[发明专利]检测文件中的恶意代码的系统和方法

权利要求书

1.一种用于检测文件中的恶意代码的计算机实施的方法，所述方法包括：

在执行从计算设备的文件启动的进程期间，通过处理器拦截一个或多个应用程序接口API函数调用；

通过所述处理器检测所述进程的退出条件的满足，其中，所述退出条件是基于分配给多个类型的可疑事件的权重；

响应于检测所述退出条件，识别一个或多个第一类型的签名以及将所述计算设备的一个或多个保存的存储器信息转储转移到模拟器用于执行，其中，所述一个或多个第一类型的签名中的签名包括用于包含关于以下项的信息的至少一个记录的数据结构：所拦截的API函数调用，可疑事件或对所述至少一个记录强加的条件；以及

至少基于所转移的所述计算设备的所述存储器信息转储的执行结果，响应于检测一个或多个第二类型的签名，识别所述文件中的恶意代码，其中，所述一个或多个第二类型的签名中的签名包括用于包含关于以下项的信息的至少一个记录的数据结构：所拦截的API函数调用，处理器指令，所述处理器的内部状态的快照，可疑事件，或对所述至少一个记录强加的条件。

2.根据权利要求1所述的计算机实施的方法，还包括：经由在所述计算设备上安装的防病毒应用程序的控制，在所述计算设备的虚拟机中执行从所述文件启动的所述进程。

3.根据权利要求2所述的计算机实施的方法，还包括：确定拦截的所述API函数调用的连续记录并且将其存储在所述计算设备的所述虚拟机的第一日志中。

4.根据权利要求1所述的计算机实施的方法，其中，通过所述处理器确定和检测所述进程的所述退出条件的存在包括检测以下项中的至少一者：所述进程已经完成的指示；指定的时段已经过去；由所述进程执行的指令的数目已经超过选择的阈值；或者检测到的可疑事件的数目已经超过选择的阈值。

5.根据权利要求3所述的计算机实施的方法，还包括：

基于拦截的所述API函数调用，检测在执行所述进程期间发生的一个或多个可疑事件；以及

响应于检测所述一个或多个可疑事件和将拦截的所述API函数调用的连续记录存储到所述第一日志中，将所述进程的存储器信息转储存储在所述计算设备的所述虚拟机的数据库中。

6.根据权利要求5所述的计算机实施的方法，其中，至少基于在所述第一日志中的所述连续记录，执行识别所述一个或多个第一类型的签名，各个所述第一类型的签名包括用于包含针对关于拦截的所述API函数调用或者检测的所述一个或多个可疑事件的信息的所述至少一个记录的所述数据结构。

7.根据权利要求1所述的计算机实施的方法，其中，在所述模拟器中执行转移的所述计算设备的一个或多个保存的存储器信息转储包括：

反汇编在所述一个或多个保存的存储器信息转储中包含的一个或多个可执行代码；

在所述模拟器的虚拟环境中执行所述一个或多个可执行代码；

在执行所述一个或多个可执行代码期间确定到所述一个或多个API函数调用的地址的跳转；以及

将所述一个或多个API函数调用的记录相继保持在第二日志中。

8.根据权利要求7所述的计算机实施的方法，其中，在所述第二日志中的各个记录包含与以下项有关的信息：被调用的API函数的名称；从对应的文件启动的所述进程的唯一标识符PID；执行所述进程的地址空间的指令的线程的唯一标识符TID；以及所述API函数的参数的集合。

9.根据权利要求7所述的计算机实施的方法，其中，所述第二日志配置成保持和记录所述模拟器的执行轨迹，所述执行轨迹包括正在所述处理器上执行的不间断的指令序列以及所述处理器在执行各个指令时的内部状态的快照。

10.根据权利要求9所述的计算机实施的方法，其中，所述一个或多个第二类型的签名包括包含所述第二日志中的所述记录的至少一者的所述数据结构。