專利名稱:鑒定病毒文件的方法�、裝置及網絡設備的制作方法
技術領域:
本發明涉及計算機反病毒技術領域。
背景技術:
近年來,互聯網上流4亍的病毒和木馬通常不是單個發作,而是一類的大 量變種在互聯網上活動��,且可頻繁升級��,因此很容易發生大量的病毒或木馬 爆發的局面���。這對反病毒產品升級的周期提出了更高的要求����,反病毒產品的 升級速度對是否能有效防殺大量的病毒和木馬起到重要的作用��。
目前反病毒最成熟的技術之一是特征法�����。特征法一4殳包括病毒分析、特 征提取���、病毒庫制作和升級等過程,而這些過程中,鑒定可疑文件是否為病 毒的病毒分析過程是最耗時的過程之一 �。
一種分析病毒的方法是動態分析��。動態分析的主要過程是,在用戶系統 中運行可疑文件,利用半自動工具記錄所述可疑文件運^f亍時的行為,通過系 統運行前和運行后的比較�����,得出可疑文件運行后對系統的改動結果�����,然后對 所述結果進行對比、分析�����,最終確認所述可疑文件是否為病毒�����,如果所述可 疑文件為病毒�,則需要重啟系統�,對系統進行恢復,再繼續對下一個可疑文 件進行分析��。
上述病毒分析方法的不足之處在于�����,在該方法中�,可疑文件在計算機系 統中運行�����,如果該可疑文件是病毒�����,則會對系統造成損害,在病毒分析過程 中為了減少病毒的危害性���,需要重啟系統對系統進行還原^多復,而重啟動作
使得病毒分析的過程大為延長����,從而影響反病毒產品的升級周期���;另外�����,如 果病毒使系統崩潰,則需要重裝系統��,這將更為延長反病毒產品的升級周期��。
發明內容
本發明提供一種鑒定病毒文件的方法����、裝置及網絡設備���,能夠縮短鑒定 病毒文件的時間�,提高了病毒分析的效率。
為達到上述發明目的����,本發明提出以下的技術方案
本發明提供了鑒定病毒文件的方法首先建立虛擬系統��,在該虛擬系統 中運行可疑文件,記錄所述可疑文件的行為信息�����;根據所述行為信息和病毒 行為特征庫��,判斷所述可^:文件是否為病毒文件�����,如果是,則將所述可疑文 件標識為病毒文件���;否則,將所述可疑文件標識為安全文件�。
本發明還提供了鑒定病毒文件的裝置,該裝置包括
虛擬系統模塊,用于建立模擬系統��,將可疑文件的行為定向至虛擬系統�����, 運行可疑文件���;
行為信息收集模塊�,用于記錄所述可疑文件的行為信息����;
行為特征分析模塊,用于根據所述行為信息和病毒行為特征庫,判斷所 述可疑文件為病毒時,將所述可疑文件標識為病毒�����;判斷所述可疑文件為安 全文件時�,將所述可疑文件標識為安全文件。
另外,針對與上述鑒定病毒文件的方法及裝置,本發明還提供了一種網 絡設備,包括處理器以及處理器所^執行的一個或多個指令�,所述處理器執 行所述指令時����,用于實現以下步驟
建立虛擬系統���,在該虛擬系統中運行可疑文件�����,記錄所述可疑文件的行 為信息����;
根據所述行為信息和病毒行為特征庫����,判斷所述可^:文件是否為病毒文 件,如果是�����,則將所述可疑文件標識為病毒文件����;否則,將所述可疑文件標 識為安全文^f牛。
本發明還提供一種存^f諸介質���,用于存儲一個或多個用于鑒定病毒文件的
指令,所述指令在被執行時用于完成以下步驟
建立虛擬系統,在該虛擬系統中運行可#是文件,記錄所述可疑文件的行 為信息;根據所述行為信息和病毒行為特征庫����,判斷所述可疑文件是否為病 毒文件�,如果是��,則將所述可疑文件標識為病毒文件�����;否則,將所述可疑文 件標識為安全文件����。
