恶意软件的装置3000包括运行单元30、记录单元31、检测单元 32、判断单元33、调整单元34、比较单元35,其中:
[0128] 运行单元30,用于在沙箱中运行待检测软件;
[0129] 记录单元31,用于记录待检测软件在开始运行后预设时长内执行的至少一个操 作;
[0130] 检测单元32,用于在记录至少一个操作的过程中,检测沙箱中的至少一个具有延 时属性的接口是否被调用;
[0131] 判断单元33,用于在检测到任意一接口被调用时,判断被调用的接口的第一延时 长度参数对应的延时时长是否大于预设时长;
[0132] 调整单元34,用于若判定第一延时长度参数对应的延时时长大于预设时长,将被 调用的接口的第一延时长度参数调整为第二延时长度参数,第二延时长度参数对应的延时 时长小于预设时长;
[0133] 比较单元35,用于将已记录的至少一个操作与恶意行为的操作进行比较,基于已 记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果,确定待检测软件 为恶意软件。
[0134] 本发明实施例中,可选的,调整单元34具体用于:
[0135] 将被调用的接口的第一延时长度参数调整为第一延时长度参数和预设的调整参 数的乘积,调整参数大于〇且小于1。
[0136] 本发明实施例中,可选的,预设的调整参数包括第一调整参数和第二调整参数,第 一调整参数大于第二调整参数;
[0137] 调整单元34将被调用的接口的第一延时长度参数调整为第二延时长度参数时, 具体为:
[0138] 获取沙箱所在设备的中央处理器的使用率;
[0139] 将获取的使用率与预设使用率门限值进行比较;
[0140] 基于使用率大于或者等于预设使用率门限值的比较结果,将被调用的接口的第一 延时长度参数调整为第一延时长度参数与第一调整参数的乘积;或者
[0141] 基于使用率小于预设使用率门限值的比较结果,将被调用的接口的第一延时长度 参数调整为第一延时长度参数与第二调整参数的乘积。
[0142] 本发明实施例中,可选的,调整单元34具体用于:
[0143] 获取沙箱所在设备的中央处理器的使用率;
[0144] 将获取的使用率与预设使用率门限值进行比较;
[0145] 基于使用率大于或者等于预设使用率门限值的比较结果,将被调用的接口的第一 延时长度参数调整为第二延时长度参数;或者
[0146] 基于使用率小于预设使用率门限值的比较结果,将被调用的接口的第一延时长度 参数调整为第三延时长度参数;
[0147] 其中,第三延时长度参数对应的延时时长小于第二延时长度参数对应的延时时 长。
[0148] 本发明实施例中,进一步的,比较单元35还用于:
[0149] 在预设时长到达前的预定时刻,将已记录的至少一个操作与恶意行为的操作进行 比较;
[0150] 还包括发送单元,用于基于已记录的至少一个操作中不存在与恶意行为的操作相 匹配的操作的比较结果,向沙箱发送软件运行结束消息;
[0151] 记录单元31还用于:记录待检测软件在预定时刻至预设时长到达之间的时间段 内执行的至少一个操作;
[0152] 比较单元35还用于:将已记录的待检测软件在预定时刻至预设时长到达之间的 时间段内执行的至少一个操作与恶意行为的操作进行比较,基于已记录的待检测软件在预 定时刻至预设时长到达之间的时间段内执行的至少一个操作中存在与恶意行为的操作相 匹配的操作的比较结果,确定待检测软件为恶意软件。
[0153] 本装置实施例中提供的检测恶意软件的装置可以是方法实施例中沙箱所在的设 备,或者设备中的一个功能模块,该装置可以集成在防火墙、网关设备等网络设备中,还可 以集成于文件服务器或网页服务器中。检测恶意软件的装置可以实现的其他附加功能,请 参照方法实施例中的描述,在这里不再赘述。
[0154] 本发明实施例提供的检测恶意软件的装置在沙箱中运行待检测软件,并记录待检 测软件在开始运行后预设时长内执行的至少一个操作;在记录至少一个操作的过程中,检 测沙箱中的至少一个具有延时属性的接口是否被调用;在检测到任意一接口被调用时,判 断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长;若判定第一延时 长度参数对应的延时时长大于预设时长,则将被调用的接口的第一延时长度参数调整为第 二延时长度参数,第二延时长度参数对应的延时时长小于预设时长;将已记录的至少一个 操作与恶意行为的操作进行比较,基于已记录的至少一个操作中存在与恶意行为的操作相 匹配的操作的比较结果,确定待检测软件为恶意软件。该装置通过在具有延时属性的接口 被调用时,缩短延迟执行的延时时长,让恶意行为在记录待检测软件在开始运行后预设时 长内执行的至少一个操作的过程中执行,那么恶意行为就可以提前暴露,可以实现有效监 控,因此,可以提高检测恶意软件的效率和准确度。
