一种病毒专杀工具生成方法及系统与流程

本发明涉及信息安全技术领域，尤其涉及一种病毒专杀工具生成方法及系统。

背景技术：

由于网络安全问题，计算机漏洞频频被利用，计算机由于未安装杀毒软件/未及时更新杀毒软件，无法对未知病毒进行有效的拦截和查杀，导致计算机大面积感染各类病毒。此时作为应急响应工具的各类计算机病毒专杀工具就显得尤为重要，他能够有针对性的快速的帮助用户查杀病毒，解决问题，保证资产安全。然而计算机病毒专杀工具，作为一种应急响应工具，首先要能够有针对性的对计算机进行病毒免疫与病毒查杀，其次就是要能够快速生成专杀工具，并通过各种渠道分发到用户手中。但目前应急响应专杀工具的生成流程都是需要人工的将病毒样本分析出恶意行为，然后才能有针对性的编写专杀工具。人工的去分析一个病毒样本至少是几个小时甚至是几十个小时才能完成，很多时候病毒已经大面积爆发，针对此病毒的专杀工具才被开发出来，不能够完全做到及时响应，快速处理。

技术实现要素：

针对上述现有技术中存在的问题，本发明提出了一种基于沙箱自动分析的病毒专杀工具生成方法及系统，能够自动分析病毒样本，自动生成有效的专杀工具。

具体发明内容包括：

一种病毒专杀工具生成方法，包括：

搭建内置不同系统环境的沙箱自动分析环境；所述系统环境为操作系统环境，包括windows、linux、国产麒麟、苹果、Android等，及这些系统的各个版本或衍生系统环境等；

将待分析病毒样本投入所述沙箱自动分析环境中进行恶意行为分析；

沙箱自动分析环境根据内置的不同系统环境对待分析病毒样本进行至少2次的恶意行为分析；该过程中，待分析病毒样本在沙箱自动分析环境中至少在2个不同系统或统一系统不同版本环境或衍生环境下进行恶意行为分析，输出在不同系统环境下的恶意行为；

输出待分析病毒样本在不同系统环境下的一致性恶意行为，即在不同系统环境下都会产生的相同的行为；

按规定合并所述一致性恶意行为的行为规则；该过程为根据一致性恶意行为的可逆性进行行为规则的合并输出，所述可逆性是指可以根据某一恶意行为，使用其相反的操作，达到对病毒样本的检测、免疫和清理的功能；例如：

举例1：病毒程序在终端机器通过注册表创建释放攻击能力的固定名称的启动项，这一恶意行为的相反的操作是删除对应注册表启动项，这个相反的操作可以用于识别和清理该病毒，所以该行为具有可逆性；

举例2：病毒程序在终端机器使用随机文件名称释放病毒副本，由于其创建的文件名称具有随机性，无法使用文件创建的逆操作（删除操作）对指定对象进行识别和清理，所以此种行为不具备可逆性；

最后，根据合并的行为规则生成对应病毒的专杀工具。

进一步地，所述专杀工具具体包括一个恶意行为库文件和一个可执行文件；其中，恶意行为库文件用于存储所述合并的行为规则，可执行文件用于执行专杀功能，且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配，并进行病毒查杀；所述专杀工具在最终的实体表现形式上，是一个结合所述恶意行为库文件数据和所述可执行程序的可执行程序。

进一步地，所述沙箱自动分析环境由至少2个沙箱组成。

进一步地，所述进行恶意行为分析，其具体分析内容包括系统中数据的创建、删除、修改行为，以及待分析病毒样本的网络行为；其中，所述系统中数据的对象包括：计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件、计划任务。

一种病毒专杀工具生成系统，包括：内置不同系统环境的沙箱自动分析模块，以及一致性行为合并模块与专杀工具生成模块；

具体为：

将待分析病毒样本投入所述沙箱自动分析模块中，在不同系统环境下进行至少2次的恶意行为分析；将分析结果传输给所述一致性行为合并模块，按规定合并待分析病毒样本在不同系统环境下的一致性恶意行为的行为规则；将合并的行为规则传输给所述专杀工具生成模块，生成对应病毒的专杀工具；

其中，

所述系统环境为操作系统环境，包括windows、linux、国产麒麟、苹果、Android等，及这些系统的各个版本或衍生系统环境等；

所述一致性恶意行为，即在不同系统环境下都会产生的相同的行为；

所述一致性行为合并模块具体功能为根据一致性恶意行为的可逆性进行行为规则的合并输出，所述可逆性是指可以根据某一恶意行为，使用其相反的操作，达到对病毒样本的检测、免疫和清理的功能；例如：

举例1：病毒程序在终端机器通过注册表创建释放攻击能力的固定名称的启动项，这一恶意行为的相反的操作是删除对应注册表启动项，这个相反的操作可以用于识别和清理该病毒，所以该行为具有可逆性；

