The invention relates to the computer field, in particular to a method and a device for detecting malicious programs. In order to improve the killing ability of the new virus. The method is that the sample to run in a sandbox system, all kinds of samples and the associated process program for real-time monitoring, access state information records of all the associated process, determine any associated process permission to get a promotion, judging program samples for malicious programs. This feature, security vulnerabilities can not rely on the known malicious program detection, even for the new advanced threat, also can accurately define what procedures for samples of malicious programs, greatly enhance the success rate of unknown virus detection.
【技术实现步骤摘要】
本申请涉及计算机领域,特别涉及一种恶意程序检测的方法及装置。
技术介绍
随机计算机技术的发展,各种病毒程序也日益增多,为了保证计算机系统的安全,病毒查杀技术需要得到有效发展。目前,传统的基于特征码的静态反病毒查杀的方式无法解决当前日益增多的高级威胁,只能解决已知的病毒威胁,对于日益变化的新型病毒却无能为力。如,现有的杀毒软件对于提权类的病毒样本检测只能根据具体的安全漏洞提取特征,并且依据提取特征进行检测,因此只能检测出利用已经公开的提权类安全漏洞的病毒样本,无法解决检测出利用未知的提权类安全漏洞。因此,需要对病毒查杀技术作出进一步强化。
技术实现思路
本申请实施例提供一种恶意程序检测的方法及装置,用以提高对新型高级病毒的查杀能力。本申请实施例提供的具体技术方案如下:一种恶意程序检测的方法,包括:采用普通权限运行程序样本,确定程序样本运行过程中产生的关联进程;每确定一个关联进程,对当前确定的一个关联进程的运行状态进行监控,并按照设定周期记录所述当前确定的一个关联进程的权限状态信息;基于记录的所有关联进程的权限状态信息,当确定任意一关联进程的权限等级得到提升时,判定所述程序样本为恶意程序。较佳的,所述关联进程至少包括以下进程中的一种或任意组合:所述程序样本自身所调用的进程;所述程序样本在运行过程中创建的新进程;在所述程序样本运行过程中,被所述程序样本注入恶意代码的进程。较佳的,确定一个关联进程后,对所述一个关联进程的运行状态进行监控,并按照设定周期记录所述一个关联进程的权限状态信息,包括:确定所述一个关联进程后,在所述一个关联进程中注入预设的监控代码,通过所述监 ...
【技术保护点】
一种恶意程序检测的方法,其特征在于,包括:采用普通权限运行程序样本,确定程序样本运行过程中产生的关联进程;每确定一个关联进程,对当前确定的一个关联进程的运行状态进行监控,并按照设定周期记录所述当前确定的一个关联进程的权限状态信息;基于记录的所有关联进程的权限状态信息,当确定任意一关联进程的权限等级得到提升时,判定所述程序样本为恶意程序。
【技术特征摘要】
1.一种恶意程序检测的方法,其特征在于,包括:采用普通权限运行程序样本,确定程序样本运行过程中产生的关联进程;每确定一个关联进程,对当前确定的一个关联进程的运行状态进行监控,并按照设定周期记录所述当前确定的一个关联进程的权限状态信息;基于记录的所有关联进程的权限状态信息,当确定任意一关联进程的权限等级得到提升时,判定所述程序样本为恶意程序。2.如权利要求1所述的方法,其特征在于,所述关联进程至少包括以下进程中的一种或任意组合:所述程序样本自身所调用的进程;所述程序样本在运行过程中创建的新进程;在所述程序样本运行过程中,被所述程序样本注入恶意代码的进程。3.如权利要求1或2所述的方法,其特征在于,确定一个关联进程后,对所述一个关联进程的运行状态进行监控,并按照设定周期记录所述一个关联进程的权限状态信息,包括:确定所述一个关联进程后,在所述一个关联进程中注入预设的监控代码,通过所述监控代码对所述一个关联进程的运行状态进行监控,以及通过所述监控代码定期调用系统应用程序接口API,读取并记录所述一个关联进程的权限状态信息。4.如权利要求1或2所述的方法,其特征在于,确定一个关联进程后,对所述一个关联进程的运行状态进行监控,并按照设定周期记录所述一个关联进程的权限状态信息,包括:确定所述一个关联进程后,通过应用层程序对所述一个关联进程的运行状态进行监控,以及通过系统内核进程数据结构中预设的系统API,读取并记录所述一个关联进程的权限状态信息。5.如权利要求1所述的方法,其特征在于,基于记录的所有关联进程的
\t权限状态信息,确定任意一关联进程的权限等级得到提升时,判定所述程序样本为恶意程序,包括:基于记录的所有关联进程的权限状态信息,确定任意一关联进程的权限等级相较上一次的记录结果等级提高时,直接判定所述程序样本为恶意程序;或者,基于记录的所有关联进程的权限状态信息,确定任意一关联进程的权限等级相较上一次的记录结果等级提高至预设等级范围时,判定所述程序样本为恶意程序。6.一种恶意程序检测的装置,其特征在于,包...
【专利技术属性】
技术研发人员:王云翔,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。