专利名称:鉴定病毒文件的方法、装置及网络设备的制作方法
技术领域:
本发明涉及计算机反病毒技术领域。
背景技术:
近年来,互联网上流4亍的病毒和木马通常不是单个发作,而是一类的大 量变种在互联网上活动,且可频繁升级,因此很容易发生大量的病毒或木马 爆发的局面。这对反病毒产品升级的周期提出了更高的要求,反病毒产品的 升级速度对是否能有效防杀大量的病毒和木马起到重要的作用。
目前反病毒最成熟的技术之一是特征法。特征法一4殳包括病毒分析、特 征提取、病毒库制作和升级等过程,而这些过程中,鉴定可疑文件是否为病 毒的病毒分析过程是最耗时的过程之一 。
一种分析病毒的方法是动态分析。动态分析的主要过程是,在用户系统 中运行可疑文件,利用半自动工具记录所述可疑文件运^f亍时的行为,通过系 统运行前和运行后的比较,得出可疑文件运行后对系统的改动结果,然后对 所述结果进行对比、分析,最终确认所述可疑文件是否为病毒,如果所述可 疑文件为病毒,则需要重启系统,对系统进行恢复,再继续对下一个可疑文 件进行分析。
上述病毒分析方法的不足之处在于,在该方法中,可疑文件在计算机系 统中运行,如果该可疑文件是病毒,则会对系统造成损害,在病毒分析过程 中为了减少病毒的危害性,需要重启系统对系统进行还原^多复,而重启动作
使得病毒分析的过程大为延长,从而影响反病毒产品的升级周期;另外,如 果病毒使系统崩溃,则需要重装系统,这将更为延长反病毒产品的升级周期。
发明内容
本发明提供一种鉴定病毒文件的方法、装置及网络设备,能够缩短鉴定 病毒文件的时间,提高了病毒分析的效率。
为达到上述发明目的,本发明提出以下的技术方案
本发明提供了鉴定病毒文件的方法首先建立虚拟系统,在该虚拟系统 中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒 行为特征库,判断所述可^:文件是否为病毒文件,如果是,则将所述可疑文 件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
本发明还提供了鉴定病毒文件的装置,该装置包括
虛拟系统模块,用于建立模拟系统,将可疑文件的行为定向至虚拟系统, 运行可疑文件;
行为信息收集模块,用于记录所述可疑文件的行为信息;
行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所 述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安 全文件时,将所述可疑文件标识为安全文件。
另外,针对与上述鉴定病毒文件的方法及装置,本发明还提供了一种网 络设备,包括处理器以及处理器所^执行的一个或多个指令,所述处理器执 行所述指令时,用于实现以下步骤
建立虛拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行 为信息;
根据所述行为信息和病毒行为特征库,判断所述可^:文件是否为病毒文 件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标 识为安全文^f牛。
本发明还提供一种存^f诸介质,用于存储一个或多个用于鉴定病毒文件的
指令,所述指令在被执行时用于完成以下步骤
建立虚拟系统,在该虚拟系统中运行可#是文件,记录所述可疑文件的行 为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病 毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文 件标识为安全文件。
在本发明中,由于建立了虚拟系统,在病毒分析过程中,使可疑文件在 虛拟的系统中运行,对真实的系统没有损害, 一个文件鉴定完毕,只需放弃 其在虚拟系统的行为结果即可,而无需对系统进行重启》,复,因此系统恢复 速度快,节约的大量分析时间,提高了鉴定病毒的效率。
图1为一个实施例中鉴定病毒文件的流程图2为一个实施例中鉴定病毒文件的装置的逻辑框图。
具体实施例方式
在病毒分析的过程中,鉴定一个可疑文件是否为病毒文件,通常是通过 对该文件的运行时的行为进行分析,从而确认是否为病毒文件。请参阅图1, 本发明提供一种鉴定病毒文件的方法,首先在系统中构造虚拟系统(S101),
