[发明专利]一种恶意程序检测的方法和装置有效
| 申请号: | 201310052000.1 | 申请日: | 2013-02-17 |
| 公开(公告)号: | CN103150506B | 公开(公告)日: | 2016-03-30 |
| 发明(设计)人: | 张聪 | 申请(专利权)人: | 北京奇虎科技有限公司;奇智软件(北京)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/53 |
| 代理公司: | 北京润泽恒知识产权代理有限公司 11319 | 代理人: | 赵娟 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种恶意程序检测的方法和装置,其中,所述的方法包括:启动虚拟机,在所述虚拟机中运行样本程序;获取所述样本程序在虚拟机中执行指定操作的信息,所述执行指定操作的信息包括所述执行指定操作的对象数据;检测所述对象数据是否存在预置的恶意特征数据;若检测到所述对象数据存在预置的恶意特征数据,则判定所述样本程序为恶意程序。本发明可以降低主机感染的风险,降低恶意程序的误报率,降低新型恶意程序的漏报率。 | ||
| 搜索关键词: | 一种 恶意程序 检测 方法 装置 | ||
【主权项】:
一种恶意程序检测的方法,包括:预先定义已知的针对硬盘的主引导记录MBR的病毒的特征码;所述特征码包括预置的恶意特征数据和预置的非恶意特征数据;启动虚拟机,在所述虚拟机中运行样本程序;获取所述样本程序在虚拟机中执行指定操作的信息,所述执行指定操作的信息包括所述执行指定操作的对象数据;所述指定操作包括样本程序在虚拟机内针对磁盘的写操作,所述执行指定操作的对象数据为所述写操作对应的数据;所述执行指定操作的信息还包括,写操作对应的磁盘扇区号,写操作对应的数据写入的磁盘镜像文件的信息,写操作对应的数据在磁盘镜像文件中的位置信息,以及,磁盘镜像文件索引;所述获取样本程序在虚拟机中执行指定操作的信息的步骤包括:获取所述写操作对应的磁盘扇区号;获取所述写操作对应的数据;将所述写操作对应的数据写入磁盘镜像文件,并记录所述写操作对应的数据在磁盘镜像文件当中的位置信息;将所述磁盘扇区号和位置信息写入所述磁盘镜像文件的索引;检测所述对象数据是否存在预置的恶意特征数据;所述检测对象数据是否存在预置的恶意特征数据的步骤在所述样本程序在虚拟机中运行完毕后执行,具体包括:针对指定的一个或多个扇区,判断在所述磁盘镜像文件的索引中是否存对应的磁盘扇区号,若是,则依据所述磁盘扇区号和位置信息在磁盘镜像文件中提取相应位置的写操作对应的数据,并存储至预设转储文件中;检测所述预设转储文件中的数据是否存在预置的恶意特征数据;若检测到所述对象数据存在预置的恶意特征数据,则判定所述样本程序为恶意程序。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;奇智软件(北京)有限公司,未经北京奇虎科技有限公司;奇智软件(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310052000.1/,转载请声明来源钻瓜专利网。
- 上一篇:带张紧装置的带式输送机卸煤机构
- 下一篇:一种灾害风险等级划分方法
