[发明专利]恶意应用程序的检测方法、装置、存储介质及处理器在审
| 申请号: | 202111365093.4 | 申请日: | 2021-11-17 |
| 公开(公告)号: | CN114021115A | 公开(公告)日: | 2022-02-08 |
| 发明(设计)人: | 许勇;贺志强;归光宗 | 申请(专利权)人: | 山石网科通信技术股份有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京康信知识产权代理有限责任公司 11240 | 代理人: | 黄海英 |
| 地址: | 215163 江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 应用程序 检测 方法 装置 存储 介质 处理器 | ||
1.一种恶意应用程序的检测方法,其特征在于,包括:
在沙箱系统中对目标应用程序进行处理,得到所述目标应用程序的目标信息;
根据所述目标信息匹配所述目标应用程序对应的目标虚拟机,其中,所述目标虚拟机至少包含目标文件夹;
基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果;
根据所述分析结果确定所述目标应用程序是否为恶意软件。
2.根据权利要求1所述的方法,其特征在于,基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果包括:
在所述目标文件夹中存放目标可执行文件,其中,所述目标可执行文件为多个,其中,所述目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;
通过所述目标应用程序对所述目标可执行文件进行访问,获取访问结果;
对所述访问结果进行分析,得到分析结果,其中,所述分析结果至少包括:所述目标可执行文件被篡改的次数、所述目标可执行文件的存放路径。
3.根据权利要求2所述的方法,其特征在于,根据所述分析结果确定所述目标应用程序是否为恶意软件包括:
若所述分析结果中指示所述目标可执行文件被篡改的次数大于预设数值,或者,若所述分析结果中指示所述目标应用程序中包含所述目标可执行文件,则确定所述目标应用程序为恶意软件。
4.根据权利要求3所述的方法,其特征在于,在根据所述分析结果确定所述目标应用程序是否为恶意软件之前,所述方法还包括:
设置目标文件夹中不同类型的目标可执行文件的数量;
根据每种类型的可执行文件的数量确定所述预设数值。
5.根据权利要求1所述的方法,其特征在于,所述目标信息至少包括运行所述目标应用程序所需的平台信息、所述目标应用程序的文件类型信息。
6.根据权利要求1所述的方法,其特征在于,在根据所述分析结果确定所述目标应用程序是否为恶意软件之后,所述方法还包括:
在所述分析结果指示所述目标应用程序为所述恶意软件的情况下,通过所述沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
7.一种恶意应用程序的检测装置,其特征在于,包括:
第一处理单元,用于在沙箱系统中对目标应用程序进行处理,得到所述目标应用程序的目标信息;
第一匹配单元,用于根据所述目标信息匹配所述目标应用程序对应的目标虚拟机,其中,所述目标虚拟机至少包含目标文件夹;
第一分析单元,用于基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果;
第一确定单元,用于根据所述分析结果确定所述目标应用程序是否为恶意软件。
8.根据权利要求7所述的装置,其特征在于,所述第一分析单元包括:
第一存放模块,用于在所述目标文件夹中存放目标可执行文件,其中,所述目标可执行文件为多个,其中,所述目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;
第一访问模块,用于通过所述目标应用程序对所述目标可执行文件进行访问,获取访问结果;
第一分析模块,用于对所述访问结果进行分析,得到分析结果,其中,所述分析结果至少包括:所述目标可执行文件被篡改的次数、所述目标可执行文件的存放路径。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至6中任意一项所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于山石网科通信技术股份有限公司,未经山石网科通信技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111365093.4/1.html,转载请声明来源钻瓜专利网。
