经由辅助文件分析进行恶意软件标识的制作方法

本公开的实施例涉及计算机软件领域。

背景技术：

恶意软件(即，恶意的软件)可以是指用于破坏计算机或移动设备的操作的任何软件。这可以包括收集敏感信息、访问私人计算机系统、对文件进行加密、和/或显示不需要的广告。恶意软件可以包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、勒索软件、键盘记录器、网络钓鱼软件等。

技术实现要素：

根据一些可能的实现，一种设备可以包括用于进行以下操作的一个或多个处理器：接收可以被分析恶意软件的文件；在安全环境中打开所接收的文件；基于所接收的文件被打开来确定安全环境中的辅助文件可能已经被访问；在安全环境中分析辅助文件以标识恶意软件；和/或基于辅助文件被分析来执行与所接收的文件相关联的动作。

根据一些可能的实现，其中安全环境在云环境的计算资源上实施。

根据一些可能的实现，其中一个或多个处理器还用于：在安全环境中安装辅助文件，以允许所接收的文件的恶意对象在辅助文件中嵌入恶意有效载荷。

根据一些可能的实现，其中一个或多个处理器在确定辅助文件已经被访问时用于：在打开所接收的文件之后监测安全环境的目录；以及基于监测目录来检测辅助文件已经被修改。

根据一些可能的实现，其中一个或多个处理器在确定辅助文件已经被访问时用于：在安全环境中监测与所接收的文件相关联的指定文件集合，指定文件集合包括辅助文件。

根据一些可能的实现，其中一个或多个处理器当在安全环境中分析辅助文件时用于：进行以下分析中的至少一项以检测恶意软件：辅助文件的静态分析、辅助文件的基于签名的分析或辅助文件的基于统计的分析。

根据一些可能的实现，其中一个或多个处理器当在安全环境中分析辅助文件时用于：进行以下分析中的至少一项以检测恶意软件：辅助文件的动态分析或辅助文件的基于行为的分析。

根据一些可能的实现，其中一个或多个处理器当在安全环境中分析辅助文件时用于：标识与辅助文件相关联的应用，以及使用应用来在安全环境中打开辅助文件。

根据一些可能的实现，其中一个或多个处理器在执行与所接收的文件相关联的动作时用于：基于标识恶意软件来防止所接收的文件到达所接收的文件的预期目标。

根据一些可能的实现，其中一个或多个处理器在执行与所接收的文件相关联的动作时用于：基于标识恶意软件来更新恶意软件数据库，以包括与恶意软件相关联的信息。

根据一些可能的实现，一种非暂态计算机可读介质可以存储指令，这些指令包括在由网络管理设备的一个或多个处理器执行时引起一个或多个处理器进行以下操作的一个或多个指令：接收可以被分析恶意软件的文件；在第一安全环境中打开所接收的文件；确定在打开所接收的文件之后安全环境中的辅助文件可能已经被访问；在第二安全环境中打开辅助文件以标识恶意软件；和/或基于标识恶意软件来执行与所接收的文件相关联的动作。

根据一些可能的实现，其中使一个或多个处理器在第二安全环境中打开辅助文件的一个或多个指令使一个或多个处理器：复制辅助文件，以及在第二安全环境中打开辅助文件的副本，其中第二安全环境与第一安全环境分离。

根据一些可能的实现，其中一个或多个指令在由一个或多个处理器执行时还使一个或多个处理器：在第一安全环境中安装辅助文件，以允许所接收的文件的恶意对象在辅助文件中嵌入恶意有效载荷。

根据一些可能的实现，其中使一个或多个处理器执行动作的一个或多个指令使一个或多个处理器：基于标识恶意软件来防止所接收的文件到达所接收的文件的预期目标。

根据一些可能的实现，其中使一个或多个处理器执行动作的一个或多个指令使一个或多个处理器：更新恶意软件数据库，以包括与恶意软件相关联的信息。

根据一些可能的实现，一种方法可以包括：由安全平台的一个或多个设备接收可以被分析恶意软件的文件；由一个或多个设备中的至少一个在安全环境中打开所接收的文件；由一个或多个设备中的至少一个基于所接收的文件被打开来确定安全环境中的辅助文件可能已经被修改；由一个或多个设备中的至少一个在安全环境中打开辅助文件；由一个或多个设备中的至少一个在打开辅助文件之后标识恶意软件；和/或由一个或多个设备中的至少一个基于标识恶意软件来执行与所接收的文件相关联的动作。

