[發(fā)明專利]惡意文件的檢測方法、裝置、設備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010065766.3 | 申請日: | 2020-01-20 |
| 公開(公告)號: | CN113139176A | 公開(公告)日: | 2021-07-20 |
| 發(fā)明(設計)人: | 鄭寶龍;陳甲 | 申請(專利權(quán))人: | 華為技術(shù)有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F21/56 |
| 代理公司: | 北京三高永信知識產(chǎn)權(quán)代理有限責任公司 11138 | 代理人: | 顏晶 |
| 地址: | 518129 廣東*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 文件 檢測 方法 裝置 設備 存儲 介質(zhì) | ||
1.一種惡意文件的檢測方法,其特征在于,所述方法包括:
檢測設備獲取測試文件,所述測試文件為基于第一操作系統(tǒng)運行的可執(zhí)行文件;
所述檢測設備在虛擬運行環(huán)境中運行所述測試文件,所述虛擬運行環(huán)境是基于容器技術(shù)生成的;
所述檢測設備獲得所述測試文件在運行過程中調(diào)用的第一API序列,所述第一API序列中包括至少一個API,所述第一API序列包括的API為第一API集合中的API,所述第一API集合包括所述虛擬運行環(huán)境提供的軟件運行所需的多個API,所述第一API集合中的API的標識與第二API集合中的API的標識相同,所述第二API集合包括所述第一操作系統(tǒng)提供的軟件運行所需的多個API;
所述檢測設備在第二操作系統(tǒng)中執(zhí)行第二API序列,所述第二API序列中包括至少一個API,所述第二API序列包括的API為所述第二操作系統(tǒng)中的API,所述第二API序列中的第一API與所述第一API序列中的第一API具有映射關系,所述第二操作系統(tǒng)是基于所述檢測設備的計算機指令集架構(gòu)的操作系統(tǒng);
所述檢測設備基于所述第一API序列被調(diào)用過程中所述測試文件的行為特征,判斷所述測試文件是否為惡意文件。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述檢測設備在第二操作系統(tǒng)中執(zhí)行第二API序列,包括:
所述檢測設備根據(jù)所述第一API序列中的每個API,分別從所述虛擬運行環(huán)境的動態(tài)鏈接庫中獲取對應的函數(shù),從而獲得第一函數(shù)序列,所述第一函數(shù)序列包括的函數(shù)用于實現(xiàn)所述第一API序列中包括的API;
所述檢測設備根據(jù)所述第一函數(shù)序列中的每個函數(shù),分別從所述第二操作系統(tǒng)的動態(tài)鏈接庫中獲取映射的函數(shù),從而生成第二函數(shù)序列,所述第二函數(shù)序列包括的函數(shù)用于實現(xiàn)所述第二API序列中包括的API,所述第二函數(shù)序列中的第一函數(shù)與所述第一函數(shù)序列中的第一函數(shù)具有映射關系;
所述檢測設備在所述第二操作系統(tǒng)的內(nèi)核中,根據(jù)所述第二函數(shù)序列執(zhí)行操作。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第一操作系統(tǒng)為Windows操作系統(tǒng),所述第二操作系統(tǒng)為Linux操作系統(tǒng),所述檢測設備根據(jù)所述第一API序列中的每個API,分別從所述虛擬運行環(huán)境的動態(tài)鏈接庫中獲取對應的函數(shù),包括:
所述檢測設備根據(jù)所述第一API序列中的每個API,分別從動態(tài)鏈接庫DLL文件中獲取對應的函數(shù);
所述檢測設備根據(jù)所述第一函數(shù)序列中的每個函數(shù),分別從所述第二操作系統(tǒng)的動態(tài)鏈接庫中獲取映射的函數(shù),包括:
所述檢測設備根據(jù)所述第一函數(shù)序列中的每個函數(shù)以及函數(shù)之間的映射關系,分別從共享對象SO文件中獲取映射的函數(shù)。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第一操作系統(tǒng)為Linux操作系統(tǒng),所述第二操作系統(tǒng)為Windows操作系統(tǒng),所述檢測設備根據(jù)所述第一API序列中的每個API,分別從所述虛擬運行環(huán)境的動態(tài)鏈接庫中獲取對應的函數(shù),包括:
所述檢測設備根據(jù)所述第一API序列中的每個API,分別從SO文件中獲取對應的函數(shù);
所述檢測設備根據(jù)所述第一函數(shù)序列中的每個函數(shù),分別從所述第二操作系統(tǒng)的動態(tài)鏈接庫中獲取映射的函數(shù),包括:
所述檢測設備根據(jù)所述第一函數(shù)序列中的每個函數(shù)以及函數(shù)之間的映射關系,分別從DLL文件中獲取映射的函數(shù)。
5.根據(jù)權(quán)利要求1至4中任一項所述的方法,其特征在于,所述檢測設備在第二操作系統(tǒng)中執(zhí)行第二API序列,包括:
所述檢測設備獲取所述第一API序列中調(diào)用的第一類參數(shù),所述第一類參數(shù)包括的參數(shù)為所述第一API序列中的API的輸入?yún)?shù);
所述檢測設備在所述第二操作系統(tǒng)中,根據(jù)第二類參數(shù)執(zhí)行所述第二API序列,所述第二類參數(shù)包括的參數(shù)為所述第二API序列中的API的輸入?yún)?shù),所述第二類參數(shù)中的第一參數(shù)與所述第一類參數(shù)中的第一參數(shù)具有映射關系。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于華為技術(shù)有限公司,未經(jīng)華為技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010065766.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
