方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机 程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器 以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用 于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的装置。
[0186] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中的功能。
[0187] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中的功能的步骤。
[0188] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造 性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优 选实施例以及落入本发明范围的所有变更和修改。
[0189] 显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发 明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求 及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1. 一种检测恶意软件的方法,其特征在于,包括: 在沙箱中运行待检测软件,并记录所述待检测软件在开始运行后预设时长内执行的至 少一个操作; 在记录所述至少一个操作的过程中,检测所述沙箱中的至少一个具有延时属性的接口 是否被调用; 在检测到任意一所述接口被调用时,判断被调用的所述接口的第一延时长度参数对应 的延时时长是否大于所述预设时长; 若判定所述第一延时长度参数对应的延时时长大于所述预设时长,则将被调用的所述 接口的所述第一延时长度参数调整为第二延时长度参数,所述第二延时长度参数对应的延 时时长小于所述预设时长; 将已记录的所述至少一个操作与恶意行为的操作进行比较,基于已记录的所述至少一 个操作中存在与恶意行为的操作相匹配的操作的比较结果,确定所述待检测软件为恶意软 件。2. 如权利要求1所述的方法,其特征在于,将被调用的所述接口的第一延时长度参数 调整为第二延时长度参数,具体包括: 将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数和预设 的调整参数的乘积,所述调整参数大于0且小于1。3. 如权利要求2所述的方法,其特征在于,所述预设的调整参数包括第一调整参数和 第二调整参数,所述第一调整参数大于所述第二调整参数; 所述将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数,具体包 括: 获取所述沙箱所在设备的中央处理器的使用率; 将获取的使用率与预设使用率门限值进行比较; 基于所述使用率大于或者等于所述预设使用率门限值的比较结果,将被调用的所述接 口的所述第一延时长度参数调整为所述第一延时长度参数与所述第一调整参数的乘积;或 者 基于所述使用率小于所述预设使用率门限值的比较结果,将被调用的所述接口的所述 第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。4. 如权利要求1所述的方法,其特征在于,所述将被调用的所述接口的所述第一延时 长度参数调整为第二延时长度参数,具体包括: 获取所述沙箱所在设备的中央处理器的使用率; 将获取的使用率与预设使用率门限值进行比较; 基于所述使用率大于或者等于所述预设使用率门限值的比较结果,将被调用的所述接 口的所述第一延时长度参数调整为第二延时长度参数;或者 基于所述使用率小于所述预设使用率门限值的比较结果,将被调用的所述接口的所述 第一延时长度参数调整为第三延时长度参数; 其中,所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时 时长。5. 如权利要求1-4任一项所述的方法,其特征在于,还包括: 在所述预设时长到达前的预定时刻,将已记录的所述至少一个操作与恶意行为的操作 进行比较; 基于已记录的所述至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结 果,向所述沙箱发送软件运行结束消息; 记录所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的至 少一个操作; 将已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执 行的所述至少一个操作与恶意行为的操作进行比较,基于已记录的所述待检测软件在所述 预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作中存在与恶意行 为的操作相匹配的操作的比较结果,确定所述待检测软件为恶意软件。6. 如权利要求1-5任一项所述的方法,其特征在于,所述接口包括以下至少一个接口 或多个接口的组合: 延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间的接 □ 〇7. -种检测恶意软件的装置,其特征在于,包括: 运行单元,用于在沙箱中运行待检测软件; 记录单元,用于记录所述待检测软件在开始运行后预设时长内执行的至少一个操作; 检测单元,用于在记录所述至少一个操作的过程中,检测所述沙箱中的至少一个具有 延时属性的接口是否被调用; 判断单元,用于在检测到任意一所述接口被调用时,判断被调用的所述接口的第一延 时长度参数对应的延时时长是否大于所述预设时长; 调整单元,用于若判定所述第一延时长度参数对应的延时时长大于所述预设时长,将 被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数,所述第二延时长度 参数对应的延时时长小于所述预设时长; 比较单元,用于将已记录的所述至少一个操作与恶意行为的操作进行比较,基于已记 录的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果,确定所述待检 测软件为恶意软件。8. 如权利要求7所述的装置,其特征在于,所述调整单元具体用于: 将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数和预设 的调整参数的乘积,所述调整参数大于0且小于1。9. 如权利要求8所述的装置,其特征在于,所述预设的调整参数包括第一调整参数和 第二调整参数,所述第一调整参数大于所述第二调整参数; 所述调整单元将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参 数时,具体为: 获取所述沙箱所在设备的中央处理器的使用率; 将获取的使用率与预设使用率门限值进行比较; 基于所述使用率大于或者等于所述预设使用率门限值的比较结果,将被调用的所述接 口的所述第一延时长度参数调整为所述第一延时长度参数与所述第一调整参数的乘积;或 者 基于所述使用率小于所述预设使用率门限值的比较结果,将被调用的所述接口的所述 第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。10. 如权利要求7所述的装置,其特征在于,所述调整单元具体用于: 获取所述沙箱所在设备的中央处理器的使用率; 将获取的使用率与预设使用率门限值进行比较; 基于所述使用率大于或者等于所述预设使用率门限值的比较结果,将被调用的所述接 口的所述第一延时长度参数调整为第二延时长度参数;或者 基于所述使用率小于所述预设使用率门限值的比较结果,将被调用的所述接口的所述 第一延时长度参数调整为第三延时长度参数; 其中,所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时 时长。11. 如权利要求7-10任一项所述的装置,其特征在于,所述比较单元还用于: 在所述预设时长到达前的预定时刻,将已记录的所述至少一个操作与恶意行为的操作 进行比较; 还包括发送单元,用于基于已记录的所述至少一个操作中不存在与恶意行为的操作相 匹配的操作的比较结果,向所述沙箱发送软件运行结束消息; 所述记录单元还用于:记录所述待检测软件在所述预定时刻至所述预设时长到达之间 的时间段内执行的至少一个操作; 所述比较单元还用于:将已记录的所述待检测软件在所述预定时刻至所述预设时长 到达之间的时间段内执行的所述至少一个操作与恶意行为的操作进行比较,基于已记录的 所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一 个操作中存在与恶意行为的操作相匹配的操作的比较结果,确定所述待检测软件为恶意软 件。
【专利摘要】本发明公开了一种检测恶意软件的方法及装置,在该方案中,在记录所述至少一个操作的过程中,检测到所述沙箱中的任意一个具有延时属性的接口被调用时,及判定所述第一延时长度参数对应的延时时长大于所述预设时长时,认为恶意行为要延迟执行,此时,缩短延迟执行的延时时长,让恶意行为在记录所述待检测软件在开始运行后预设时长内执行的至少一个操作的过程中执行,那么恶意行为就可以提前暴露,可以实现有效监控,因此,可以提高检测恶意软件的准确度。
【IPC分类】G06F21/56, G06F21/53
【公开号】CN105678164
【申请号】
【发明人】刘步
【申请人】华为技术有限公司
【公开日】2016年6月15日
【申请日】2014年11月20日