[发明专利]一种基于云安全的恶意软件追踪方法

权利要求书

1.一种追踪软件的方法，包括：

记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库，所述文件具有与该软件相同的记录标识；以及，记录从网络中下载至所述设备中的下载文件的信息及该下载文件的记录标识至第二数据库；

当设备中的软件被启动时，查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件；

若所述软件为需要追踪的软件，根据在查询第一数据库和/或第二数据库时获知的该软件的记录标识，从第二数据库中获取对应的下载文件的信息，得到指示所述软件的源头的追踪信息；以及，将所述软件在设备本地生成的文件的信息记录在第一数据库中，并为该文件设置与所述软件相同的记录标识。

2.根据权利要求1所述的方法，其中，所述将所述软件在设备本地生成的文件的信息记录在第一数据库中包括：

提取所述文件的文件路径中的各级文件目录，按照预定算法对提取出的每一级文件目录对应的字符串进行运算，将各级文件目录的运算值组合在一起得到该文件的文件指纹；

将所述文件的信息记录在第一数据库中该文件的文件指纹所指示的位置。

3.根据权利要求2所述的方法，其中，所述查询第一数据库和/或第二数据库判断该软件是否为待追踪软件包括：

判断所述软件的进程链上是否存在至少一个进程的相关文件被记录在所述第一数据库和/或第二数据库中，若是，确认所述软件为需要追踪的软件，若否，确认所述软件不是需要追踪的软件。

4.根据权利要求3所述的方法，其中，所述进程的相关文件包括进程的exe文件，以及，当所述进程是通过快捷方式启动时，所述进程的相关文件包括快捷方式文件；当所述进程为批处理进程时，所述进程的相关文件包括批处理文件；当进程为脚本进程时，所述进程的相关文件包括脚本文件；当所述进程为rundll32或regsvr32进程时，所述进程的相关文件包括相关的动态链接库DLL文件；当所述为解压缩进程时，所述相关文件包括解压缩文件。

5.根据权利要求3所述的方法，其中，所述查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件包括：

提取所述软件的进程链上当前进程的当前文件的文件路径中的各级文件目录，按照预定算法对提取出的每一级文件目录对应的字符串进行运算，将各级文件目录的运算值组合在一起得到该当前文件的查询值；

利用所述查询值对第一数据库中的文件指纹进行匹配；

当匹配成功时，确认所述软件为需要追踪的软件；

当匹配失败时，在第二数据库中查询所述当前文件，当查询到所述当前文件时，确认所述软件为需要追踪的软件；否则，确认所述软件不是需要追踪的软件。

6.根据权利要求2所述的方法，其中，所述将所述软件在设备本地生成的文件的信息记录在第一数据库中包括：

监控设备本地软件的进程创建操作，获取被创建进程执行时的命令行参数；

解析所述被创建进程执行的命令行参数，根据所述被创建进执行时的命令行参数判断所述被创建进程是否为解压缩进程；

如果是，则通知驱动程序记录该解压缩进程生成的信息至第一数据库。

7.根据权利要求1所述的方法，其中，所述方法还包括：

当所述软件在设备本地生成的文件包括可执行文件时，监控所述可执行文件的进程创建操作，若监控到进程创建操作，则判断该可执行文件的进程在运行过程中是否执行了可疑操作；

如果是，则至少将所述可执行文件的追踪信息发送到安全扫描器或云安全服务器，供安全扫描器或云安全服务器进行检测判断；

根据所述安全扫描器或云安全服务器返回的结果，确定对所述可执行文件进行放行、拦截或提示。

8.根据权利要求1所述的方法，其中，所述方法还包括：

当所述软件在设备本地生成的文件包括可执行文件时，监控所述可执行文件的进程创建操作，若监控到进程创建操作，则通知驱动程序监控该可执行文件进程加载的DLL文件，并记录在内存中所述可执行文件进程的相关数据结构中；

如果该可执行文件进程执行的操作包括可疑操作，则通过安全扫描器对该可执行文件进程加载的DLL进行检查；

根据检查结果，确定是否修改该可执行文件进程的安全等级，以及根据所述可执行文件的安全等级决定放行、拦截或提示。