一种恶意代码未知自启动识别方法及系统与流程

本发明涉及计算机安全技术领域，更具体地涉及一种恶意代码未知自启动识别方法及系统。

背景技术：

随着网络和计算技术的快速发展，恶意代码的启动方式在逐渐增强，同时互联网的开发性也加快了恶意代码自启动技术的传播，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此目前网络上流行的恶意代码启动方式层次不穷，种类繁多，特点多样化。通常，需要恶意代码分析人员对于未知的恶意代码样本进行恶意程序信息结构上的识别、受害者系统中的特征监控识别、动态调试中的样本代码识别、以及反编译样本的深度行为识别来提取恶意代码未知自启动。对于处理到的结果也需要人工进行筛选和整理，最终梳理判别出是否为未知的自启动操作，整个过程非常的耗费时间和精力。

目前的病毒样本的自启动方式主要分为已知的启动目录启动、win.ini等配置文件启动、注册表启动、脚本启动、驱动文件启动、创建服务启动、劫持系统进程启动、文件关联启动等自启动方式。目前，对于未知的启动项的预防与识别响应方法不够完善。

技术实现要素：

为了解决上述技术问题，提供了根据本发明的一种恶意代码未知自启动识别方法及系统。

根据本发明的第一方面，提供了一种恶意代码未知自启动识别方法。该方法包括：

基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；对所述自启动行为进行提示。

在一些实施例中，所述方法包括：

将所述取样信息与已知的自启动样本库进行比外，若未匹配到，则所述取样信息对应自启动行为为未知自启动行为，整理所述取样信息入库。

在一些实施例中，所述提示是通过日志记录标识为未知自启动行为。

在一些实施例中，所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。

在一些实施例中，所述特征信息包括进程结构体信息、模块调用信息、dll调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。

根据本发明的第二方面，提供一种恶意代码未知自启动识别系统，包括：

提取模块，用于基于运行未知启动项的恶意代码，提取并记录所述恶意代码的特征信息，产生模块集合；第一识别模块，用于监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对所述任一模块的自启动行为提取取样信息；第二识别模块，用于扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对所述任一模块的自启动行为提取取样信息；提示模块，用于对所述自启动行为进行提示。

在一些实施例中，所述系统还包括：

整理模块，用于将所述取样信息与已知的自启动样本库进行比外，若未匹配到，则所述取样信息对应自启动行为为未知自启动行为，整理所述取样信息入库。

在一些实施例中，所述提示是通过日志记录标识为未知自启动行为。

在一些实施例中，所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。

在一些实施例中，所述特征信息包括进程结构体信息、模块调用信息、dll调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。

可以在虚拟化沙箱中运行样本记录其进程、模块和注册表等操作，产生的模块集合在重启沙箱系统后对系统启动进行监控，然后重启系统检测样本模块、注册表键值、进程内存等行为，进而可以快速的识别恶意代码是否存在自启动行为，做出相应响应。对于新的病毒样本，能够迅速针对恶意代码是否有未知自启动行为做出检出。该技术可以对大批量样本的未知自启动方式进行归类划分，同时形成模块集合特征库可以用来对样本自启动类型进行判别，对恶意代码自启动的演化过程进行数据分析。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种恶意代码未知自启动识别方法的流程图；

图2为根据本发明实施例的一种恶意代码未知自启动识别系统的框图。

具体实施方式

下面参照附图对本发明的优选实施例进行详细说明，在描述过程中省略了对于本发明来说是不必要的细节和功能，以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本发明的范围完整的传达给本领域的技术人员。