根据一些可能的实现，其中在安全环境中打开所接收的文件包括：在云计算环境的安全环境中打开所接收的文件。

根据一些可能的实现，还包括：在安全环境中安装辅助文件，以允许所接收的文件的恶意对象在辅助文件中嵌入恶意有效载荷。

根据一些可能的实现，其中执行动作包括：基于标识恶意软件来从接收的文件中移除恶意对象以生成干净文件；以及向接收的文件的预期目标传输干净文件。

根据一些可能的实现，其中执行动作包括：向安全平台提供关于恶意软件的信息，以修改安全平台的未来操作。

附图说明

图1a-1c是本文中描述的示例实现的概述的图；

图2是其中可以实现本文中描述的系统和/或方法的示例环境的图；

图3是图2的一个或多个设备的示例组件的图；以及

图4是用于经由辅助文件分析的恶意软件检测的示例过程的流程图。

具体实施方式

示例实现的以下详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元件。

恶意软件可能对恶意软件在其中被释放的任何计算环境有害。在一些情况下，可以通过激活嵌入或隐藏在文件内的恶意有效载荷(例如，文本文件、应用文档、电子邮件附件等)来释放恶意软件。典型地，安全平台可以使用安全环境(例如，沙箱)来标识文件内的恶意有效载荷。安全平台可以分析文件，(例如，使用静态分析、动态分析等)检测恶意有效载荷，并且(例如，通过隔离文件，阻止文件，丢弃文件，等等)阻止文件到达其预定目标或目的地。

在一些情况下，文件内的恶意对象可以被掩盖以表现为文件的特征。这样的恶意对象可以能够将恶意有效载荷嵌入系统的另一文件(本文中称为辅助文件)中。例如，恶意对象可以以与文件的特征将执行任务类似的方式嵌入恶意有效载荷(例如，恶意对象可以表现为应用的宏)。因此，当安全平台在安全环境中分析具有这样的恶意对象的文件时，因为恶意对象不被识别为恶意有效载荷，而是文件的特征，安全平台可以假定恶意对象是文件的允许特征。这样，因为该文件能够绕过安全环境，文件可以到达其预期的目标系统或目的地系统(例如，客户端设备、电子邮件服务器等)。

当用户打开文件时，恶意对象可以在没有用户不知晓情况下将恶意有效载荷嵌入到辅助文件集中。恶意有效载荷可以隐藏在辅助文件集中，直到用户打开辅助文件集中的辅助文件。当用户打开辅助文件时，恶意有效载荷可以在整个系统中传播恶意软件。

本文中描述的一些实现提供了安全平台，该安全平台利用具有文件目录的安全环境(例如，沙箱)来分析文件的恶意对象，如上所述，该恶意对象将恶意有效载荷嵌入到辅助文件中，。在一些实现中，安全平台监测安全环境内的辅助文件或辅助文件的文件目录，以基于打开所接收的文件来确定辅助文件是否被访问(例如，打开、修改等)。通过检测辅助文件已经被访问(因为恶意对象将恶意有效载荷嵌入到辅助文件中)，安全平台可以分析访问的辅助文件以确定访问的辅助文件是否包括恶意有效载荷。例如，安全平台可以执行访问的辅助文件以确定恶意有效载荷是否嵌入到访问的辅助文件中。当检测到恶意有效载荷时，安全平台可以对所接收的文件执行动作(例如，阻止文件到达预期的目标系统或目的地系统、隔离文件、进一步分析文件，等等)。

因此，本文中描述的一些实现可以防止恶意软件伤害目标系统，并且因此防止系统故障、关机、不可操作性、安全漏洞、文件或信息(例如，个人或财务信息)的丢失、盗窃等。因此，本文中的一些实现可以通过防止恶意软件攻击来确保系统的健康，从而节省处理受攻击的系统和/或从可能的恶意软件攻击恢复系统所需要的资源、时间和成本。

图1a至1c是本文中描述的示例实现100的概览的图。一般来说，在示例实现100中，接收并且打开恶意文件，使得打开的恶意文件的恶意对象在辅助文件中嵌入恶意有效载荷。在示例实现100中，然后可以分析辅助文件以检测恶意有效载荷和/或检测恶意文件包括恶意有效载荷。

如图1a并且由附图标记110所示，安全平台接收具有恶意对象的文件(其在本文中可以被称为“恶意文件”)。恶意文件可以从恶意实体(诸如恶意实体所接管的恶意客户端设备、恶意服务器、恶意网络设备、客户端设备、服务器或网络设备等)接收。如附图标记120所示，安全平台可以在诸如沙箱等安全环境中打开恶意文件。图1a至1c的沙箱是安全平台在其中可以分析、测试和/或监测恶意文件的安全环境。沙箱可以模拟可操作的非安全计算环境，使得恶意文件以类似于恶意文件处于非安全计算环境的方式表现。

