[发明专利]一种病毒专杀工具生成方法及系统有效
| 申请号: | 201710974005.8 | 申请日: | 2017-10-19 |
| 公开(公告)号: | CN108363919B | 公开(公告)日: | 2021-04-20 |
| 发明(设计)人: | 肖新光;张雷;徐翰隆;王小丰 | 申请(专利权)人: | 北京安天网络安全技术有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/55;G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100195 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 病毒 工具 生成 方法 系统 | ||
1.一种病毒专杀工具生成方法,其特征在于,包括:
搭建内置不同系统环境的沙箱自动分析环境;
将待分析病毒样本投入所述沙箱自动分析环境中;
沙箱自动分析环境根据内置的不同系统环境对待分析病毒样本进行至少2次的恶意行为分析;
输出待分析病毒样本在不同系统环境下的一致性恶意行为;
按规定合并所述一致性恶意行为的行为规则,具体为:根据一致性恶意行为的可逆性进行行为规则的合并输出;
根据合并的行为规则生成对应病毒的专杀工具。
2.如权利要求1所述的方法,其特征在于,所述专杀工具具体包括一个恶意行为库文件和一个可执行文件;其中,恶意行为库文件用于存储所述合并的行为规则,可执行文件用于执行专杀功能,且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配,并进行病毒查杀。
3.如权利要求2所述的方法,其特征在于,所述沙箱自动分析环境由至少2个沙箱组成。
4.如权利要求3所述的方法,其特征在于,所述进行恶意行为分析,其具体分析内容包括系统中数据的创建、删除和修改行为,以及待分析病毒样本的网络行为;其中,所述系统中数据的对象包括:计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件和计划任务。
5.一种病毒专杀工具生成系统,其特征在于,包括:内置不同系统环境的沙箱自动分析模块,以及一致性行为合并模块与专杀工具生成模块;
具体为:
将待分析病毒样本投入所述沙箱自动分析模块中,在不同系统环境下进行至少2次的恶意行为分析;将分析结果传输给所述一致性行为合并模块,按规定合并待分析病毒样本在不同系统环境下的一致性恶意行为的行为规则,具体为:根据一致性恶意行为的可逆性进行行为规则的合并输出;将合并的行为规则传输给所述专杀工具生成模块,生成对应病毒的专杀工具。
6.如权利要求5所述的系统,其特征在于,所述专杀工具具体包括一个恶意行为库文件和一个可执行文件;其中,恶意行为库文件用于存储所述合并的行为规则,可执行文件用于执行专杀功能,且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配,并进行病毒查杀。
7.如权利要求6所述的系统,其特征在于,所述沙箱自动分析模块由至少2个沙箱组成。
8.如权利要求7所述的系统,其特征在于,所述进行恶意行为分析,其具体分析内容包括系统中数据的创建、删除和修改行为,以及待分析病毒样本的网络行为;其中,所述系统中数据的对象包括:计算机系统的主引导记录、boot区数据、注册表键值、系统服务、系统进程、系统文件和计划任务。
9.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求1至4任一所述的病毒专杀工具生成方法。
10.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一所述的病毒专杀工具生成方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天网络安全技术有限公司,未经北京安天网络安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710974005.8/1.html,转载请声明来源钻瓜专利网。
