【技术实现步骤摘要】
病毒文件的识别方法、装置、设备及存储介质
本申请涉及计算机
,特别涉及一种病毒文件的识别方法、装置、设备及存储介质。
技术介绍
病毒文件是指插入有恶意代码的计算机文件。终端存储或安装病毒文件后,当终端的运行环境满足恶意代码的触发条件时,会产生相应的破坏行为,例如病毒文件被启动时破坏终端功能,或终端的系统时钟到达预定时刻时窃取用户数据等。为了降低病毒文件对用户的侵害,终端需要对存储的文件进行识别。当确定终端中存储的文件中具有病毒文件后,需要对病毒文件进行隔离或删除。相关技术中,病毒文件的识别是由技术人员对目标文件进行逆向分析实现的。由于部分目标文件被加密,技术人员难以对加密的目标文件进行分析,因此相关技术中在识别加密的病毒文件时的效率较低。
技术实现思路
本申请实施例提供了一种病毒文件的识别方法、装置、设备及存储介质,用以解决相关技术中病毒文件的识别方法并不准确的问题。所述技术方案如下:一方面,本申请实施例提供了一种病毒文件的识别方法,所述方法包括:获取目标文件在运行过程中的桩点数据,所述桩点数据包括所述目标文件调用的应用程序编程接口API以及所述目标文件调用所述...
【技术保护点】
1.一种病毒文件的识别方法,其特征在于,所述方法包括:获取目标文件在运行过程中的桩点数据,所述桩点数据包括所述目标文件调用的应用程序编程接口API以及所述目标文件调用所述API时传输的内容;根据所述桩点数据生成所述至少一个目标文件中每个目标文件的行为序列;将所述行为序列与标准特征序列匹配的目标文件确定为病毒文件,所述标准特征序列是根据样本病毒文件的桩点数据计算得到的。
【技术特征摘要】
1.一种病毒文件的识别方法,其特征在于,所述方法包括:获取目标文件在运行过程中的桩点数据,所述桩点数据包括所述目标文件调用的应用程序编程接口API以及所述目标文件调用所述API时传输的内容;根据所述桩点数据生成所述至少一个目标文件中每个目标文件的行为序列;将所述行为序列与标准特征序列匹配的目标文件确定为病毒文件,所述标准特征序列是根据样本病毒文件的桩点数据计算得到的。2.根据权利要求1所述的方法,其特征在于,所述获取目标文件在运行过程中的桩点数据,包括:在虚拟操作系统中安装所述目标文件;在所述虚拟操作系统中运行所述目标文件;获取所述目标文件在所述虚拟操作系统中运行过程中的所述桩点数据,所述桩点数据包括所述目标文件调用所述虚拟操作系统的API以及所述目标文件调用所述API时传输的内容。3.根据权利要求2所述的方法,其特征在于,所述获取所述目标文件在所述虚拟操作系统中运行过程中的所述桩点数据,包括:通过钩子Hook技术向所述虚拟操作系统的源代码中注入自定义代码;通过所述自定义代码将所述源代码中的预设函数替换为自定义函数;通过所述自定义函数截获所述目标文件调用所述预设函数对应的API以及所述目标文件调用预设函数对应的API时传输的内容,获得所述每个目标文件的所述桩点数据。4.根据权利要求2所述的方法,其特征在于,所述获取所述目标文件在所述虚拟操作系统中运行过程中的所述桩点数据,包括:通过所述虚拟操作系统中的自定义函数截获所述目标文件调用所述预设函数对应的API以及所述目标文件调用预设函数对应的API时传输的内容,获得所述每个目标文件的所述桩点数据。5.根据权利要求1或2所述的方法,其特征在于,所述桩点数据还包括所述目标文件调用所述API的时间戳,所述根据所述桩点数据生成所述至少一个目标文件中每个目标文件的行为序列,包括:根据所述目标文件调用的所述API以及所述目标文件调用所述API时传输的内容,按照所述目标文件调用所述API的时间戳的先后顺序,生成所述每个目标文件的行为序列。6.根据权利要求2所述的方法,其特征在于,所述方法还包括:每隔预设时间间隔在所述虚拟操作系统中执行模拟触发事件,所述模拟触发事件是在所述虚拟操作系统中模拟的对所述虚拟操作系统或所述目标文件的操作的事件;获取所述目标文件在执行所述模拟触发事件后的桩点数据。7.根据权利要求6所述的方法,其特征在于,所述每隔预设时间间隔在所述虚拟操作系统中执行模拟触发事件,包括:每隔所述预设时间间隔通过所述虚拟操作系统中的可接入服务插件执行所述模拟触发事件;或,每隔所述预设时间间隔通过所述虚拟操作系统中的测试工具执行所述模拟触发事件。8.根据权利要求2所述的方法,其特征在于,所述在虚拟操作系统中运行所述目标文件,包括:在至少一个版本的虚拟操作系统中...
【专利技术属性】
技术研发人员:陈伟平,易洪,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。