如图1b并且由附图标记130所示，在安全平台打开恶意文件之后，恶意文件将恶意有效载荷嵌入到沙箱的目录中的辅助文件(文件b)中。在一些实现中，如果文件包括恶意对象，则包括文件a至n的沙箱的目录可以用作诱饵或“蜜罐”，从而吸引诸如恶意文件等文件将恶意有效载荷嵌入到沙箱的辅助文件中。相应地，可以将文件a至n作为辅助文件安装或种植在沙箱中，以使得恶意文件的恶意对象将恶意有效载荷嵌入辅助文件中。

如图1c并且由附图标记140所示，安全平台可以标识目录中的文件(在这种情况下是文件b)已经被访问。例如，安全平台可以检测目录中的文件被打开和关闭、目录中的文件被修改、与对目录中的文件的访问相关联的时间戳指示文件在打开恶意文件之后被访问，等等。如附图标记150所示，安全平台然后可以在沙箱(或另一沙箱)中分析所访问的文件(即，文件b)以标识嵌入在文件中的恶意有效载荷。因此，示例实现100能够检测将恶意有效载荷嵌入到计算环境的辅助文件中的恶意对象。

如上所述，在图1a至1c的示例实现100中，可以对由接收的文件感染恶意有效载荷的辅助文件进行分析，以检测或标识接收的文件中的恶意软件(例如，恶意对象)。因此，示例实现100可以防止具有感染辅助文件的恶意对象的文件绕过安全平台并且到达预期的目标系统以传播恶意软件。因此，可以通过防止恶意对象伤害(例如，关闭、减速、提取信息、崩溃、加密文件等)计算环境并且减少从这样的伤害恢复所需要的资源、时间和成本来减少资源、时间和成本。

如上所述，图1a-1c仅作为示例提供。其他示例是可能的，并且可以与关于图1a-1c描述的不同。

图2是其中可以实现本文中描述的系统和/或方法的示例环境200的图。如图2所示，环境200可以包括客户端设备210、托管在云计算环境220内的安全平台215、和网络230。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合来互连。

客户端设备210包括能够接收、生成、存储、处理和/或提供与恶意软件(诸如包括恶意对象和/或恶意有效载荷的恶意文件)相关联的信息的一个或多个设备。例如，客户端设备210可以包括用户设备，诸如移动电话(例如，智能电话、无线电话等)、膝上型计算机、平板电脑、手持式计算机、游戏设备、可穿戴通信设备(例如，智能手表、智能眼镜等)、服务器设备、网络设备(例如，路由器、网关、交换机等)或类似类型的设备。在一些情况下，客户端设备210可以表示由恶意实体所拥有的设备或被恶意实体控制的设备。在这种情况下，客户端设备210可以采用用户设备、服务器设备或网络设备的形式。在一些情况下，客户端设备210可以表示恶意软件所针对的设备(或设备集合)。在这种情况下，客户端设备210可以采取用户设备、用户设备集合、服务器设备、服务器设备集合(例如，网络服务器设备集合、电子邮件服务器设备集合等)、网络设备或网络设备集合的形式。

安全平台215包括能够接收或拦截与客户端设备210相关联或从客户端设备210接收的文件的一个或多个设备。在一些实现中，安全平台215可以能够确定从客户端设备210接收的文件是否包括恶意软件(诸如恶意对象和/或恶意有效载荷)。在一些实现中，安全平台215可以能够确定恶意文件是否包括以下恶意对象，该恶意对象能够将恶意有效载荷嵌入到计算环境的辅助文件中。例如，安全平台215可以对所接收的文件执行静态分析、动态分析等以测试文件中的恶意软件。在一些实现中，安全平台215可以包括或实现一个或多个安全环境(例如，沙箱)来分析或测试所接收的文件中的恶意软件。在一些实现中，安全平台215可以被包括在以下项目中，被包括在以下项目中或由以下项目实施：防火墙、入侵防御系统(ips)、入侵检测系统(ids)等。

安全平台215可以包括服务器设备或一组服务器设备。在一些实现中，安全平台215可以被托管在云计算环境220中。值得注意的是，尽管本文中描述的实现将安全平台215描述为被托管在云计算环境220中，但是在一些实现中，安全平台215可以不是基于云的或者可以部分基于云。

