[发明专利]BootKit病毒确定方法、装置、计算机设备及介质

权利要求书

1.一种BootKit病毒确定方法，其特征在于，包括：

根据实际引导记录确定感染的是否为已知BootKit病毒；

若感染了已知BootKit病毒，则根据所述已知BootKit病毒的引导区确定存储恶意代码的payload的偏移地址；

根据所述偏移地址从所述实际引导记录中提取得到实际恶意代码，以根据所述实际恶意代码确定感染的BootKit病毒的类型。

2.根据权利要求1所述的BootKit病毒确定方法，其特征在于，根据实际引导记录确定感染的是否为已知BootKit病毒，包括：

从所述实际引导记录中提取得到实际特征；

根据所述实际特征是否与标准引导记录的标准特征一致，确定是否感染了BootKit病毒；

若确定感染了BootKit病毒，则当所述实际特征中包含有已知BootKit病毒的引导区的特征时，确定感染的为已知BootKit病毒。

3.根据权利要求1所述的BootKit病毒确定方法，其特征在于，根据所述实际恶意代码确定感染的BootKit病毒的类型，包括：

动态沙箱设备将所述引导区和所述实际恶意代码在沙箱虚拟机中进行重组，得到重组虚拟机；

云服务器根据所述重组虚拟机执行的各项操作确定感染的BootKit病毒的类型。

4.根据权利要求3所述的BootKit病毒确定方法，其特征在于，动态沙箱设备将所述引导区和所述实际恶意代码在沙箱虚拟机中进行重组，得到重组虚拟机，包括：

所述动态沙箱设备在沙箱中创建得到初始虚拟机；

所述动态沙箱设备将所述引导区和所述实际恶意代码写入所述初始虚拟机的虚拟硬盘中，得到修改后虚拟机；

所述动态沙箱设备重启所述修改后虚拟机，得到所述重组虚拟机。

5.根据权利要求3所述的BootKit病毒确定方法，其特征在于，云服务器根据所述重组虚拟机执行的各项操作确定感染的BootKit病毒的类型，包括：

所述云服务器获取所述重组虚拟机在沙箱中执行的实际操作；

所述云服务器判断所述实际操作是否与已知操作一致；其中，所述已知操作为设备在感染了所述已知BootKit病毒时执行的操作；

若所述实际操作与所述已知操作一致，则所述云服务器确定感染的BootKit病毒仅为所述已知BootKit病毒；

若所述实际操作与所述已知操作不一致，则所述云服务器确定感染的BootKit病毒为所述已知BootKit病毒的变种。

6.根据权利要求3至5所述的BootKit病毒确定方法，其特征在于，还包括：

所述云服务器确定所述已知BootKit病毒的变种与所述已知BootKit病毒的区别特性；

所述云服务器根据所述区别特性调整针对所述已知BootKit病毒的杀毒工具，得到变种专杀工具，以利用所述变种专杀工具去除所述已知BootKit病毒的变种。

7.根据权利要求6所述的BootKit病毒确定方法，其特征在于，在利用所述变种专杀工具去除所述已知BootKit病毒的变种之后，还包括：

从当前的引导记录中提取得到新特征；

根据所述新特征是否与标准引导记录的标准特征一致，验证所述已知BootKit病毒的变种是否被成功去除；

当根据与所述标准特征不一致的新特征确定所述BootKit未被成功去除时，再次运行所述变种专杀工具，直至所述新特征与所述标准特征一致或所述变种专杀工具的重复运行次数超过预设次数。

8.根据权利要求5所述的BootKit病毒的确定方法，其特征在于，所述实际操作包括实际IOCs信息和/或实际行为信息，对应的，所述已知操作包括已知IOCs信息和/或已知行为信息。

9.根据权利要求1所述的BootKit病毒确定方法，其特征在于，当根据所述实际引导记录确定感染的为未知BootKit病毒时，还包括：

通过预设路径上报未知BootKit病毒的提示信息。