在下文中，涉及到恶意代码运行都是基于虚拟化沙箱技术于沙箱中运行，在将所有恶意代码启动和运行产生的操作数据统称为“特征信息”，以方便描述。

图1示出了根据本发明实施例的一种恶意代码未知自启动识别方法的流程图。如图1所示，方法包括如下步骤：

s110，基于运行未知启动项的恶意代码。

基于虚拟化沙箱技术于沙箱系统中运行恶意代码，恶意代码在系统启动和运行过程中，记录其进程、模块和注册表等操作。

s120，提取并记录恶意代码的特征信息，产生模块集合。

提取并记录恶意代码的特征信息，产生含有恶意代码特征信息的模块集合。其中，特征信息包括但不限于进程结构体信息、模块调用信息、dll调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。

s130，重启系统环境后，监控恶意代码在运行中新释放模块的重新加载。

重启沙箱系统后，在监控识别未知样本自启动时，于虚拟化沙箱系统中运行恶意代码，发现新释放模块的重新加载。监控该样本是否有重新活动迹象，进而区别样本是否为活性样本。

s140，判断模块集合中任一模块在注册表中出现，如果出现，则执行s170，如果没有出现，则没有自启动行为。

基于模块集合对注册表中重新加载的新释放模块进行比对，判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在注册表中出现。

s150，扫描系统重启运行时的进程或内存。

系统完全重启后对系统进行扫描，在扫描识别未知样本自启动时，于虚拟化沙箱系统中运行恶意代码后，对系统进程或内存进行扫描。

s160，判断模块集合中任一模块在进程或内存中出现，如果出现，则执行s170，如果没有出现，则没有自启动行为。

基于模块集合的特征信息对进程或内存中的模块特征信息进行比对，判断是否有恶意代码模块集合中任一模块的进程、模块、注册表等特征信息行为在进程或内存中出现，以此来对恶意代码样本是否为活性做一个判断。

s170，对任一模块的自启动行为提取取样信息。

取样信息包括加载任一模块的程序加载行为信息、加载任一模块的内存数据、任一模块的内存数据。

s180，对自启动行为进行提示。

本实例中，提示是通过日志记录标识为未知自启动。

利用模块集合对系统启动进行监控或扫描内存，进而可以快速的相应识别恶意代码未知启动项，做出相应响应。

s190，针对提取到的自启动行为相关取样信息与已知的自启动样本库进行比对，识别未知自启动行为进行样本信息入库。

在系统启动时监控得到的取样信息和系统启动后扫描得到的取样信息与已知的自启动样本库进行比对，若未匹配到相同的自启动样本信息，则说明该样本自启动为未知自启动行为，对样本自启动行为信息进行整理入库。若匹配到相同的自启动样本信息，则说明该样本自启动为已知自启动行为。

图2为根据本发明实施例的一种恶意代码未知自启动识别系统的框图。如图2所述，系统可以包括：提取模块210、第一识别模块220、第二识别模块230、提示模块240。

提取模块210，用于基于运行未知启动项的恶意代码，提取并记录恶意代码的特征信息，产生模块集合。

其中，特征信息包括但不限于进程结构体信息、模块调用信息、dll调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。

第一识别模块220，用于监控系统重启恶意代码在运行中新释放模块的重新加载，判断模块集合中任一模块在注册表中出现，则对任一模块的自启动行为提取取样信息。

第二识别模块230，用于扫描系统重启运行时的进程或内存，判断模块集合中任一模块在进程或内存中出现，则对任一模块的自启动行为提取取样信息。

其中，取样信息包括加载任一模块的程序加载行为信息、加载任一模块的内存数据、任一模块的内存数据。

提示模块240，用于对自启动行为进行提示。

其中，提示是通过日志记录标识为未知自启动。

在一些实施例中，还包括：

整理模块250，用于将取样信息与已知的自启动样本库进行比外，若未匹配到，则取样信息对应自启动行为为未知自启动行为，整理该取样信息入库。

本发明基于虚拟化沙箱技术于沙箱中运行恶意代码记录其进程、模块和注册表等操作，产生的模块集合对感染系统启动进行监控识别，对于恶意代码的释放模块自启动加载、注册表自启动键值、进程内存中的自启动模块加载都能够准确扫描、识别，并进行提示。通过这种方法可以对大批量样本的未知自启动方式进行归类划分，同时形成模块集合特征库可以用来对样本自启动类型进行判别，对恶意代码自启动的演化过程进行数据分析。

至此已经结合优选实施例对本发明进行了描述。应该理解，本领域技术人员在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不局限于上述特定实施例，而应由所附权利要求所限定。