当发现可疑文件时,令可^L文件在该虛拟系统中运行,并记录可疑文件的行
为信息(S102);并将行为信息和病毒行为特征库进行比对(S103),判断所 述可疑文件是否为病毒文件(S104),如果是,则将所述可*是文件标识为病毒 文件(S105);否则,将所述可疑文件标识为安全文件(S106)。
对于步骤S101,虚拟系统可以通过使用计算机程序监控系统关键API、 以及模拟真实系统某些功能的方式构建一种虚拟框架,可以模拟真实的系统 加载程序的过程,以便使可疑文件作用于真实系统的行为能够被重定向与该
虛拟系统中。
对于步骤S102,当通过模拟系统对可疑文件进行加载后,令其在虚拟系 统中运行,当可疑文件需要执行某个行为时,通常需要发出行为请求消息, 此时虛拟系统根据可疑文件的行为请求消息,向所述可^:文件返回所述行为 成功消息,当可疑文件收到成功消息后认为前述的行为成功,因此继续运行 下一行为。例如,假设一个可疑文件的行为是打开一个IE、链接到一个网站, 在收集到可疑文件的该行为请求消息后,虚拟系统向该可疑文件行为发出消 息打开正及网站链接成功,在接收到该成功消息后,这个可疑文件认为这 个成功是真实的,/人而进4亍下一步的动作。对于步骤S102,对可疑文件在虚 拟系统中执行的行为信息进行记录,由于真实的操作系统没有执行对应于该 可疑文件的行为动作,因此,在可疑文件进行下一步的动作之后,以同样的 方式进行记录该行为的行为信息。在一个实施例中,由计算机系统来进行上 述记录过程,可以将记录结果存放到数据库里,也可以存》文为某种文件格式、 曰志、分析报告或者当该可疑文件是用户上报上来的时候,可以将记录结果 回馈给用户等。
对于步骤S103,当该可疑文件在虚拟系统中的运行完成后,对所记录的 所有的行为信息进行分析,在一个实施例中,通过分析虚拟系统运行前和运 行后的变化获得可疑文件运行后对系统的改动结果,行为信息可以是可疑文 件对系统的改动结果,可以包括对虚拟系统的注册表、文件、网络或进程等 的影响。以对文件的改动为例,可以包括对文件的感染、》l"改、添加和删除。 将行为信息与行为特征库进行比对,如果行为特征库中存在这个可疑文件的 行为信息,则将其标识为病毒,进行下一步的处理工作,如果不存在,则认 为该可疑文件是正常的行为特征,让它在真实的系统上真实运行。
作为本发明的进一步改进,在一个实施例中,对于行为特征库中存在的
行为特征,可以设定相应的权值,当将行为信息与行为特征库进行比对时, 将行为特征库中对应的各权值进行相加,当权值大于某个设定值时,则判定 该可l是文件为病毒了 。
另外,由于在对可疑文件的行为进行分析时需要考虑到各行为的权值之 和,为了进一步加强对可疑文件分析的准确性, 一个实施例中对所有的可疑 文件依次进行分析,并且对每个可疑文件的行为进行分析时,将该可疑文件 的每个行为分別进行分析,以避免多个行为的权值之间相互影响,造成误判。
以下列举一个对行为特征库中的行为特征设定权值的实例,在该实例中
设定当可疑文件的各行为的权值大于3时,该可疑文件为病毒。 在该实施例中,行为特征库中可以包括以下行为特征 一、注册表行为特征
1、 在注册表中添加启动项
HKEY—LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R
im
在该实施例中将行为特征库中的该行为特征的权值设置为2;
2、 删除以下注册表键值,破坏系统的安全模式,导致用户不能选择进入 安全模式
HKEY—CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot 在该实施例中将行为特征库中的该行为特征的权值设置为4; 二、文件4亍为
1 、将可疑文件自身复制到系统目录,在VWindows、system32、复制 一个名为 svchOst.exe的病毒本体。
在该实施例中将行为特征库中的该行为特征的权值设置为2;
2、同时枚举d-z的分区生成文件autorun.inf和病毒体本身(auto.exe),通过
系统的自动运行来激活病毒或传播病毒。
在该实施例中将行为特征库中的该行为特征的权值设置为5; 三、内存4亍为
