[发明专利]检测文件中的恶意代码的系统和方法

说明书

本发明涉及一种检测文件中的恶意代码的系统和方法。一个示例性方法包括：在执行从计算设备的文件启动的进程期间，通过处理器拦截一个或多个应用程序接口(API)调用；通过处理器确定和检测进程的退出条件的存在；响应于检测到退出条件，识别一个或多个第一类型的签名以及将计算设备的一个或多个保存的存储器信息转储转移到模拟器用于执行；以及至少基于所转移的计算设备的存储器信息转储的执行结果，响应于检测一个或多个第二类型的签名，确定和识别文件中的恶意代码。

技术领域

本发明总体涉及数据安全性领域，更具体地涉及检测文件中的恶意代码的系统和方法。

背景技术

传统的签名分析并不总是能够检测恶意文件，尤其是多形态病毒、恶意文件的变型版本、以及溢出代码。因此，现代防病毒应用程序另外使用所谓的“沙盒”-用于安全执行进程的计算机环境进行扫描。例如，基于文件系统和注册表的部分虚拟化、基于文件系统和注册表的访问规则、或者基于混合方法，沙盒能够以虚拟机的形式实现。在沙盒中执行正被扫描的文件。作为从文件启动的进程执行的结果而发生的事件可通过拦截由该进程和操作系统(OS)两者所执行的各种程序而保存在日志中。防病毒应用程序然后可分析所生成的日志。该日志通常保存API(应用程序接口)函数调用，其已经在执行期间被所提到的进程进行；以及保存来自所调用的API函数的返回(在返回地址处的控制权转移)。在沙盒中执行文件通常发生在限制的时段内(高达几十秒)，这是因为在沙盒中执行文件和通过防病毒应用程序拦截API函数调用明显地减缓了文件的执行速度。同时，当在沙盒中执行包含溢出代码的文件时，其通过分析API函数调用日志的检测可能是困难的。这是因为溢出代码可被加载到进程的存储器中，但是与应被转移到包含溢出代码的存储器区段的控制相比，在沙盒中执行进程被更早地终止。在这种情况下，需要保存和分析存储器信息转储。

现有技术的分析得出如下结论：采用先前的技术可能是无效的且在一些情况下是不可行的，该先前的技术的缺陷可通过本发明、即用于检测文件中的恶意代码的系统和方法得以解决。

发明内容

公开了用于检测文件中的恶意代码的系统和方法。在一个示例性方面中，一种用于检测文件中的恶意代码的计算机实施的方法，所述方法包括：在执行从计算设备的文件启动的进程期间，通过处理器拦截一个或多个应用程序接口(API)调用；通过所述处理器确定和检测所述进程的退出条件的存在；响应于检测所述退出条件，识别一个或多个第一类型的签名以及将所述计算设备的一个或多个保存的存储器信息转储转移到模拟器用于执行；以及至少基于所转移的所述计算设备的所述存储器信息转储的执行结果，响应于检测一个或多个第二类型的签名，确定和识别所述文件中的恶意代码。

在另一示例性方面中，所述方法还包括：经由在所述计算设备上安装的防病毒应用程序的控制，在所述计算设备的虚拟机中执行从所述文件启动的所述进程；和确定拦截的所述API调用的连续记录并且将其存储在所述计算设备的所述虚拟机的第一日志中。通过所述处理器确定和检测所述进程的所述退出条件的存在包括检测以下项中的至少一者：所述进程已经完成的指示；指定的时段已经过去；由所述进程执行的指令的数目已经超过选择的阈值；或者检测到的可疑事件的数目已经超过选择的阈值。

在又一示例性方面中，所述方法还包括：基于拦截的所述API调用，检测在执行所述进程期间发生的一个或多个可疑事件；以及响应于检测所述一个或多个可疑事件和将拦截的所述API调用的连续记录存储到所述第一日志中，将所述进程的存储器信息转储存储在所述计算设备的所述虚拟机的数据库中。至少基于在所述第一日志中的所述连续记录，执行识别所述一个或多个第一类型的签名，各个所述第一类型的签名包括数据结构，所述数据结构包含具有与拦截的所述API调用或者检测的所述一个或多个可疑事件有关的信息的至少一个记录。