云计算环境220包括将计算作为服务递送的环境，由此可以提供共享资源、服务等以对所接收的文件进行分析并且标识所接收的文件中的恶意软件。云计算环境220可以提供不需要终端用户知晓递送服务的计算、软件、数据访问、存储和/或其他服务的系统和/或设备的物理位置和配置。如图所示，云计算环境220可以包括安全平台215和/或计算资源217(其在本文中可以单独称为计算资源217)。

计算资源217包括一个或多个个人计算机、工作站计算机、服务器设备、或另一类型的计算和/或通信设备。在一些实现中，计算资源217可以托管安全平台215。云资源可以包括在计算资源217中执行的计算实例、在计算资源217中提供的存储设备、由计算资源217提供的数据传输设备等。在一些实现中，计算资源217可以经由有线连接、无线连接、或有线和无线连接的组合与其他计算资源217通信。在一些实现中，计算资源可以代表安全平台215执行安全环境(例如，沙箱)。

如图2进一步所示，计算资源217可以包括一组云资源，诸如一个或多个应用(“app”)217-1、一个或多个虚拟机(“vm”)217-2、虚拟化存储装置(“vs”)217-3、一个或多个管理程序(“hyp”)217-4等。

应用217-1包括可以分析文件和/或可以在安全环境内执行以测试文件的一个或多个软件应用。例如，应用217-1可以包括与安全平台215相关联的软件和/或能够经由计算资源217提供的任何其他软件。在一些实现中，一个应用217-1可以经由虚拟机217-2向/从一个或多个其他应用217-1发送/接收信息。

虚拟机217-2包括执行像物理机器一样执行程序的机器(例如，计算机)的软件实现。虚拟机217-2可以是系统虚拟机或进程虚拟机，这取决于虚拟机217-2对任何实际机器的使用和对应程度。系统虚拟机可以提供支持执行完整操作系统(“os”)的执行的完整系统平台。进程虚拟机可以执行单个程序，并且可以支持单个进程。在一些实现中，虚拟机217-2可以代表安全平台215执行以实现安全环境(例如，沙箱)。在一些实现中，一个虚拟机217-2可以使一个或多个其他虚拟机217-2执行功能。

虚拟化存储装置217-3包括在计算资源217的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实现中，在存储系统的上下文中，虚拟化类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指从物理存储抽象(或分离)逻辑存储，以使得存储系统可以被访问而不考虑物理存储或异构结构。分离可能支持存储系统的管理员灵活地管理最终用户的存储。文件虚拟化可以消除在文件级别访问的数据与物理地存储文件的位置之间的依赖关系。这可以实现对存储使用的优化、服务器整合和/或非中断文件迁移的性能的优化。在一些实现中，包括可以由恶意文件中的恶意对象访问的辅助文件的目录可以被存储在虚拟化存储装置217-3中。

管理程序(hypervisor)217-4提供允许多个操作系统(例如，“客户机操作系统”)在主计算机(诸如计算资源217等)上同时执行的硬件虚拟化技术。管理程序217-4可以向客户操作系统呈现虚拟操作平台，并且可以管理客户操作系统的执行。各种操作系统的多个实例可以共享虚拟化的硬件资源。

网络230包括一个或多个有线和/或无线网络。例如，网络230可以包括蜂窝网络(例如，长期演进(lte)网络、码分多址(cdma)网络、3g网络、4g网络、5g网络、另一类型的下一代网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如，公共交换电话网络(pstn))、专用网络、自组织网络、内联网、因特网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。

图2所示的设备和网络的数目和布置作为示例提供。实际上，与图2所示的相比，可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或不同地布置的设备和/或网络。此外，图2所示的两个或更多个设备可以在单个设备内实施，或者图2所示的单个设备可以被实施为多个分布式设备。附加地或备选地，环境200的一组设备(例如，一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。

图3是设备300的示例组件的示图。设备300可以对应于客户端设备210、安全平台215和/或云计算环境220。在一些实现中，客户端设备210、安全平台215、和/或云计算环境220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示，设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。

总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或硬件和软件的组合来实现。处理器320采取中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)、微处理器、微控制器、数字信号处理器(dsp)、现场可编程门阵列(fpga)、专用集成电路(asic)或另一类型的处理组件的形式。在一些实现中，处理器320包括能够被编程为执行功能的一个或多个处理器。存储器330包括存储信息和/或指令用于由处理器320使用的随机存取存储器(ram)、只读存储器(rom)和/或另一类型的动态或静态存储设备(例如，闪存、磁存储器和/或光学存储器)。

