本发明专利技术提出了一种发现计算机程序的恶意行为的方法和装置。利用本发明专利技术提出的方法和装置利用了被监视进程集合的概念来分析恶意程序的行为特征。本发明专利技术提出的发现计算机程序的恶意行为的方法包括:监视计算机程序执行的动作;在被监视进程集合库中,搜索与所监视的动作相关的一个进程集合,所述进程集合至少包括在创建关系上相互关联的至少一个可疑进程的信息;如果搜索到所述与所监视的动作相关的进程集合,则根据所述搜索出的进程集合中记载的信息,通过关联性分析判断所监视动作是否属于恶意行为。
【技术实现步骤摘要】
本专利技术涉及计算机防护方法和装置,本专利技术尤其涉及一种根据计 算机程序的行为特征来即时准确地发现计算机程序的恶意行为的方 法和装置。
技术介绍
自1983年世界上第一个计算机病毒出现以来,在二十多年的时 间里,计算机病毒随着计算机及网络技术的发展而不断演化更新。如 今,诸如木马、蠕虫和后门程序的计算机病毒己经不仅能够破坏计算 机系统,还能够盗取用户的账户密码等重要信息,从而严重威胁人们 对计算机的正常使用,甚至可能造成巨大的经济损失。由此,如何防 范病毒入侵已然成为人们最为关注的一个焦点。防范病毒侵袭的一个重要步骤是在病毒实施侵害之前识别出病 毒,即查毒,从而及时采取相应的措施遏制其进一步侵害计算机系统。 目前的杀毒软件普遍使用的査毒方法为特征码扫描。也就是说,利用 从病毒样本中提取出来的特征码对被查文件进行扫描,从而发现并清 除感染病毒的文件。然而,这种传统的查毒方法只有在捕获病毒样本之后才能提取病 毒的特征码,这导致了查毒和杀毒将永远滞后于病毒的发生。例如, 当出现新病毒时,即使用户安装了这种杀毒软件,也会受到侵害,只 有在升级杀毒软件、更新病毒库之后才能得以解决,而这已经严重滞 后于病毒的发生。而今,新的未知病毒和原有病毒的新变种层出不穷,同时还出现 了一些针对这种传统方法的反査毒技术。这些都使得这种传统查毒方 法的滞后缺点越来越显著,而且依赖于这种传统方法的实时监控程序也同于无形。针对传统特征码扫描的缺点,近期,反毒领域提出基于病毒程序 行为特征的计算机防护方法。在这种方法中,通过拦截某一个计算机 程序的动作来分析该动作是否是一个病毒程序发起的。这种计算机防 护方法能够在一定程度上识别出原有病毒的新变种和一些相对简单 的新病毒。但是,对于一些通过调用系统程序或安全程序来实现侵袭 行为的隐蔽性好的病毒而言,这种防护方法的成功率还是比较低的。例如,近期比较流行的后门程序"灰鸽子"就是一种隐蔽性较好的病毒。灰鸽子的主程序cAA.exe运行后,首先将自己复制到系统目 录c:VwindowsX下,将副本重命名为wservices.exe,并且在将该副本 wservices.exe启动后A.exe退出。wservices.exe启动后,直接启动系 统所带的iexplore.exe (系统文件),然后将wservices.exe进程映像写 入到iexplore.exe进程空间并获得执行权限,从而利用iexplore.exe进 行侵害。在灰鸽子程序中,病毒程序隐藏在正常的系统程序iexplore.exe 中运行,病毒在实现侵害的过程中先后涉及三个进程A.exe、 wservices.exe和iexplore.exe,而且在真正的侵害行为执行前病毒的主 程序A.exe己经结束。由此,灰鸽子程序可以很好地欺骗查毒软件对 动作的监视,从而成功地将病毒代码隐藏在iexplore.exe进程空间中。 在这种情况下,采用现有的这种简单的行为动作分析方法,就很难识 别出这种隐蔽性好的病毒程序。目前,随着计算机技术的发展,如灰鸽子这样的隐蔽性好的病毒 程序越来越多,因此需要一种新的计算机防护方法来识别出这种通过 开启多个进程来实现侵袭的恶意程序。
技术实现思路