在本發明中�����,由于建立了虛擬系統,在病毒分析過程中����,使可疑文件在 虛擬的系統中運行,對真實的系統沒有損害����, 一個文件鑒定完畢�,只需放棄 其在虛擬系統的行為結果即可�����,而無需對系統進行重啟》,復�,因此系統恢復 速度快���,節約的大量分析時間����,提高了鑒定病毒的效率。
圖1為一個實施例中鑒定病毒文件的流程圖2為一個實施例中鑒定病毒文件的裝置的邏輯框圖�����。
具體實施例方式
在病毒分析的過程中����,鑒定一個可疑文件是否為病毒文件,通常是通過 對該文件的運行時的行為進行分析���,從而確認是否為病毒文件。請參閱圖1���, 本發明提供一種鑒定病毒文件的方法,首先在系統中構造虛擬系統(S101),
當發現可疑文件時����,令可^L文件在該虛擬系統中運行�����,并記錄可疑文件的行
為信息(S102);并將行為信息和病毒行為特征庫進行比對(S103)��,判斷所 述可疑文件是否為病毒文件(S104)�����,如果是����,則將所述可*是文件標識為病毒 文件(S105);否則����,將所述可疑文件標識為安全文件(S106)。
對于步驟S101,虛擬系統可以通過使用計算機程序監控系統關鍵API�����、 以及模擬真實系統某些功能的方式構建一種虛擬框架����,可以模擬真實的系統 加載程序的過程,以便使可疑文件作用于真實系統的行為能夠被重定向與該
虛擬系統中�����。
對于步驟S102��,當通過模擬系統對可疑文件進行加載后��,令其在虛擬系 統中運行,當可疑文件需要執行某個行為時,通常需要發出行為請求消息, 此時虛擬系統根據可疑文件的行為請求消息,向所述可^:文件返回所述行為 成功消息�����,當可疑文件收到成功消息后認為前述的行為成功����,因此繼續運行 下一行為����。例如,假設一個可疑文件的行為是打開一個IE、鏈接到一個網站����, 在收集到可疑文件的該行為請求消息后�����,虛擬系統向該可疑文件行為發出消 息打開正及網站鏈接成功,在接收到該成功消息后,這個可疑文件認為這 個成功是真實的,/人而進4亍下一步的動作���。對于步驟S102,對可疑文件在虛 擬系統中執行的行為信息進行記錄,由于真實的操作系統沒有執行對應于該 可疑文件的行為動作�,因此�����,在可疑文件進行下一步的動作之后,以同樣的 方式進行記錄該行為的行為信息����。在一個實施例中����,由計算機系統來進行上 述記錄過程���,可以將記錄結果存放到數據庫里�,也可以存》文為某種文件格式���、 曰志���、分析報告或者當該可疑文件是用戶上報上來的時候�,可以將記錄結果 回饋給用戶等。
對于步驟S103,當該可疑文件在虛擬系統中的運行完成后��,對所記錄的 所有的行為信息進行分析���,在一個實施例中�����,通過分析虛擬系統運行前和運 行后的變化獲得可疑文件運行后對系統的改動結果�����,行為信息可以是可疑文 件對系統的改動結果�����,可以包括對虛擬系統的注冊表、文件��、網絡或進程等 的影響���。以對文件的改動為例�,可以包括對文件的感染、》l"改、添加和刪除。 將行為信息與行為特征庫進行比對,如果行為特征庫中存在這個可疑文件的 行為信息,則將其標識為病毒����,進行下一步的處理工作��,如果不存在���,則認 為該可疑文件是正常的行為特征��,讓它在真實的系統上真實運行��。
作為本發明的進一步改進,在一個實施例中��,對于行為特征庫中存在的
行為特征��,可以設定相應的權值��,當將行為信息與行為特征庫進行比對時, 將行為特征庫中對應的各權值進行相加����,當權值大于某個設定值時���,則判定 該可l是文件為病毒了 ����。