存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如，存储组件340可以包括硬盘(例如，磁盘、光盘、磁光盘和/或固态盘)、光盘(cd)、数字通用盘(dvd)、软盘、盒、磁带和/或另一类型的非暂态计算机可读介质、连同相应的驱动器。

输入组件350包括允许设备300诸如经由用户输入接收信息的组件(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或备选地，输入组件350可以包括用于感测信息的传感器(例如，全球定位系统(gps)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括从设备300提供输出信息的组件(例如，显示器、扬声器和/或一个或多个发光二极管(led))。

通信接口370包括使得设备300能够诸如经由有线连接、无线连接或有线连接和无线连接的组合与其他设备通信的收发机状组件(例如，收发器和/或单独的接收器和传输器)。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口370可以包括以太网接口、光接口、同轴接口、红外接口、射频(rf)接口、通用串行总线(usb)接口、wi-fi接口、蜂窝网络接口等。

设备300可以执行本文中描述的一个或多个过程。设备300可以基于处理器320执行由非暂态计算机可读介质(诸如存储器330和/或存储组件340)存储的软件指令来执行这些处理。计算机可读介质在本文中定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储空间或跨多个物理存储设备分布的存储空间。

软件指令可以经由通信接口370从另一计算机可读介质或从另一设备读入存储器330和/或存储组件340。当被执行时，存储在存储器330和/或存储组件340中的软件指令可以使处理器320执行本文中描述的一个或多个处理。附加地或备选地，硬连线电路可以代替软件指令或与软件指令组合使用以执行本文中描述的一个或多个处理。因此，本文中描述的实现不限于硬件电路和软件的任何特定组合。

图3所示的组件的数目和布置作为示例提供。在实践中，与图3所示的相比，设备300可以包括附加的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地，设备300的一组组件(例如，一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。

图4是用于经由辅助文件分析的恶意软件检测的示例过程400的流程图。在一些实现中，图4的一个或多个过程框可以由安全平台215执行。在一些实现中，图4的一个或多个过程框可以由与安全平台215分离或包括安全平台215的另一设备或一组设备(诸如客户端设备210和云计算环境220)执行。

如图4所示，过程400可以包括接收要被分析恶意软件的文件(框410)。例如，安全平台215可以接收要被分析恶意软件的文件。在一些实现中，安全平台215可以通过网络230从客户端设备210接收文件。在一些实现中，安全平台215可以接收文件，因为文件旨在用于客户端设备210，并且安全平台215被定位为保护客户端设备210、一组客户端设备210、与客户端设备210相关联的网络等。在接下来的描述中，客户端设备210将被当作提供文件，而不是作为文件的目的地。

在一些实现中，安全平台215可以通过在文件到达目标计算环境(例如，文件的预期接收者)之前拦截来自客户端设备210的文件来接收文件。因此，安全平台215可以防止文件到达目标计算环境，直到确定文件对于目标计算环境是安全的(即，不包括恶意对象或恶意有效载荷)。如本文中使用的，当确定文件不包括恶意软件(诸如能够在整个计算环境中散布恶意软件的恶意对象或恶意有效载荷)时，文件可以被认为是安全的。

文件是存储用于计算环境的程序或应用的数据的任何对象。例如，文件可以是文档文件、电子表格文件、演示文稿幻灯片或演示文稿幻灯片文件、电子邮件、电子邮件附件、便携式文档格式(pdf)文件、图像文件、视频文件、音频文件等。在一些实现中，文件可以包括旨在将恶意软件传播到计算环境(例如，服务器、电子邮件服务器、网络设备、客户端设备等)的恶意对象或恶意有效载荷。恶意对象是能够将恶意有效载荷嵌入计算环境(包括在安全环境或沙箱内)的一个或多个辅助文件中的对象。恶意有效载荷是当在计算环境中触发时可以在整个计算环境中传播恶意软件的对象。当包含恶意有效载荷的文件被打开(例如，被访问，被激活，被启动，被安装，被执行，等等)时，可以触发恶意有效载荷。

以这种方式，安全平台215可以接收文件以使得安全平台215能够在安全环境中分析文件。

如图4进一步所示，过程400可以包括在安全环境中打开所接收的文件(框420)。例如，安全平台215可以在安全环境中执行文件。在一些实现中，安全平台215可以基于接收文件来在安全环境中执行文件。

安全平台215可以通过在使用一个或多个计算资源217实施的安全环境内打开文件来执行文件(例如，文件可以经由应用217-1、虚拟机217-2和/或管理程序217-4来被执行或打开)。在一些实现中，安全平台215可以通过用与文件相关联的应用(例如，应用217-1)打开文件来执行文件。例如，安全平台215可以利用文档应用来打开文档文件，利用电子表格应用来打开电子表格文件，利用图像应用来打开图像文件，利用pdf应用来打开pdf文件，等等。这样的应用可以由应用217-1在计算资源217中实现。

