[發(fā)明專利]惡意代碼檢測方法、裝置、存儲介質(zhì)及電子設(shè)備在審
| 申請?zhí)枺?/td> | 202110893571.2 | 申請日: | 2021-08-04 |
| 公開(公告)號: | CN113672918A | 公開(公告)日: | 2021-11-19 |
| 發(fā)明(設(shè)計)人: | 呂經(jīng)祥;童志明 | 申請(專利權(quán))人: | 安天科技集團股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/53 |
| 代理公司: | 北京科衡知識產(chǎn)權(quán)代理有限公司 11928 | 代理人: | 王淑靜 |
| 地址: | 150028 黑龍江省哈爾濱市高新技術(shù)產(chǎn)*** | 國省代碼: | 黑龍江;23 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意代碼 檢測 方法 裝置 存儲 介質(zhì) 電子設(shè)備 | ||
本發(fā)明一個或多個實施例公開了一種惡意代碼檢測方法、裝置、存儲介質(zhì)及電子設(shè)備,其中,惡意代碼檢測方法包括:在沙箱中執(zhí)行目標(biāo)程序;對所述目標(biāo)程序在執(zhí)行過程中的行為進行監(jiān)控;響應(yīng)于監(jiān)控到所述目標(biāo)程序執(zhí)行訪問環(huán)境信息的行為,掛起所述目標(biāo)程序創(chuàng)建的進程;在用戶本地獲取所述環(huán)境信息,并將獲取到的所述環(huán)境信息上傳至所述沙箱;恢復(fù)執(zhí)行掛起的所述進程;根據(jù)所述目標(biāo)程序執(zhí)行過程中的行為,判斷所述目標(biāo)程序的可執(zhí)行程序代碼是否是惡意代碼,本發(fā)明實施例能夠有效檢測出惡意代碼。
技術(shù)領(lǐng)域
本發(fā)明涉及反惡意代碼技術(shù)領(lǐng)域,尤其涉及一種惡意代碼檢測方法、裝置、存儲介質(zhì)及電子設(shè)備。
背景技術(shù)
沙箱是一個虛擬系統(tǒng)程序,允許在沙盤環(huán)境中運行瀏覽器或其他程序,因此運行所產(chǎn)生的變化隨后可以被刪除。它創(chuàng)造了一個類似沙盒的獨立作業(yè)環(huán)境,在其內(nèi)部運行的程序并不能對硬盤產(chǎn)生永久性的影響。在網(wǎng)絡(luò)安全中,沙箱指在隔離環(huán)境中,用以測試不受信任的文件或應(yīng)用程序等行為的工具。
由于惡意代碼(例如病毒代碼)編寫者知曉病毒分析師會使用虛擬機沙箱來對病毒進行分析,所以其編寫的病毒代碼通常具有檢測虛擬機的功能,如通過判斷注冊表、判斷文件夾或判斷文件等方式來檢測虛擬機。因為病毒代碼一旦進了病毒分析師的虛擬機,就失去了攻擊作用,故,病毒代碼通常會被編寫為在檢測到虛擬機之后,立刻停止所有的感染和發(fā)作行為,然后退出。這就導(dǎo)致病毒代碼無法在虛擬機沙箱中完成執(zhí)行。
通常,在利用虛擬機沙箱對病毒進行分析時,用戶上傳程序代碼至沙箱,使程序在沙箱中模擬運行,沙箱監(jiān)控運行情況,反饋程序運行情況信息。但這樣僅能監(jiān)控到程序在沙箱中的運行情況。并不能獲得程序在用戶設(shè)備上的真實運行情況,而某些程序有可能需要用戶設(shè)備上的環(huán)境才能觸發(fā)惡意行為,這就導(dǎo)致無法對程序的實際運行狀況進行檢測。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實施例提供一種惡意代碼檢測方法、裝置、存儲介質(zhì)及電子設(shè)備,能夠有效檢測出惡意代碼。
本發(fā)明一個或多個實施例提供了一種惡意代碼檢測方法,包括:在沙箱中執(zhí)行目標(biāo)程序;對所述目標(biāo)程序在執(zhí)行過程中的行為進行監(jiān)控;響應(yīng)于監(jiān)控到所述目標(biāo)程序執(zhí)行訪問環(huán)境信息的行為,掛起所述目標(biāo)程序創(chuàng)建的進程;在用戶本地獲取所述環(huán)境信息,并將獲取到的所述環(huán)境信息上傳至所述沙箱;恢復(fù)執(zhí)行掛起的所述進程;根據(jù)所述目標(biāo)程序執(zhí)行過程中的行為,判斷所述目標(biāo)程序的可執(zhí)行程序代碼是否是惡意代碼。
可選的,所述環(huán)境信息至少包括以下一種信息:注冊表信息、文件信息以及環(huán)境變量。
可選的,響應(yīng)于監(jiān)控到所述目標(biāo)程序執(zhí)行訪問環(huán)境信息的行為,掛起所述目標(biāo)程序創(chuàng)建的進程,包括:響應(yīng)于監(jiān)控到所述目標(biāo)程序執(zhí)行訪問環(huán)境信息的行為,掛起所述目標(biāo)程序創(chuàng)建的所有進程以及各進程下的線程。
可選的,所述方法還包括:在沙箱中執(zhí)行目標(biāo)程序之后,記錄所述目標(biāo)程序的開始執(zhí)行的時間;響應(yīng)于根據(jù)所述開始執(zhí)行的時間確定所述目標(biāo)程序執(zhí)行的時長超過預(yù)設(shè)時長,停止執(zhí)行所述目標(biāo)程序,并發(fā)出告警提示消息。
可選的,所述方法還包括:在掛起所述目標(biāo)程序之后,若未在用戶本地獲取到所述環(huán)境信息,恢復(fù)執(zhí)行掛起的所述進程。
可選的,所述方法還包括:在沙箱中執(zhí)行目標(biāo)程序之前,獲取上傳至所述沙箱的所述目標(biāo)程序的可執(zhí)行程序代碼;發(fā)出提示消息,其中,所述提示消息用于提示是否以當(dāng)前模式執(zhí)行所述目標(biāo)程序、所述當(dāng)前模式對應(yīng)的時間消耗以及資源消耗情況。
可選的,根據(jù)所述目標(biāo)程序執(zhí)行過程中的行為,判斷所述目標(biāo)程序是否是惡意程序,包括:在所述目標(biāo)程序執(zhí)行結(jié)束或停止執(zhí)行之后,根據(jù)所述目標(biāo)程序執(zhí)行過程中的行為,判斷所述目標(biāo)程序的可執(zhí)行程序代碼是否是惡意代碼。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于安天科技集團股份有限公司,未經(jīng)安天科技集團股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110893571.2/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