另外�,由于在對可疑文件的行為進行分析時需要考慮到各行為的權值之 和,為了進一步加強對可疑文件分析的準確性��, 一個實施例中對所有的可疑 文件依次進行分析�����,并且對每個可疑文件的行為進行分析時����,將該可疑文件 的每個行為分別進行分析�,以避免多個行為的權值之間相互影響,造成誤判���。
以下列舉一個對行為特征庫中的行為特征設定權值的實例�,在該實例中
設定當可疑文件的各行為的權值大于3時,該可疑文件為病毒。 在該實施例中����,行為特征庫中可以包括以下行為特征 一��、注冊表行為特征
1、 在注冊表中添加啟動項
HKEY—LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R
im
在該實施例中將行為特征庫中的該行為特征的權值設置為2;
2、 刪除以下注冊表鍵值��,破壞系統的安全模式�,導致用戶不能選擇進入 安全模式
HKEY—CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot 在該實施例中將行為特征庫中的該行為特征的權值設置為4; 二、文件4亍為
1 、將可疑文件自身復制到系統目錄,在VWindows�����、system32����、復制 一個名為 svchOst.exe的病毒本體。
在該實施例中將行為特征庫中的該行為特征的權值設置為2;
2���、同時枚舉d-z的分區生成文件autorun.inf和病毒體本身(auto.exe)���,通過
系統的自動運行來激活病毒或傳播病毒���。
在該實施例中將行為特征庫中的該行為特征的權值設置為5; 三�����、內存4亍為
1、可疑文件在系統中查找安全軟件的進程并進行中止行為���,安全軟件的 進程可以是以下關鍵字的進程名 kvolsdf.exe KvReport,kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXRkxp KvXp一l.kxp KWatch.exe KWatch9x.exe KWatchX.exe MagicSet.exe
在該實施例中將行為特征庫中的該行為特征的權值設置為5。 在該實施例中����,將可疑文件的行為信息與病毒行為特征庫的行為特征進行 匹配,獲取所述行為的權值,當某個可疑文件的行為包含以上至少一項與上 述行為特征匹配的行為信息��,并且各行為信息的權值的和大于3時�����,則認為 該可疑文件為病毒文件����,否則���,判斷所述可疑文件為安全文件����。
在本發明的一個實施例中,設定了所述可疑文件在虛擬系統中的運行時 間;在規定時間內對可疑文件的行為信息進行追蹤��,可疑文件可以不必運行 完所有的行為���,以節約分析可疑文件的時間����。
由上所述,本發明提供的鑒定病毒文件的方法是由系統執行的動態分析 過程,另外��,現有技術中的鑒定病毒文件通常需要對系統進行重啟��,是由于 現有技術中的鑒定病毒文件的方法是對可疑文件在真實的4喿作系統中的行為 進行分析����,為了減小病毒文件對系統的損害����,在對一個可疑文件進行鑒定分 析后�����,需要將系統進行重啟來對系統進行還原��,而本發明的鑒定病毒文件的 方式是在一個虛擬的環境里進行,可疑文件在虛擬的系統里運行�,因此不會 對真實的系統產生影響�����,從而本發明的方案既不影響真實的系統,避免了重 啟動系統損耗的時間�����,節省了鑒定病毒文件的時間�。
進一步,由于可疑文件作用于虛擬的系統���,不作用于真實系統的,因此當 對可疑文件分析完成時���,通過放棄該可疑文件在虛擬系統中所產生的行為結