安全环境(其在本文中可以被称为“沙箱”)是指用于测试或分析文件以获取恶意对象或恶意有效载荷的计算机制。安全环境可以隔离未经测试的文件和测试来自正在操作的计算环境的设备(例如，客户端设备、服务器、网络设备等)和/或来自安全平台215的一个或多个计算资源217的文件。在一些实现中，安全环境能够分析或打开文件以标识恶意软件，从而不会危害安全环境的主机(例如，安全平台215)或可以与安全环境的主机通信地耦合的目标(例如，恶意软件的目标设备)。安全环境可以在安全平台215内或由安全平台215实施。例如，安全环境可以由安全平台215内的一个或多个计算资源217托管。

以此方式，安全平台215可以在安全环境中打开文件，以确定文件或文件的对象(例如，恶意对象)是否访问安全环境的辅助文件。

如图4进一步所示，过程400可以包括基于所接收文件被打开来确定安全环境中的辅助文件已经被访问(框430)。例如，安全平台215可以确定安全环境中的辅助文件已经被访问(其指示由于打开所接收的文件而可能已经在辅助文件中嵌入了恶意有效载荷)。在一些实现中，在安全环境中打开所接收的文件之后，安全平台215可以监测辅助文件或安全环境的目录中的其他辅助文件。

辅助文件是其中文件已经被打开的计算环境(例如，安全环境)内的文件。例如，辅助文件可以是运行打开另一文件(诸如框410和420的接收和打开的文件)的应用或程序的计算环境的目录内的文件。在一些实现中，安全平台215可以在安全环境中植入或安装辅助文件以使所接收的文件的恶意对象将恶意有效载荷嵌入到辅助文件中。因此，在一些实现中，辅助文件可以在以下安全环境的目录内，该安全环境打开文件以确定文件是否包括恶意对象或恶意有效载荷。

在一些实现中，安全平台215可以基于辅助文件被打开或修改来确定辅助文件已经被访问。在一些实现中，在打开文件以检测辅助文件已经被访问之后，安全平台215可以在安全环境中监测辅助文件的目录。例如，安全平台215可以监测与辅助文件相关联的指示辅助文件何时最后被访问(例如，打开或修改)的时间戳。附加地或备选地，安全平台215可以监测可以用于访问(例如，打开或修改)辅助文件的应用(例如，应用217-1)或其他工具。在一些实现中，安全平台215可以对在打开所接收的文件之前保存的辅助文件的版本与在打开所接收的文件之后保存的辅助文件的版本进行比较，以检测对辅助文件的任何修改或改变(其可能是由恶意有效载荷的添加而导致的)。

在一些实现中，安全平台215可以监测安全环境的目录中指定的一组辅助文件。指定的该组辅助文件基于以下而被监测：基于与所接收的文件相同的应用相关联，基于作为在安全环境内操作的最近的文件之一，基于在相对于所接收的文件被打开的时间的特定时间段(例如，在最近的时间段)内被打开，等等。

以这种方式，安全平台215可以基于文件被访问来确定辅助文件已经被访问，这指示辅助文件将被分析恶意有效载荷。

如图4进一步所示，过程400可以包括在安全环境中分析辅助文件以标识恶意软件(框440)。例如，安全平台215可以在安全环境中分析辅助文件。在一些实现中，安全平台215可以基于确定辅助文件被访问来在安全环境中分析辅助文件。

在一些实现中，安全平台215可以在所接收的文件被打开的相同的安全环境中分析辅助文件。附加地或备选地，安全平台215可以在与所接收的文件被打开的安全环境分离的安全环境中分析辅助文件。例如，安全平台215可以复制辅助文件并且指示单独的计算资源217、单独的虚拟机217-2或单独的管理程序217-4来实现单独的安全环境。

在一些实现中，安全平台215可以对辅助文件进行以下分析来标识恶意软件：静态分析(分析辅助文件而不打开辅助文件)、基于签名的分析(比较辅助文件的签名序列与恶意软件签名的数据库中的签名序列)、基于统计的分析(使用机器学习来确定辅助文件是否包括恶意软件)、动态分析(涉及打开辅助文件)、基于行为的分析(分析打开辅助文件的结果)等。

