[发明专利]一种基于虚拟机动态执行的恶意软件检测分析方法与装置在审
| 申请号: | 201710910162.2 | 申请日: | 2017-09-29 |
| 公开(公告)号: | CN107590382A | 公开(公告)日: | 2018-01-16 |
| 发明(设计)人: | 吴栋;范渊 | 申请(专利权)人: | 杭州安恒信息技术有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京超凡志成知识产权代理事务所(普通合伙)11371 | 代理人: | 苏胜 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 虚拟机 动态 执行 恶意 软件 检测 分析 方法 装置 | ||
1.一种基于虚拟机动态执行的恶意软件检测分析方法,其特征在于,所述基于虚拟机动态执行的恶意软件检测分析方法包括:
加载并动态执行待检测软件;
记录所述待检测软件在动态执行状态下的日志;
对所述日志进行行为分析,并获取分析后的行为结果;
对所述分析后的行为结果进行展现。
2.如权利要求1所述的基于虚拟机动态执行的恶意软件检测分析方法,其特征在于,所述记录所述待检测软件在动态执行状态下的日志的步骤包括:
检测在所述待检测软件在动态执行状态下所运行的所有的函数与函数参数;
记录所述函数与函数参数。
3.如权利要求2所述的基于虚拟机动态执行的恶意软件检测分析方法,其特征在于,所述函数至少包括CreateFileW、WinExec、CreateProcessInternalW、CreateRemoteThread。
4.如权利要求1所述的基于虚拟机动态执行的恶意软件检测分析方法,其特征在于,所述行为包括进程行为、注册表行为、网络行为、文件行为以及可疑行为,所述进程行为用于对进程进行分析,所述注册表行为用于对注册表进行分析,所述网络行为用于对网络进行分析,所述文件行为用于对文件进行分析,所述可疑行为用于罗列出特殊的行为。
5.如权利要求4所述的基于虚拟机动态执行的恶意软件检测分析方法,其特征在于,所述进程行为、注册表行为、网络行为以及文件行为均通过对相关的函数进行分析。
6.一种基于虚拟机动态执行的恶意软件检测分析装置,其特征在于,所述基于虚拟机动态执行的恶意软件检测分析装置包括:
动态执行单元,用于加载并动态执行待检测软件;
日志记录单元,用于记录所述待检测软件在动态执行状态下的日志;
行为分析单元,用于对所述日志进行行为分析,并获取分析后的行为结果;
展现单元,用于对所述分析后的行为结果进行展现。
7.如权利要求6所述的基于虚拟机动态执行的恶意软件检测分析装置,其特征在于,所述日志记录单元包括:
检测模块,用于检测在所述待检测软件在动态执行状态下所运行的所有的函数与函数参数;
记录模块,用于记录所述函数与函数参数。
8.如权利要求7所述的基于虚拟机动态执行的恶意软件检测分析装置,其特征在于,所述函数至少包括CreateFileW、WinExec、CreateProcessInternalW、CreateRemoteThread。
9.如权利要求6所述的基于虚拟机动态执行的恶意软件检测分析装置,其特征在于,所述行为包括进程行为、注册表行为、网络行为、文件行为以及可疑行为,所述进程行为用于对进程进行分析,所述注册表行为用于对注册表进行分析,所述网络行为用于对网络进行分析,所述文件行为用于对文件进行分析,所述可疑行为用于罗列出特殊的行为。
10.如权利要求9所述的基于虚拟机动态执行的恶意软件检测分析装置,其特征在于,所述进程行为、注册表行为、网络行为以及文件行为均通过对相关的函数进行分析。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术有限公司,未经杭州安恒信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710910162.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种瓷砖抛光设备的数控自动上料机构
- 下一篇:一种钻床使用的羊毛磨棒抛光机构
