本發明涉及一種檢測文件中的惡意代碼的系統和方法。一個示例性方法包括：在執行從計算設備的文件啟動的進程期間，通過處理器攔截一個或多個應用程序接口(API)調用；通過處理器確定和檢測進程的退出條件的存在；響應于檢測到退出條件，識別一個或多個第一類型的簽名以及將計算設備的一個或多個保存的存儲器信息轉儲轉移到模擬器用于執行；以及至少基于所轉移的計算設備的存儲器信息轉儲的執行結果，響應于檢測一個或多個第二類型的簽名，確定和識別文件中的惡意代碼。

技術領域

本發明總體涉及數據安全性領域，更具體地涉及檢測文件中的惡意代碼的系統和方法。

背景技術

傳統的簽名分析并不總是能夠檢測惡意文件，尤其是多形態病毒、惡意文件的變型版本、以及溢出代碼。因此，現代防病毒應用程序另外使用所謂的“沙盒”-用于安全執行進程的計算機環境進行掃描。例如，基于文件系統和注冊表的部分虛擬化、基于文件系統和注冊表的訪問規則、或者基于混合方法，沙盒能夠以虛擬機的形式實現。在沙盒中執行正被掃描的文件。作為從文件啟動的進程執行的結果而發生的事件可通過攔截由該進程和操作系統(OS)兩者所執行的各種程序而保存在日志中。防病毒應用程序然后可分析所生成的日志。該日志通常保存API(應用程序接口)函數調用，其已經在執行期間被所提到的進程進行；以及保存來自所調用的API函數的返回(在返回地址處的控制權轉移)。在沙盒中執行文件通常發生在限制的時段內(高達幾十秒)，這是因為在沙盒中執行文件和通過防病毒應用程序攔截API函數調用明顯地減緩了文件的執行速度。同時，當在沙盒中執行包含溢出代碼的文件時，其通過分析API函數調用日志的檢測可能是困難的。這是因為溢出代碼可被加載到進程的存儲器中，但是與應被轉移到包含溢出代碼的存儲器區段的控制相比，在沙盒中執行進程被更早地終止。在這種情況下，需要保存和分析存儲器信息轉儲。

現有技術的分析得出如下結論：采用先前的技術可能是無效的且在一些情況下是不可行的，該先前的技術的缺陷可通過本發明、即用于檢測文件中的惡意代碼的系統和方法得以解決。

發明內容

公開了用于檢測文件中的惡意代碼的系統和方法。在一個示例性方面中，一種用于檢測文件中的惡意代碼的計算機實施的方法，所述方法包括：在執行從計算設備的文件啟動的進程期間，通過處理器攔截一個或多個應用程序接口(API)調用；通過所述處理器確定和檢測所述進程的退出條件的存在；響應于檢測所述退出條件，識別一個或多個第一類型的簽名以及將所述計算設備的一個或多個保存的存儲器信息轉儲轉移到模擬器用于執行；以及至少基于所轉移的所述計算設備的所述存儲器信息轉儲的執行結果，響應于檢測一個或多個第二類型的簽名，確定和識別所述文件中的惡意代碼。

在另一示例性方面中，所述方法還包括：經由在所述計算設備上安裝的防病毒應用程序的控制，在所述計算設備的虛擬機中執行從所述文件啟動的所述進程；和確定攔截的所述API調用的連續記錄并且將其存儲在所述計算設備的所述虛擬機的第一日志中。通過所述處理器確定和檢測所述進程的所述退出條件的存在包括檢測以下項中的至少一者：所述進程已經完成的指示；指定的時段已經過去；由所述進程執行的指令的數目已經超過選擇的閾值；或者檢測到的可疑事件的數目已經超過選擇的閾值。

在又一示例性方面中，所述方法還包括：基于攔截的所述API調用，檢測在執行所述進程期間發生的一個或多個可疑事件；以及響應于檢測所述一個或多個可疑事件和將攔截的所述API調用的連續記錄存儲到所述第一日志中，將所述進程的存儲器信息轉儲存儲在所述計算設備的所述虛擬機的數據庫中。至少基于在所述第一日志中的所述連續記錄，執行識別所述一個或多個第一類型的簽名，各個所述第一類型的簽名包括數據結構，所述數據結構包含具有與攔截的所述API調用或者檢測的所述一個或多個可疑事件有關的信息的至少一個記錄。