在一些实现中，安全平台215可以进行对辅助文件的静态分析。例如，安全平台215可以分析辅助文件的数据(例如，通过分解辅助文件的二进制代码)以检测恶意软件或恶意有效载荷。在一些实现中，安全平台215可以分析辅助文件的数据中的签名序列，并且将辅助文件中的签名序列与签名数据库或其他恶意软件数据库中的恶意软件的签名序列进行比较。在这样的实现中，当签名序列匹配或满足匹配阈值时(例如，基于匹配或不匹配的签名的值的百分比)，安全平台215可以检测辅助文件中的恶意软件。

在一些实现中，安全平台215可以执行辅助文件的基于统计的分析来确定辅助文件是否包括恶意软件。例如，安全平台215可以利用机器学习，该机器学习考虑所接收的文件的特征以及被访问的辅助文件来推断出所接收的文件包括恶意软件。所接收文件的示例特性可以包括所接收文件的来源、所接收文件的预期目的地、所接收文件的类型、所接收文件的大小、与所接收文件相关联的应用、所接收的文件被发送或接收的时间、所接收的文件通过其被接收的通信协议、所接收的文件通过其被接收的网络等。

在一些实现中，为了对辅助文件的动态分析，安全平台215可以在安全环境中打开辅助文件。例如，安全平台可以通过使辅助文件的应用(例如，应用217-1)打开辅助文件来打开辅助文件。安全平台215可以通过利用与辅助文件相关联的应用(例如，应用217-1)打开辅助文件来执行辅助文件。例如，安全平台215可以：如果辅助文件是文档文件，则利用文档应用打开辅助文件；如果辅助文件是电子表格文件，则利用电子表格应用打开辅助文件；如果辅助文件是图像文件，则利用图像应用打开辅助文件；如果辅助文件是pdf文件，则利用pdf应用打开辅助文件，等等。这样的应用可以由应用217-1在计算资源217中实现。

为了动态地分析辅助文件，安全平台215可以打开辅助文件，以触发辅助文件中可能已经被所接收的文件的恶意对象嵌入的恶意有效载荷。相应地，安全平台215可以通过在安全环境中打开辅助文件，来检测辅助文件中的恶意有效载荷。在一些实现中，安全平台215可以执行基于行为的分析，从而通过检测安全环境内由于打开辅助文件的变化来检测恶意软件。例如，安全平台215可以标识对安全环境的目录的改变(例如，对其他辅助文件的改变)、对托管安全环境的计算资源217的改变、对执行辅助文件的应用217-1的改变、对执行辅助文件或实现安全环境的虚拟机217-2的改变等。在一些实现中，安全平台215可以监测和/或标识可以指示辅助文件包括恶意软件的特定应用编程接口(api)调用、系统调用、指令跟踪、注册表更改、存储器写入等。

以这种方式，安全平台215可以分析辅助文件中的恶意软件并且使得安全平台215能够基于辅助文件的打开来对所接收的文件执行动作。通过在安全环境中分析具有恶意有效载荷的辅助文件，安全平台215可以防止对云计算环境220或所接收的文件所针对的目标设备造成危害。

如图4进一步所示，过程400可以包括基于辅助文件被分析来执行与所接收的文件相关联的动作(框450)。例如，安全平台215可以执行与所接收的文件相关联的动作。在一些实现中，安全平台215可以基于是否从辅助文件被分析而标识出恶意软件来执行动作。

在一些实现中，当安全平台215基于对辅助文件的分析而在安全环境中检测到恶意软件时，安全平台215可以执行一个或多个动作以防止恶意软件到达所接收的文件的预期目标。例如，安全平台215可以阻止、隔离和/或清理所接收的文件以移除恶意对象。在一些实现中，一旦清理后的文件被认为是安全的，安全平台215可以将清理后的所接收的文件转发给所接收的文件的预期接收者。在一些实现中，安全平台215可以确定恶意软件的来源，并且使得或提供隔离来源(或者在来源周围建立周界)的信息以防止来源未来发起攻击(例如，当来源是由安全平台215监测的网络的内部来源时)。在一些实现中，可以将来源放置在“黑名单”上，该“黑名单”可以用于警告安全平台215和/或其他设备从该来源接收的信息可能包括恶意软件。

在一些实现中，安全平台215可以存储与所接收的文件和/或辅助文件相关联的信息以支持将来检测恶意软件(例如，通过更新恶意软件数据库，诸如包括恶意软件列表的数据库、基于签名的数据库、用于机器学习的基于统计的数据库等)。因此，利用从分析辅助文件而收集的信息，可以防止对其他计算环境的将来的伤害。

