本发明专利技术提供了一种文件行为分析方法及装置,该方法包括:获取样本文件的操作记录信息,该操作记录信息包括以下至少之一:样本文件运行期间的应用程序编程接口API调用记录,样本文件运行前后的文件快照,其中,样本文件是待分析的文件,文件快照是样本文件所处系统中的文件的快照;根据操作记录信息获取样本文件对系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析样本文件的行为。本发明专利技术解决了相关技术中对文件行为的分析存在的问题,进而能够比较准确地分析出文件的操作行为。
【技术实现步骤摘要】
【专利摘要】本专利技术提供了一种文件行为分析方法及装置,该方法包括:获取样本文件的操作记录信息,该操作记录信息包括以下至少之一:样本文件运行期间的应用程序编程接口API调用记录,样本文件运行前后的文件快照,其中,样本文件是待分析的文件,文件快照是样本文件所处系统中的文件的快照;根据操作记录信息获取样本文件对系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析样本文件的行为。本专利技术解决了相关技术中对文件行为的分析存在的问题,进而能够比较准确地分析出文件的操作行为。【专利说明】文件行为分析方法及装置
本专利技术涉及计算机领域,具体而言,涉及一种文件行为分析方法及装置。
技术介绍
由于目前篡改系统文件或者感染用户文件的病毒一直不断出现,这种病毒对操作系统的安全构成了威胁。 相关技术中,对文件是否感染病毒的分析是通过文件特征值匹配识别病毒或者被感染文件。这种文件分析方法通过将程序、代码、数据中的部分或全部程序、代码、数据的特征数据信息与已有的特征数据信息进行比对,来判断程序、代码、数据是否为病毒。当程序、代码、数据为已出现的脚本病毒时,通过文件特征值进行匹配能够准确识别即匹配到。这种方式是一种明文比对的方式。 但是,通过文件特征值匹配识别病毒或者被感染文件存在如下问题:由于其基于已有特征数据信息进行比对,因此,该比对方式依赖于已有的特征数据信息的完整性。例如,这种方法无法识别病毒变种,对于识别部分加壳、加花或者混淆处理的病毒文件以及对于新病毒的识别也有非常大的困难,其中,加壳是指对可执行文件资源进行压缩,运行时自动解压缩运行,而静态反汇编无法查看被压缩的信息;加花是指在正常程序指令中间插入用于干扰反汇编器但是不影响程序运行的指令,可能是一些跳转或者一些无效代码;混淆处理是指将程序内部的一些可能存在的内部带有语义信息的内容替换为无意义信息的内容,比如将一些内部变量或者函数名等替换为不可读信息。另外,由于特征码提取的方式为提取部分已知样本中部分或者全部提取的代码段特征,因此可能会漏掉病毒的关键特征,甚至提取到正常文件特征。 针对相关技术中对文件行为的分析存在的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术的主要目的在于提供一种文件行为分析方法及装置,以解决相关技术中对文件行为的分析存在的问题。 为了实现上述目的,根据本专利技术的一个方面,提供了一种文件行为分析方法,该方法包括:获取样本文件的操作记录信息,所述操作记录信息包括以下至少之一:所述样本文件运行期间的应用程序编程接口(Applicat1n Programming Interface,简称API)调用记录,所述样本文件运行前后的文件快照,其中,所述样本文件是待分析的文件,所述文件快照是所述样本文件所处系统中的文件的快照;根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析所述样本文件的行为。 优选地,根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息包括:根据所述API调用记录确定所述样本文件操作的所述一个或多个文件;根据对所述样本文件运行前后的文件快照的比对确定所述一个或多个文件的文件信息变化;根据所述文件信息变化获取所述样本文件对所述一个或多个文件进行操作的操作行为信息。 优选地,所述API调用记录包括以下至少之一:API参数,API返回值,API组合,API流;和/或所述操作行为信息包括以下至少之一:操作类型,文件类型,文件路径,感染顺序,感染方式,感染标记,其中,所述操作类型包括以下至少之一:读取操作、修改操作、t匕较操作。 