举例2：病毒程序在终端机器使用随机文件名称释放病毒副本，由于其创建的文件名称具有随机性，无法使用文件创建的逆操作（删除操作）对指定对象进行识别和清理，所以此种行为不具备可逆性。

进一步地，所述专杀工具具体包括一个恶意行为库文件和一个可执行文件；其中，恶意行为库文件用于存储所述合并的行为规则，可执行文件用于执行专杀功能，且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配，并进行病毒查杀；所述专杀工具在最终的实体表现形式上，是一个结合所述恶意行为库文件数据和所述可执行程序的可执行程序。

进一步地，所述沙箱自动分析模块由至少2个沙箱组成。

进一步地，所述进行恶意行为分析，其具体分析内容包括系统中数据的创建、删除、修改行为，以及待分析病毒样本的网络行为；其中，所述系统中数据的对象包括：计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件、计划任务。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如权利要求1至4任一所述的病毒专杀工具生成方法。

一种非临时性计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至4任一所述的病毒专杀工具生成方法。

本发明的有益效果是：

本发明将传统沙箱分析技术与病毒专杀生成相结合，实现专杀工具的自动化生成，快速应急响应病毒疫情事件；

本发明生成的专杀工具具备病毒处理功能，第一时间帮助用户免疫和处理病毒，在病毒尚未大规模爆发前，对病毒进行免疫。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种病毒专杀工具生成方法流程图；

图2为本发明一种病毒专杀工具生成系统结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种病毒专杀工具生成方法实施例，如图1所示，包括：

S101：搭建内置不同系统环境的沙箱自动分析环境；

S102：将待分析病毒样本投入所述沙箱自动分析环境中进行恶意行为分析；

S103：沙箱自动分析环境根据内置的不同系统环境对待分析病毒样本进行至少2次的恶意行为分析；

S104：输出待分析病毒样本在不同系统环境下的一致性恶意行为；

S105：按规定合并所述一致性恶意行为的行为规则；

S106：根据合并的行为规则生成对应病毒的专杀工具。

优选地，所述专杀工具具体包括一个恶意行为库文件和一个可执行文件；其中，恶意行为库文件用于存储所述合并的行为规则，可执行文件用于执行专杀功能，且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配，并进行病毒查杀。

优选地，所述沙箱自动分析环境由至少2个沙箱组成。

优选地，所述进行恶意行为分析，其具体分析内容包括系统中数据的创建、删除、修改行为，以及待分析病毒样本的网络行为；其中，所述系统中数据的对象包括：计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件、计划任务。

本发明还给出了一种病毒专杀工具生成系统实施例，如图2所示，包括：内置不同系统环境的沙箱自动分析模块201，以及一致性行为合并模块202与专杀工具生成模块203；

具体为：

将待分析病毒样本投入所述沙箱自动分析模块201中，在不同系统环境下进行至少2次的恶意行为分析；将分析结果传输给所述一致性行为合并模块202，按规定合并待分析病毒样本在不同系统环境下的一致性恶意行为的行为规则；将合并的行为规则传输给所述专杀工具生成模块203，生成对应病毒的专杀工具。

优选地，所述专杀工具具体包括一个恶意行为库文件和一个可执行文件；其中，恶意行为库文件用于存储所述合并的行为规则，可执行文件用于执行专杀功能，且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配，并进行病毒查杀。

优选地，所述沙箱自动分析模块201由至少2个沙箱组成。

优选地，所述进行恶意行为分析，其具体分析内容包括系统中数据的创建、删除、修改行为，以及待分析病毒样本的网络行为；其中，所述系统中数据的对象包括：计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件、计划任务。

为了实现上述实施例，本发明还给出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现上述实施例中病毒专杀工具生成方法；同时还可能包括用于存储器和处理器通信的通信接口；所述存储器可能包含RAM存储器，也可能还包括非易失性存储器（non-volatile memory），例如至少一个磁盘存储器；所述处理器可能是一个中央处理器（Central Processing Unit，简称为CPU），或者是特定集成电路（Application Specific Integrated Circuit，简称为ASIC），或者是被配置成实施本发明实施例的一个或多个集成电路；所述存储器、处理器可以独立部署，也可以集成在一块芯片上。

本发明同时给出了一种非临时性计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现实现上述实施例中病毒专杀工具生成方法。

针对现有技术不能充分满足病毒免疫实时性这一技术问题，本发明提出了一种基于沙箱自动分析的病毒专杀工具生成方法及系统，能够自动分析病毒样本，自动生成有效的专杀工具。本发明将传统沙箱分析技术与病毒专杀生成相结合，实现专杀工具的自动化生成，快速应急响应病毒疫情事件；本发明生成的专杀工具具备病毒处理功能，第一时间帮助用户免疫和处理病毒，在病毒尚未大规模爆发前，对病毒进行免疫。

本说明书中实施例采用递进的方式描述，虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神和范围。