1、可疑文件在系统中查找安全软件的进程并进行中止行为,安全软件的 进程可以是以下关键字的进程名 kvolsdf.exe KvReport,kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXRkxp KvXp一l.kxp KWatch.exe KWatch9x.exe KWatchX.exe MagicSet.exe
在该实施例中将行为特征库中的该行为特征的权值设置为5。 在该实施例中,将可疑文件的行为信息与病毒行为特征库的行为特征进行 匹配,获取所述行为的权值,当某个可疑文件的行为包含以上至少一项与上 述行为特征匹配的行为信息,并且各行为信息的权值的和大于3时,则认为 该可疑文件为病毒文件,否则,判断所述可疑文件为安全文件。
在本发明的一个实施例中,设定了所述可疑文件在虚拟系统中的运行时 间;在规定时间内对可疑文件的行为信息进行追踪,可疑文件可以不必运行 完所有的行为,以节约分析可疑文件的时间。
由上所述,本发明提供的鉴定病毒文件的方法是由系统执行的动态分析 过程,另外,现有技术中的鉴定病毒文件通常需要对系统进行重启,是由于 现有技术中的鉴定病毒文件的方法是对可疑文件在真实的4喿作系统中的行为 进行分析,为了减小病毒文件对系统的损害,在对一个可疑文件进行鉴定分 析后,需要将系统进行重启来对系统进行还原,而本发明的鉴定病毒文件的 方式是在一个虛拟的环境里进行,可疑文件在虚拟的系统里运行,因此不会 对真实的系统产生影响,从而本发明的方案既不影响真实的系统,避免了重 启动系统损耗的时间,节省了鉴定病毒文件的时间。
进一步,由于可疑文件作用于虚拟的系统,不作用于真实系统的,因此当 对可疑文件分析完成时,通过放弃该可疑文件在虚拟系统中所产生的行为结
果,就可以将系统恢复,即将病毒文件在虛拟系统中的行为内容删除。比如 清除病毒在虚拟的系统中创建的文件,也就是说,本发明不需要重新启动系 统,可自我恢复系统,从而加快对可疑文件的鉴定效率。
对应于上述鉴定病毒文件的方法,本发明还提供一种鉴定病毒文件的装 置,请参阅图2,该装置包括虚拟系统模块201,用于建立虚拟系统,将可疑 文件的行为定向至虚拟系统,运行可疑文件;行为信息收集模块202,用于记 录所述可疑文件的行为信息;行为特征分析模块203,用于根据所述行为信息 和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病 毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。
所述虚拟系统模块201可以包括可疑文件存储模块2011和映像加载模块 2012。
虚拟系统模块201通过监控真实系统的关键API以及模拟真实系统的某些 功能建立一个虚拟系统,可疑文件存储;漠块2011将所有的可疑文件组成文件
队列,进行存储;映像加载模块2012模拟真实系统的加载程序的过程,从可 疑文件存储模块2011获取可疑文件,逐一将可疑文件加载到内存,当收到可 疑文件的行为请求信息后,向该可疑文件发送成功消息,令可疑文件在虚拟 系统中运行;行为信息收集模块2012从虚拟系统模块201中获取可疑文件的 各种行为信息,进行规范记录;行为特征分析模块203将行为信息收集模块 202的信息记录与行为特征库进行匹配,获得该行为的权值,并将分析结果发 送给数据安全处理模块204,数据安全处理模块204将分析结果是病毒文件的 可疑文件对虚拟系统作用的内容进行清空,通知映像加载模块2012加载下一 个可疑文件。
上文所述的各实施例中的鉴定病毒文件的方法中各步骤可以通过一条或 多条指令实现,上述鉴定病毒文件的装置可以用于反病毒引擎工作过程中进 行可疑文件的鉴定,并最终确定可疑文件为病毒文件,所述反病毒引擎利用 被鉴定为病毒的文件的特征去标识其它文件为病毒并进行清除;所述指令可 以被配置在包含处理器的网络设备中,由该处理器执行,同时,所述指令可 以存储在存储介质中。所述网络设备可以是计算机等网络设备。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何 在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本 发明的权利要求保护范围之内。