果,就可以將系統恢復����,即將病毒文件在虛擬系統中的行為內容刪除��。比如 清除病毒在虛擬的系統中創建的文件���,也就是說��,本發明不需要重新啟動系 統,可自我恢復系統�����,從而加快對可疑文件的鑒定效率���。
對應于上述鑒定病毒文件的方法���,本發明還提供一種鑒定病毒文件的裝 置�����,請參閱圖2,該裝置包括虛擬系統模塊201,用于建立虛擬系統�����,將可疑 文件的行為定向至虛擬系統��,運行可疑文件����;行為信息收集模塊202,用于記 錄所述可疑文件的行為信息�;行為特征分析模塊203,用于根據所述行為信息 和病毒行為特征庫�,判斷所述可疑文件為病毒時����,將所述可疑文件標識為病 毒�;判斷所述可疑文件為安全文件時,將所述可疑文件標識為安全文件����。
所述虛擬系統模塊201可以包括可疑文件存儲模塊2011和映像加載模塊 2012��。
虛擬系統模塊201通過監控真實系統的關鍵API以及模擬真實系統的某些 功能建立一個虛擬系統�,可疑文件存儲;漠塊2011將所有的可疑文件組成文件
隊列,進行存儲;映像加載模塊2012模擬真實系統的加載程序的過程���,從可 疑文件存儲模塊2011獲取可疑文件,逐一將可疑文件加載到內存����,當收到可 疑文件的行為請求信息后�,向該可疑文件發送成功消息����,令可疑文件在虛擬 系統中運行;行為信息收集模塊2012從虛擬系統模塊201中獲取可疑文件的 各種行為信息,進行規范記錄���;行為特征分析模塊203將行為信息收集模塊 202的信息記錄與行為特征庫進行匹配,獲得該行為的權值,并將分析結果發 送給數據安全處理模塊204,數據安全處理模塊204將分析結果是病毒文件的 可疑文件對虛擬系統作用的內容進行清空,通知映像加載模塊2012加載下一 個可疑文件。
上文所述的各實施例中的鑒定病毒文件的方法中各步驟可以通過一條或 多條指令實現�,上述鑒定病毒文件的裝置可以用于反病毒引擎工作過程中進 行可疑文件的鑒定�����,并最終確定可疑文件為病毒文件,所述反病毒引擎利用 被鑒定為病毒的文件的特征去標識其它文件為病毒并進行清除;所述指令可 以被配置在包含處理器的網絡設備中,由該處理器執行���,同時,所述指令可 以存儲在存儲介質中。所述網絡設備可以是計算機等網絡設備���。
以上所述的本發明實施方式,并不構成對本發明保護范圍的限定。任何 在本發明的精神和原則之內所作的修改、等同替換和改進等����,均應包含在本 發明的權利要求保護范圍之內���。
權利要求
1�、一種鑒定病毒文件的方法,其特征在于,包括步驟建立虛擬系統��,在該虛擬系統中運行可疑文件����,記錄所述可疑文件的行為信息����;根據所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文件,如果是���,則將所述可疑文件標識為病毒文件;否則,將所述可疑文件標識為安全文件。
2�����、 根據權利要求1所述的鑒定病毒文件的方法����,其特征在于,在該虛擬 系統中運行可疑文件的過程包括所述可疑文件發出行為請求消息,所述虛擬系統才艮據所述可疑文件的行 為請求消息����,向所述可疑文件返回所述行為成功消息��,所述可疑文件運行下 一行為。
3��、 根據權利要求2所述的鑒定病毒文件的方法��,其特征在于����, 建立虛擬系統時���,還進一步包括設定所述可疑文件的運行時間���; 記錄所述可疑文件的行為信息具體包括在所述運行時間內記錄可疑文件的行為信息�。
4���、 根據權利要求2所述的鑒定病毒文件的方法����,其特征在于,還包括步驟當判斷所述可疑文件為病毒文件時���,將所述病毒文件在所述虛擬系統的 行為內容清空。