本专利技术的一个目的在于提出一种发现计算机程序的恶意行为的 方法和装置。利用本专利技术提出的方法和装置可以识别出涉及多个进程的恶意程序的行为,从而追根溯源找出哪些程序属于病毒程序。本专利技术的另一个目的在于提出一种发现计算机程序的恶意行为 的方法和装置,使用该方法和装置可以有效地搜索出释放病毒的程 序。为了实现上述目的,本专利技术提出的发现计算机程序的恶意行为的 方法包括监视计算机程序执行的动作;在被监视迸程集合库中,搜索与所监视的动作相关的一个进程集合,所述进程集合至少包括在创建关系上相互关联的至少一个可疑进程的信息;如果搜索到所述与所 监视的动作相关的进程集合,则根据所述搜索出的进程集合中记载的 信息,通过关联性分析判断所监视动作是否属于恶意行为。根据本专利技术提出的方法,由于使用了进程集合的概念,通过创建 或调用多个进程来进行病毒侵袭的恶意程序能够被及时准确地识别 出来,从而能够及时发现隐蔽性强的恶意程序,如灰鸽子后门程序。此外,为了实现上述目的,本专利技术还提出上述方法还包括接收 杀毒引擎査到病毒的通知,并获得查到的病毒文件的信息;以及所述 搜索步骤包括搜索进程集合的历史记录中是否包含所述查到的病毒 文件的信息的进程集合;如果搜到,则可找到释放病毒的进程。本专利技术提出的上述方法将查毒引擎的查毒结果与进程行为监视 相结合,从而能够更加准确高效地发现恶意行为。此外,本专利技术还提出了与上述方法相对应的计算机保护装置。附图说明图1示出根据本专利技术一个实施例的发现程序恶意行为装置的总 体框图2示出根据本专利技术一个实施例的进程集合建立和维护过程; 图3示出根据本专利技术一个实施例的进程过滤过程; 图4示出根据本专利技术一个实施例的利用进程集合来确定释放病 毒文件的进程的过程;图5示出根据本专利技术一个实施例的利用进程集合来确定文件操《作中的恶意行为的过程。图6示出根据本专利技术一个实施例的利用进程集合来确定注册表 操作中的恶意行为的过程;图7示出根据本专利技术一个实施例的利用进程集合来确定系统调 用中的恶意行为的过程;图8示出根据本专利技术一个实施例的利用进程集合来确定程序的 恶意行为的另一个示例性过程。具体实施例方式以下将结合具体实施例对本专利技术提出的发现计算机程序的恶意 行为的方法和装置进行详细地描述。为了便于理解,在以下实施例中, 仅以Windows操作系统为例进行描述。但是,本领域技术人员可以 理解的是本专利技术的思想和精神还可应用于其它计算机系统中,并不局 限于Windows操作系统。如前述的"灰鸽子"程序,现今的病毒或间谍软件已经不再是在 单进程中完成对计算机的侵袭,而是要在创建和/或结束多个进程的 过程中实施恶意动作,从而它们更容易蒙骗过杀毒软件的监视。此外,通过分析现今的众多计算机病毒程序、间谍软件还可以发现恶意程序可能是由一些基本的恶意行为要素构成的,而今不仅一个完整的恶意程序可能涉及多个进程,这些恶意行为要素本身的实现 也可能涉及不止一个进程。以下示例性地列出了一些通过分析抽象出 的恶意行为要素,但本专利技术并不限于此。释放病毒文件指一个进程直接创建了 (将正常文件修改为)一 个己经能够被反病毒引擎识别的计算机病毒。 一个病毒文件在本地计 算机生成时,其直接创建者有很高的几率为病毒释放者、下载者。自我复制指一个进程直接或间接的创建一个副本。这个副本可 能是恶意程序A直接创建的,也可能是恶意程序A通过调用其它安全程序,如SHELL程序来复制的。自修改的自我复制指一个进程创建或修改了一个应用程序,并且修改后的应用程序的入口点所在的代码区域和该进程对应程序文 件的入口点所在的代码区域相同,例如,"熊猫烧香"病毒。释放程序文件;指一个进程直接释放非当前进程副本的程序文 件,程序文件可以是可执行文件(EXE)也可以是动态连接库(DLL)。启动自释放程序指一个进程直接或间接地运行一个程序文件, 该程序文件可以是该进程或者该进程相关进程所创建的。例如,恶意 程序A释放程序B,并且调用SHELL启动程序B。建立自启动关联指一本文档来自技高网...
【技术保护点】
一种发现计算机程序的恶意行为的方法,包括: 监视计算机程序执行的动作; 在被监视进程集合库中,搜索与所监视的动作相关的一个被监视进程集合,所述被监视进程集合包括在创建关系上相互关联的至少一个可疑进程的信息; 如果搜索到与所监视的动作相关的所述被监视进程集合,则根据搜索出的所述被监视进程集合中记载的信息,通过关联性分析判断所监视动作是否属于恶意行为。
【技术特征摘要】
【专利技术属性】
技术研发人员:叶超,
申请(专利权)人:北京瑞星信息技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。