权利要求
1、一种鉴定病毒文件的方法,其特征在于,包括步骤建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
2、 根据权利要求1所述的鉴定病毒文件的方法,其特征在于,在该虚拟 系统中运行可疑文件的过程包括所述可疑文件发出行为请求消息,所述虚拟系统才艮据所述可疑文件的行 为请求消息,向所述可疑文件返回所述行为成功消息,所述可疑文件运行下 一行为。
3、 根据权利要求2所述的鉴定病毒文件的方法,其特征在于, 建立虚拟系统时,还进一步包括设定所述可疑文件的运行时间; 记录所述可疑文件的行为信息具体包括在所述运行时间内记录可疑文件的行为信息。
4、 根据权利要求2所述的鉴定病毒文件的方法,其特征在于,还包括步骤当判断所述可疑文件为病毒文件时,将所述病毒文件在所述虚拟系统的 行为内容清空。
5、 权利要求1~4任一项所述的鉴定病毒文件的方法,其特征在于,判 断所述可疑文件是否为病毒文件的过程具体为将所述行为信息与病毒行为特征库的行为特征进行匹配,获取所述行为 的权值,检测所述行为的权值之和是否大于设定值,如果是,则判断所述文 件为病毒;否则,判断所述可疑文件为安全文件。
6、 一种鉴定病毒文件的装置,其特征在于,该装置包括 虛拟系统模块,用于建立虚拟系统,将可疑文件的行为定向至该虚拟系统,运行所述可疑文件;行为信息收集模块,用于记录所述可疑文件的行为信息;行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所 述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安 全文件时,将所述可疑文件标识为安全文件。
7、 如权利要求6所述的鉴定病毒文件的装置,其特征在于,所述虚拟系 统模块包括可疑文件存储模块,用于存储所述可疑文件,以及映像加载模块,用于将所述可疑文件在该虚拟系统中逐一加载,并在所 述虚拟系统中运行所述可疑文件。
8、 如权利要求7所述的鉴定病毒文件的装置,其特征在于,该装置还包括定时单元,用于设定所述可疑文件运行时间;'所述行为信息收集单元,还用于在所述定时单元设定的运行时间内,记 录所述可疑文件的行为信息。
9、 如权利要求8所述的鉴定病毒文件的装置,其特征在于,该装置还包 括数据安全处理模块,用于当判断所述可疑文件为病毒文件时,将所述病 毒文件在所述虛拟系统的行为内容清空,并通知所述映像加载模块加载下一 个可疑文件。
10、 一种网络设备,其特征在于,包括处理器以及处理器所执行的一 个或多个指令,所述处理器执行所述指令时,用于实现以下步骤建立虛拟系统,在该虛拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文 件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标 识为安全文件。
11、 一种存储介质,其特征在于,用于存储一个或多个用于鉴定病毒文 件的指令,所述指令在被执行时用于完成以下步骤建立虚拟系统,在该虛拟系统中运行可疑文件,记录所述可疑文件的行 为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文 件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标 识为安全文件。
全文摘要
本发明提供的鉴定病毒文件的方法,首先建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。本发明还提供了鉴定病毒文件的装置,包括虚拟系统模块,用于建立模拟系统,将可疑文件的行为定向至虚拟系统,运行可疑文件;行为信息收集模块,用于记录所述可疑文件的行为信息;行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。
文档编号G06F21/00GK101350049SQ200710029168
公开日2009年1月21日 申请日期2007年7月16日 优先权日2007年7月16日
发明者辉 姚, 敏 李, 李伟健, 凯 肖, 闽 赵 申请人:珠海金山软件股份有限公司