5��、 權利要求1~4任一項所述的鑒定病毒文件的方法����,其特征在于,判 斷所述可疑文件是否為病毒文件的過程具體為將所述行為信息與病毒行為特征庫的行為特征進行匹配�����,獲取所述行為 的權值���,檢測所述行為的權值之和是否大于設定值����,如果是,則判斷所述文 件為病毒�����;否則�,判斷所述可疑文件為安全文件。
6�����、 一種鑒定病毒文件的裝置���,其特征在于�����,該裝置包括 虛擬系統模塊����,用于建立虛擬系統���,將可疑文件的行為定向至該虛擬系統��,運行所述可疑文件�����;行為信息收集模塊,用于記錄所述可疑文件的行為信息�;行為特征分析模塊��,用于根據所述行為信息和病毒行為特征庫,判斷所 述可疑文件為病毒時��,將所述可疑文件標識為病毒���;判斷所述可疑文件為安 全文件時���,將所述可疑文件標識為安全文件����。
7、 如權利要求6所述的鑒定病毒文件的裝置���,其特征在于����,所述虛擬系 統模塊包括可疑文件存儲模塊,用于存儲所述可疑文件,以及映像加載模塊�,用于將所述可疑文件在該虛擬系統中逐一加載���,并在所 述虛擬系統中運行所述可疑文件����。
8�����、 如權利要求7所述的鑒定病毒文件的裝置���,其特征在于����,該裝置還包括定時單元�����,用于設定所述可疑文件運行時間��;'所述行為信息收集單元,還用于在所述定時單元設定的運行時間內,記 錄所述可疑文件的行為信息�。
9�����、 如權利要求8所述的鑒定病毒文件的裝置,其特征在于,該裝置還包 括數據安全處理模塊�,用于當判斷所述可疑文件為病毒文件時,將所述病 毒文件在所述虛擬系統的行為內容清空��,并通知所述映像加載模塊加載下一 個可疑文件�����。
10�、 一種網絡設備���,其特征在于,包括處理器以及處理器所執行的一 個或多個指令���,所述處理器執行所述指令時,用于實現以下步驟建立虛擬系統�����,在該虛擬系統中運行可疑文件����,記錄所述可疑文件的行為信息;根據所述行為信息和病毒行為特征庫�,判斷所述可疑文件是否為病毒文 件����,如果是�����,則將所述可疑文件標識為病毒文件���;否則��,將所述可疑文件標 識為安全文件。
11��、 一種存儲介質��,其特征在于,用于存儲一個或多個用于鑒定病毒文 件的指令���,所述指令在被執行時用于完成以下步驟建立虛擬系統,在該虛擬系統中運行可疑文件��,記錄所述可疑文件的行 為信息�;根據所述行為信息和病毒行為特征庫,判斷所述可疑文件是否為病毒文 件�����,如果是����,則將所述可疑文件標識為病毒文件;否則�����,將所述可疑文件標 識為安全文件��。
全文摘要
本發明提供的鑒定病毒文件的方法�����,首先建立虛擬系統,在該虛擬系統中運行可疑文件��,記錄所述可疑文件的行為信息�����;根據所述行為信息和病毒行為特征庫���,判斷所述可疑文件是否為病毒文件,如果是,則將所述可疑文件標識為病毒文件����;否則��,將所述可疑文件標識為安全文件。本發明還提供了鑒定病毒文件的裝置,包括虛擬系統模塊,用于建立模擬系統,將可疑文件的行為定向至虛擬系統,運行可疑文件;行為信息收集模塊�����,用于記錄所述可疑文件的行為信息��;行為特征分析模塊��,用于根據所述行為信息和病毒行為特征庫,判斷所述可疑文件為病毒時��,將所述可疑文件標識為病毒;判斷所述可疑文件為安全文件時,將所述可疑文件標識為安全文件。
文檔編號G06F21/00GK101350049SQ200710029168
公開日2009年1月21日 申請日期2007年7月16日 優先權日2007年7月16日
發明者輝 姚, 敏 李, 李偉健, 凱 肖, 閩 趙 申請人:珠海金山軟件股份有限公司