本发明专利技术公开了一种基于云安全的恶意软件追踪方法。本发明专利技术实施例提供的一种追踪软件的方法,包括:记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库,该文件具有与该软件相同的记录标识;以及,记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库;当设备中的软件被启动时,查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件;若软件为需要追踪的软件,根据获知的该软件的记录标识,从第二数据库中获取对应的下载文件的信息,得到追踪信息;以及,将软件在设备本地生成的文件的信息记录在第一数据库中,并为该文件设置与软件相同的记录标识。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了。本专利技术实施例提供的一种追踪软件的方法,包括:记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库,该文件具有与该软件相同的记录标识;以及,记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库;当设备中的软件被启动时,查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件;若软件为需要追踪的软件,根据获知的该软件的记录标识,从第二数据库中获取对应的下载文件的信息,得到追踪信息;以及,将软件在设备本地生成的文件的信息记录在第一数据库中,并为该文件设置与软件相同的记录标识。【专利说明】
本专利技术涉及计算机软件领域,特别涉及。
技术介绍
随着计算机技术在社会生活中各个领域的广泛运用,恶意程序也如同其附属品一样接踵而来。由于这些恶意程序所具有的感染性、复制性及破坏性,其已成为困扰计算机使用的一个重大问题。恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(如batch, windows shell, java等)、木马、犯罪软件、间谋软件和广告软件等等,都是一些可以称之为恶意程序的例子。以木马为例,木马能够盗取网银密码、盗取网游装备、泄露隐私照片等等。可以看出,恶意程序对计算机设备以及用户造成的危害是巨大的,因此如何对恶意程序进行查杀就显得更为重要。传统的查杀方式是特征库匹配,但是随着恶意程序爆发式的增长,又由于特征库的生成与更新相对于病毒的产生通常滞后,导致传统特征库匹配的查杀方式越来愈力不从心。于是出现了主动防御技术,主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了恶意程序的主动防御。然而,一些恶意程序可以通过生成新的可执行文件或创建快捷方式等,诱导用户运行该恶意程序派生出的文件,由于现有方案无法对这些派生出的文件进行准确定位,从而导致一些恶意程序能够绕过主动防御拦截,降低了主动防御的有效性。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的。依据本专利技术的一个方面,本专利技术实施例提供了一种追踪软件的方法,包括:记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库,该文件具有与该软件相同的记录标识;以及,记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库;当设备中的软件被启动时,查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件;若软件为需要追踪的软件,根据在查询第一数据库和/或第二数据库时获知的该软件的记录标识,从第二数据库中获取对应的下载文件的信息,得到指示软件的源头的追踪信息;以及,将软件在设备本地生成的文件的信息记录在第一数据库中,并为该文件设置与软件相同的记录标识。其中,上述将软件在设备本地生成的文件的信息记录在第一数据库中包括:提取文件的文件路径中的各级文件目录,按照预定算法对提取出的每一级文件目录对应的字符串进行运算,将各级文件目录的运算值组合在一起得到该文件的文件指纹;将文件的信息记录在第一数据库中该文件的文件指纹所指示的位置。其中,上述查询第一数据库和/或第二数据库判断该软件是否为待追踪软件包括:判断软件的进程链上是否存在至少一个进程的相关文件被记录在第一数据库和/或第二数据库中,若是,确认软件为需要追踪的软件,若否,确认软件不是需要追踪的软件。