优选地,所述文件信息变化包括以下至少之一:文件路径变化,文件哈希变化,文件日期变化,文件大小变化,可执行文件节信息变化,可执行文件的入口点信息变化,可执行文件资源信息变化,文件内容变化,压缩包文件的文件列表变化,所包含文件的文件信息变化。 优选地,获取所述样本文件的操作记录信息之前,所述方法还包括:在所述系统中放置探针文件,其中,所述探针文件是模拟用户存放的用户文件,用于试探所述样本文件的操作行为,所述系统中的文件包括所述探针文件和/或系统文件。 优选地,所述探针文件包括以下至少之一:可执行文件,批处理文件,脚本文件,文本标记语言文件,压缩文件,办公文档文件。 优选地,根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息之后,所述方法还包括:根据所述操作行为信息确定所述样本文件是否为病毒。 优选地,所述方法还包括:在确定所述样本文件是病毒的情况下,识别所述样本文件的感染方式,并根据所述感染方式确定所述样本文件的查杀方式和/或反推出所述一个或多个文件的修复还原方式。 根据本专利技术的另一个方面,提供了一种文件行为分析装置,包括获取模块,用于获取样本文件的操作记录信息,所述操作记录信息包括以下至少之一:所述样本文件运行期间的应用程序编程接口 API调用记录,所述样本文件运行前后的文件快照,其中,所述样本文件是待分析的文件,所述文件快照是所述样本文件所处系统中的文件的快照;分析模块,用于根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析所述样本文件的行为。 优选地,所述分析模块还用于根据所述API调用记录确定所述样本文件操作的所述一个或多个文件,根据对所述样本文件运行前后的文件快照的比对确定所述一个或多个文件的文件信息变化,根据所述文件信息变化获取所述样本文件对所述一个或多个文件进行操作的操作行为信息。 优选地,所述装置还包括探针模块,用于在所述系统中放置探针文件,其中,所述探针文件是模拟用户存放的用户文件,用于试探所述样本文件的操作行为,所述系统中的文件包括所述探针文件和/或系统文件。 优选地,所述装置还包括确定模块,用于根据所述操作行为信息确定所述样本文件是否为病毒。 优选地,所述装置还包括修复模块,用于在确定所述样本文件是病毒的情况下,识别所述样本文件的感染方式,并根据所述感染方式确定所述样本文件的查杀方式和/或反推出所述一个或多个文件的修复还原方式。 通过本专利技术实施例,获取样本文件的操作记录信息,该操作记录信息包括以下至少之一:样本文件运行期间的应用程序编程接口 API调用记录,样本文件运行前后的文件快照,其中,样本文件是待分析的文件,文件快照是样本文件所处系统中的文件的快照,根据操作记录信息获取样本文件对系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析样本文件的行为,解决了相关技术中对文件行为的分析存在的问题,进而达到了能够比较准确地分析出文件的操作行为的效果。 【专利附图】【附图说明】 构成本申请的一部分的附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中: 图1是根据本专利技术实施例的一种文件行为分析方法的流程图; 图2是根据本专利技术实施例的一种文件保护方法的流程图; 图3是根据本专利技术实施例的一种文件行为分析装置的结构示意图; 图4是根据本专利技术实施例的一种文件保护装置的结本文档来自技高网...
【技术保护点】
一种文件行为分析方法,其特征在于,包括:获取样本文件的操作记录信息,所述操作记录信息包括以下至少之一:所述样本文件运行期间的应用程序编程接口API调用记录,所述样本文件运行前后的文件快照,其中,所述样本文件是待分析的文件,所述文件快照是所述样本文件所处系统中的文件的快照;根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息,以分析所述样本文件的行为。
【技术特征摘要】
【专利技术属性】
技术研发人员:舒鑫,陈勇,张楠,
申请(专利权)人:贝壳网际北京安全技术有限公司,北京金山网络科技有限公司,北京金山安全软件有限公司,珠海市君天电子科技有限公司,可牛网络技术北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。