[0155] 如图4所示,为本发明实施例提供的检测恶意软件的装置3000的另一种结构示意 图,包括至少一个处理器401,通信总线402,存储器403以及至少一个通信接口 404。
[0156] 其中,通信总线402用于实现上述组件之间的连接并通信,通信接口 404用于与外 部设备连接并通信。
[0157] 其中,存储器403用于存储有可执行的程序代码,处理器401通过执行这些程序代 码,以用于:
[0158] 在沙箱中运行待检测软件,并记录待检测软件在开始运行后预设时长内执行的至 少一个操作;
[0159] 在记录至少一个操作的过程中,检测沙箱中的至少一个具有延时属性的接口是否 被调用;
[0160] 在检测到任意一接口被调用时,判断被调用的接口的第一延时长度参数对应的延 时时长是否大于预设时长;
[0161] 若判定第一延时长度参数对应的延时时长大于预设时长,则将被调用的接口的第 一延时长度参数调整为第二延时长度参数,第二延时长度参数对应的延时时长小于预设时 长;
[0162] 将已记录的至少一个操作与恶意行为的操作进行比较,基于已记录的至少一个操 作中存在与恶意行为的操作相匹配的操作的比较结果,确定待检测软件为恶意软件。
[0163] 处理器401还用于:
[0164] 将被调用的接口的第一延时长度参数调整为第一延时长度参数和预设的调整参 数的乘积,调整参数大于〇且小于1。
[0165] 预设的调整参数包括第一调整参数和第二调整参数,第一调整参数大于第二调整 参数;
[0166] 处理器401还用于:
[0167] 获取沙箱所在设备的中央处理器的使用率;
[0168] 将获取的使用率与预设使用率门限值进行比较;
[0169] 基于使用率大于或者等于预设使用率门限值的比较结果,将被调用的接口的第一 延时长度参数调整为第一延时长度参数与第一调整参数的乘积;或者
[0170] 基于使用率小于预设使用率门限值的比较结果,将被调用的接口的第一延时长度 参数调整为第一延时长度参数与第二调整参数的乘积。
[0171] 处理器401还用于:
[0172] 获取沙箱所在设备的中央处理器的使用率;
[0173] 将获取的使用率与预设使用率门限值进行比较;
[0174] 基于使用率大于或者等于预设使用率门限值的比较结果,将被调用的接口的第一 延时长度参数调整为第二延时长度参数;或者
[0175] 基于使用率小于预设使用率门限值的比较结果,将被调用的接口的第一延时长度 参数调整为第三延时长度参数;
[0176] 其中,第三延时长度参数对应的延时时长小于第二延时长度参数对应的延时时 长。
[0177] 处理器401还用于:
[0178] 在预设时长到达前的预定时刻,将已记录的至少一个操作与恶意行为的操作进行 比较;
[0179] 基于已记录的至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结 果,向沙箱发送软件运行结束消息;
[0180] 记录待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操 作;
[0181] 将已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少 一个操作与恶意行为的操作进行比较,基于已记录的待检测软件在预定时刻至预设时长到 达之间的时间段内执行的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结 果,确定待检测软件为恶意软件。
[0182] 本发明实施例中,接口包括以下至少一个接口或多个接口的组合:
[0183] 延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间 的接口。
[0184] 本装置实施例中提供的检测恶意软件的装置可以是方法实施例中沙箱所在的设 备,该装置可以是防火墙、网关设备等网络设备,还可以是文件服务器或网页服务器。检测 恶意软件的装置可以实现的其他附加功能,请参照方法实施例中的描述,在这里不再赘述。
[0185] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或