The invention discloses an unknown malicious code from the start and system identification methods include: running malicious code unknown startup items based on the extracted feature information and records the malicious code, generating module set; monitoring system restart new malicious code release reload module in operation, any judgment module collection module in the registry, the module of any self starting behavior extraction sampling information; scanning system restart process or run-time memory, judgment module collection module in any process or in memory, the module of any self starting behavior extraction sampling information; prompt the behavior of the self starting. The invention solves the technical problems of the prevention and identification of unknown startup items in the prior art and the inadequate response method.
【技术实现步骤摘要】
一种恶意代码未知自启动识别方法及系统
本专利技术涉及计算机安全
,更具体地涉及一种恶意代码未知自启动识别方法及系统。
技术介绍
随着网络和计算技术的快速发展,恶意代码的启动方式在逐渐增强,同时互联网的开发性也加快了恶意代码自启动技术的传播,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此目前网络上流行的恶意代码启动方式层次不穷,种类繁多,特点多样化。通常,需要恶意代码分析人员对于未知的恶意代码样本进行恶意程序信息结构上的识别、受害者系统中的特征监控识别、动态调试中的样本代码识别、以及反编译样本的深度行为识别来提取恶意代码未知自启动。对于处理到的结果也需要人工进行筛选和整理,最终梳理判别出是否为未知的自启动操作,整个过程非常的耗费时间和精力。目前的病毒样本的自启动方式主要分为已知的启动目录启动、WIN.ini等配置文件启动、注册表启动、脚本启动、驱动文件启动、创建服务启动、劫持系统进程启动、文件关联启动等自启动方式。目前,对于未知的启动项的预防与识别响应方法不够完善。
技术实现思路
为了解决上述技术问题,提供了根据本专利技术的一种恶意代码未知自启动识别方法及系统。根据本专利技术的第一方面,提供了一种恶意代码未知自启动识别方法。该方法包括:基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行 ...
【技术保护点】
一种恶意代码未知自启动识别方法,其特征在于,包括:基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;对所述自启动行为进行提示。
【技术特征摘要】
1.一种恶意代码未知自启动识别方法,其特征在于,包括:基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;对所述自启动行为进行提示。2.根据权利要求1所述的方法,其特征在于,所述方法包括:将所述取样信息与已知的自启动样本库进行比外,若未匹配到,则所述取样信息对应自启动行为为未知自启动行为,整理所述取样信息入库。3.根据权利要求1所述的方法,其特征在于,所述提示是通过日志记录标识为未知自启动行为。4.根据权利要求1或2所述的方法,其特征在于,所述取样信息包括加载所述任一模块的程序加载行为信息、加载所述任一模块的内存数据、所述任一模块的内存数据。5.根据权利要求1所述的方法,其特征在于,所述特征信息包括进程结构体信息、模块调用信息、DLL调用信息、句柄调用信息、父子进程信息、堆栈调用信息、注册表中变化的键值信息、系统文件的hash值。6.一种恶意代码未知自启动识别系统,其特...
【专利技术属性】
技术研发人员:康学斌,邓琮,董建武,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。