí)行的結(jié)果而發(fā)生的事件可通過(guò)攔截由該進(jìn)程和操作系統(tǒng)(OS)兩者所執(zhí)行的各種程序而保存在日志中。防病毒應(yīng)用程序然后可分析所生成的日志。該日志通常保存API(應(yīng)用程序接口)函數(shù)調(diào)用，其已經(jīng)在執(zhí)行期間被所提到的進(jìn)程進(jìn)行；以及保存來(lái)自所調(diào)用的API函數(shù)的返回(在返回地址處的控制權(quán)轉(zhuǎn)移)。在沙盒中執(zhí)行文件通常發(fā)生在限制的時(shí)段內(nèi)(高達(dá)幾十秒)，這是因?yàn)樵谏澈兄袌?zhí)行文件和通過(guò)防病毒應(yīng)用程序攔截API函數(shù)調(diào)用明顯地減緩了文件的執(zhí)行速度。同時(shí)，當(dāng)在沙盒中執(zhí)行包含溢出代碼的文件時(shí)，其通過(guò)分析API函數(shù)調(diào)用日志的檢測(cè)可能是困難的。這是因?yàn)橐绯龃a可被加載到進(jìn)程的存儲(chǔ)器中，但是與應(yīng)被轉(zhuǎn)移到包含溢出代碼的存儲(chǔ)器區(qū)段的控制相比，在沙盒中執(zhí)行進(jìn)程被更早地終止。在這種情況下，需要保存和分析存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)。

現(xiàn)有技術(shù)的分析得出如下結(jié)論：采用先前的技術(shù)可能是無(wú)效的且在一些情況下是不可行的，該先前的技術(shù)的缺陷可通過(guò)本發(fā)明、即用于檢測(cè)文件中的惡意代碼的系統(tǒng)和方法得以解決。

發(fā)明內(nèi)容

公開(kāi)了用于檢測(cè)文件中的惡意代碼的系統(tǒng)和方法。在一個(gè)示例性方面中，一種用于檢測(cè)文件中的惡意代碼的計(jì)算機(jī)實(shí)施的方法，所述方法包括：在執(zhí)行從計(jì)算設(shè)備的文件啟動(dòng)的進(jìn)程期間，通過(guò)處理器攔截一個(gè)或多個(gè)應(yīng)用程序接口(API)調(diào)用；通過(guò)所述處理器確定和檢測(cè)所述進(jìn)程的退出條件的存在；響應(yīng)于檢測(cè)所述退出條件，識(shí)別一個(gè)或多個(gè)第一類(lèi)型的簽名以及將所述計(jì)算設(shè)備的一個(gè)或多個(gè)保存的存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)轉(zhuǎn)移到模擬器用于執(zhí)行；以及至少基于所轉(zhuǎn)移的所述計(jì)算設(shè)備的所述存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)的執(zhí)行結(jié)果，響應(yīng)于檢測(cè)一個(gè)或多個(gè)第二類(lèi)型的簽名，確定和識(shí)別所述文件中的惡意代碼。

在另一示例性方面中，所述方法還包括：經(jīng)由在所述計(jì)算設(shè)備上安裝的防病毒應(yīng)用程序的控制，在所述計(jì)算設(shè)備的虛擬機(jī)中執(zhí)行從所述文件啟動(dòng)的所述進(jìn)程；和確定攔截的所述API調(diào)用的連續(xù)記錄并且將其存儲(chǔ)在所述計(jì)算設(shè)備的所述虛擬機(jī)的第一日志中。通過(guò)所述處理器確定和檢測(cè)所述進(jìn)程的所述退出條件的存在包括檢測(cè)以下項(xiàng)中的至少一者：所述進(jìn)程已經(jīng)完成的指示；指定的時(shí)段已經(jīng)過(guò)去；由所述進(jìn)程執(zhí)行的指令的數(shù)目已經(jīng)超過(guò)選擇的閾值；或者檢測(cè)到的可疑事件的數(shù)目已經(jīng)超過(guò)選擇的閾值。

在又一示例性方面中，所述方法還包括：基于攔截的所述API調(diào)用，檢測(cè)在執(zhí)行所述進(jìn)程期間發(fā)生的一個(gè)或多個(gè)可疑事件；以及響應(yīng)于檢測(cè)所述一個(gè)或多個(gè)可疑事件和將攔截的所述API調(diào)用的連續(xù)記錄存儲(chǔ)到所述第一日志中，將所述進(jìn)程的存儲(chǔ)器信息轉(zhuǎn)儲(chǔ)存儲(chǔ)在所述計(jì)算設(shè)備的所述虛擬機(jī)的數(shù)據(jù)庫(kù)中。至少基于在所述第一日志中的所述連續(xù)記錄，執(zhí)行識(shí)別所述一個(gè)或多個(gè)第一類(lèi)型的簽名，各個(gè)所述第一類(lèi)型的簽名包括數(shù)據(jù)結(jié)構(gòu)，所述數(shù)據(jù)結(jié)構(gòu)包含具有與攔截的所述API調(diào)用或者檢測(cè)的所述一個(gè)或多個(gè)可疑事件有關(guān)的信息的至少一個(gè)記錄。