其中,上述进程的相关文件包括进程的exe文件,以及,当进程是通过快捷方式启动时,进程的相关文件包括快捷方式文件;当进程为批处理进程时,进程的相关文件包括批处理文件;当进程为脚本进程时,进程的相关文件包括脚本文件;当进程为rundll32或regsvr32进程时,进程的相关文件包括相关的动态链接库DLL文件;当为解压缩进程时,该进程的相关文件包括解压缩文件。其中,上述查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件包括:提取软件的进程链上当前进程的当前文件的文件路径中的各级文件目录,按照预定算法对提取出的每一级文件目录对应的字符串进行运算,将各级文件目录的运算值组合在一起得到该当前文件的查询值;利用查询值对第一数据库中的文件指纹进行匹配;当匹配成功时,确认软件为需要追踪的软件;当匹配失败时,在第二数据库中查询当前文件,当查询到当前文件时,确认软件为需要追踪的软件;否则,确认软件不是需要追踪的软件。其中,上述将软件在设备本地生成的文件的信息记录在第一数据库中包括:监控设备本地软件的进程创建操作,获取被创建进程执行时的命令行参数;解析被创建进程执行的命令行参数,根据被创建进执行时的命令行参数判断被创建进程是否为解压缩进程;如果是,则通知驱动程序记录该解压缩进程生成的信息至第一数据库。其中,上述方法还包括:当软件在设备本地生成的文件包括可执行文件时,监控可执行文件的进程创建操作,若监控到进程创建操作,则判断该可执行文件的进程在运行过程中是否执行了可疑操作;如果是,则至少将可执行文件的追踪信息发送到安全扫描器或云安全服务器,供安全扫描器或云安全服务器进行检测判断;根据安全扫描器或云安全服务器返回的结果,确定对可执行文件进行放行、拦截或提示。其中,上述方法还包括:当软件在设备本地生成的文件包括可执行文件时,监控可执行文件的进程创建操作,若监控到进程创建操作,则通知驱动程序监控该可执行文件进程加载的DLL文件,并记录在内存中可执行文件进程的相关数据结构中;如果该可执行文件进程执行的操作包括可疑操作,则通过安全扫描器对该可执行文件进程加载的DLL进行检查;根据检查结果,确定是否修改该可执行文件进程的安全等级,以及根据可执行文件的安全等级决定放行、拦截或提示。其中,上述方法还包括:当设备中的软件被启动时,将该软件的信息上传至云安全服务器,以由云安全服务器利用保存的文件的信息对该软件进行检测判断;接收云安全服务器返回的对该软件的追踪信息。根据本专利技术的另一方面,本专利技术实施例提供了一种追踪软件的装置,包括:记录单元,适于记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库,该文件具有与该软件相同的记录标识;以及,记录从网络中下载至设备中的下载文件的信息及该下载文件的记录标识至第二数据库;判断单元,适于当设备中的软件被启动时,查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件;获取单元,适于当判断单元判断软件为需要追踪的软件时,根据在查询第一数据库和/或第二数据库时获知的该软件的记录标识,从第二数据库中获取对应的下载文件的信息,得到指示软件的源头的追踪信息;记录单元,还适于对判断单元判断为需要跟踪的软件在设备本地生成文件时,将该文件的信息记录在第一数据库中,并为该文件设置与软件相同的记录标识。其中,记录单元,适于提取文件的文件路径中的各级文件目录,按照预定算法对提取出的每一级文件目录对应的字符串进行运算,将各级文件目录的运算值组合在一起得到该文件的文件指纹;将该文件的信息记录在第一数据本文档来自技高网...
【技术保护点】
一种追踪软件的方法,包括:记录已获知的需要追踪的软件在设备本地生成的文件的信息至第一数据库,所述文件具有与该软件相同的记录标识;以及,记录从网络中下载至所述设备中的下载文件的信息及该下载文件的记录标识至第二数据库;当设备中的软件被启动时,查询第一数据库和/或第二数据库判断该软件是否为需要追踪的软件;若所述软件为需要追踪的软件,根据在查询第一数据库和/或第二数据库时获知的该软件的记录标识,从第二数据库中获取对应的下载文件的信息,得到指示所述软件的源头的追踪信息;以及,将所述软件在设备本地生成的文件的信息记录在第一数据库中,并为该文件设置与所述软件相同的记录标识。
【技术特征摘要】
【专利技术属性】
技术研发人员:张晓霖,董杰,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。