【技术实现步骤摘要】
恶意代码检测方法、装置、存储介质及电子设备
[0001]本专利技术涉及反恶意代码
,尤其涉及一种恶意代码检测方法、装置、存储介质及电子设备。
技术介绍
[0002]沙箱是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化随后可以被删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。
[0003]由于恶意代码(例如病毒代码)编写者知晓病毒分析师会使用虚拟机沙箱来对病毒进行分析,所以其编写的病毒代码通常具有检测虚拟机的功能,如通过判断注册表、判断文件夹或判断文件等方式来检测虚拟机。因为病毒代码一旦进了病毒分析师的虚拟机,就失去了攻击作用,故,病毒代码通常会被编写为在检测到虚拟机之后,立刻停止所有的感染和发作行为,然后退出。这就导致病毒代码无法在虚拟机沙箱中完成执行。
[0004]通常,在利用虚拟机沙箱对病毒进行分析时,用户上传程序代码至沙箱,使程序在沙箱中模拟运行,...
【技术保护点】
【技术特征摘要】
1.一种恶意代码检测方法,其特征在于,包括:在沙箱中执行目标程序;对所述目标程序在执行过程中的行为进行监控;响应于监控到所述目标程序执行访问环境信息的行为,挂起所述目标程序创建的进程;在用户本地获取所述环境信息,并将获取到的所述环境信息上传至所述沙箱;恢复执行挂起的所述进程;根据所述目标程序执行过程中的行为,判断所述目标程序的可执行程序代码是否是恶意代码。2.根据权利要求1所述的方法,其特征在于,所述环境信息至少包括以下一种信息:注册表信息、文件信息以及环境变量。3.根据权利要求1所述的方法,其特征在于,响应于监控到所述目标程序执行访问环境信息的行为,挂起所述目标程序创建的进程,包括:响应于监控到所述目标程序执行访问环境信息的行为,挂起所述目标程序创建的所有进程以及各进程下的线程。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在沙箱中执行目标程序之后,记录所述目标程序的开始执行的时间;响应于根据所述开始执行的时间确定所述目标程序执行的时长超过预设时长,停止执行所述目标程序,并发出告警提示消息。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:在挂起所述目标程序之后,若未在用户本地获取到所述环境信息,恢复执行挂起的所述进程。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:在沙箱中执行目标程序之前,获取上传至所述沙箱的所述目标程序的可执行程序代码;发出提示消息,其中,所述提示消息用于提示是否以当前模式执行所述目标程序、所述当前模式对应的时间消耗以及资源消耗情况。7.根据权利要求1至6任一项所述的方法,其特征在于,根据所述目标程序执行过程中的行为,判断所述目标程序是否是恶意程序,包括:在所述目标程序执行结束或停止执行之后,根据所述目标程序执行过程中的行为,判断所述目标程序的可执行程序代码是否是恶意代码。8.一种恶意代码检测装置,其特征在于,包括:执行模块,被配置为在沙箱中执行目标程序;监控模块,被配置为对所述目标程序在执行过程中的行为进行监控;挂起模块,被配置为响应于监控到所述目标程序执行访问环境信息的行为,挂起所述目标程序创建的进程;上传模块,被配置为在用户本地获取所述环境信息,并将获取到的所述环境信息上传至所述沙箱...
【专利技术属性】
技术研发人员:吕经祥,童志明,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。