在一些实现中，安全平台215可以提供或传输与所接收的文件和/或辅助文件相关联的信息。例如，安全平台215可以提供信息，以使得用户界面向用户呈现所接收的文件和/或受影响的辅助文件的分析结果。示例分析结果可以包括恶意软件报告或警报(例如，向用户通知存在或不存在恶意软件)和/或与检测到的恶意软件相关联的信息、检测到的恶意软件的类型、与检测到的恶意软件相关联的分析(例如，其可以从基于统计的分析得出)、受影响或目标文件、检测到的恶意软件的一个或多个来源等。在一些实现中，安全平台215可以向所接收的文件的预期接收者提供信息。例如，安全平台215可以向用户通知意图用于用户的文件包括或过去包括恶意软件。

在一些实现中，当辅助文件的分析未指示恶意软件的存在(即，所接收的文件被认为是安全的)时，安全平台215可以将所接收的文件转发给预期的接收者。

以这种方式，安全平台215可以执行与所接收的文件相关联的动作。这样的动作可以防止可能由所接收的文件中的恶意软件造成的伤害和/或通过跟踪与所接收的恶意文件相关联的信息来防止由其他恶意文件造成的伤害。因此，本文中描述的一些实现使得计算环境能够保持可操作，防止可能由恶意软件引起的故障、关机等。

虽然图4示出了过程400的示例框，但是在一些实现中，与图4所示的相比，过程400可以包括附加的框、更少的框、不同框或不同地布置的框。附加地或备选地，过程400的框中的两个或更多个可以并行地执行。

本文中描述的一些实现可以实施对以下恶意软件的检测，该恶意软件使得辅助文件感染恶意有效载荷，该恶意有效载荷在辅助文件打开时可以被追踪。在一些实现中，安全平台可以利用诸如沙箱等安全环境来打开所接收的文件，基于打开所接收的文件来确定辅助文件被访问，并且分析辅助文件以检测从所接收的文件的恶意对象嵌入的恶意有效载荷。以这种方式，安全平台可以防止恶意软件到达预期目标并且损害预期目标(例如，通过导致关闭，导致故障，导致不可操作，提取信息(例如，个人信息或财务信息)等)。

前述公开内容提供了说明和描述，但是并不旨在穷举实现或将实现限制为所公开的精确形式。修改和变化鉴于上述公开内容是可能的，或者可以从实现的实践中获得。

如本文中使用的，术语“组件”旨在被广泛地解释为硬件、固件和/或硬件和软件的组合。

本文中结合阈值描述了一些实现。如本文中使用的，满足阈值可以是指值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值，等等。

某些用户界面已经在本文中描述和/或在附图中示出。用户界面可以包括图形用户界面、非图形用户界面、基于文本的用户界面等。用户界面可以提供用于显示的信息。在一些实现中，用户可以与信息交互，诸如通过经由提供用于显示的用户界面的设备的输入组件来提供输入。在一些实现中，用户界面可以由设备和/或用户可配置(例如，用户可以改变用户界面的大小、经由用户界面提供的信息、经由用户界面提供的信息的位置等)。附加地或备选地，可以将用户界面预先配置为标准配置、基于显示有用户界面的设备的类型的特定配置、和/或基于与显示有用户界面的设备相关联的能力和/或规格的一组配置。

显然，本文中描述的系统和/或方法可以以不同形式的硬件、固件或硬件和软件的组合来实施。用于实施这些系统和/或方法的实际专用控制硬件或软件代码并不限制实现。因此，本文中描述了系统和/或方法的操作和行为，而不参考特定的软件代码，应当理解，软件和硬件可以被设计为基于本文中的描述来实施系统和/或方法。

即使特征的特定组合在权利要求中被记载和/或在说明书中被公开，但是这些组合并不旨在限制可能的实现的公开。事实上，这些特征中的很多可以以没有具体地在权利要求书中叙述和/或在说明书中公开的方式进行组合。尽管下面列出的每个从属权利要求可以直接引用仅一个权利要求，但是可能的实现的公开包括每个从属权利要求权利要求组中的每个其他权利要求的组合。

除非明确描述，否则本文中使用的元件、动作或指令不应当被解释为是关键或必要的。此外，如本文中使用的，冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目，并且可以与“一个或多个”可互换地使用。此外，如本文中使用的，术语“集合”旨在包括一个或多个项目(例如，相关项目、不相关项目、相关和不相关项目的组合等)，并且可以与“一个或多个”可互换地使用。如果意图只有一个项目，则使用术语“一个(one)”或类似的语言。此外，如本文中使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。此外，除非另有明确说明，否则短语“基于”旨在表示“至少部分地基于”。