[发明专利]一种病毒专杀工具生成方法及系统

说明书

本发明提出了一种病毒专杀工具生成方法，包括：搭建内置不同系统环境的沙箱自动分析环境；将待分析病毒样本投入所述沙箱自动分析环境中；沙箱自动分析环境根据内置的不同系统环境对待分析病毒样本进行至少2次的恶意行为分析；输出待分析病毒样本在不同系统环境下的一致性恶意行为；按规定合并所述一致性恶意行为的行为规则；根据合并的行为规则生成对应病毒的专杀工具。本发明将传统沙箱分析技术与病毒专杀生成相结合，实现专杀工具的自动化生成，快速应急响应病毒疫情事件，在病毒尚未大规模爆发前，第一时间帮助用户免疫和处理病毒。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种病毒专杀工具生成方法及系统。

背景技术

由于网络安全问题，计算机漏洞频频被利用，计算机由于未安装杀毒软件/未及时更新杀毒软件，无法对未知病毒进行有效的拦截和查杀，导致计算机大面积感染各类病毒。此时作为应急响应工具的各类计算机病毒专杀工具就显得尤为重要，他能够有针对性的快速的帮助用户查杀病毒，解决问题，保证资产安全。然而计算机病毒专杀工具，作为一种应急响应工具，首先要能够有针对性的对计算机进行病毒免疫与病毒查杀，其次就是要能够快速生成专杀工具，并通过各种渠道分发到用户手中。但目前应急响应专杀工具的生成流程都是需要人工的将病毒样本分析出恶意行为，然后才能有针对性的编写专杀工具。人工的去分析一个病毒样本至少是几个小时甚至是几十个小时才能完成，很多时候病毒已经大面积爆发，针对此病毒的专杀工具才被开发出来，不能够完全做到及时响应，快速处理。

发明内容

针对上述现有技术中存在的问题，本发明提出了一种基于沙箱自动分析的病毒专杀工具生成方法及系统，能够自动分析病毒样本，自动生成有效的专杀工具。

具体发明内容包括：

一种病毒专杀工具生成方法，包括：

搭建内置不同系统环境的沙箱自动分析环境；所述系统环境为操作系统环境，包括windows、linux、国产麒麟、苹果、Android等，及这些系统的各个版本或衍生系统环境等；

将待分析病毒样本投入所述沙箱自动分析环境中进行恶意行为分析；

沙箱自动分析环境根据内置的不同系统环境对待分析病毒样本进行至少2次的恶意行为分析；该过程中，待分析病毒样本在沙箱自动分析环境中至少在2个不同系统或统一系统不同版本环境或衍生环境下进行恶意行为分析，输出在不同系统环境下的恶意行为；

输出待分析病毒样本在不同系统环境下的一致性恶意行为，即在不同系统环境下都会产生的相同的行为；

按规定合并所述一致性恶意行为的行为规则；该过程为根据一致性恶意行为的可逆性进行行为规则的合并输出，所述可逆性是指可以根据某一恶意行为，使用其相反的操作，达到对病毒样本的检测、免疫和清理的功能；例如：

举例1：病毒程序在终端机器通过注册表创建释放攻击能力的固定名称的启动项，这一恶意行为的相反的操作是删除对应注册表启动项，这个相反的操作可以用于识别和清理该病毒，所以该行为具有可逆性；

举例2：病毒程序在终端机器使用随机文件名称释放病毒副本，由于其创建的文件名称具有随机性，无法使用文件创建的逆操作(删除操作)对指定对象进行识别和清理，所以此种行为不具备可逆性；

最后，根据合并的行为规则生成对应病毒的专杀工具。

进一步地，所述专杀工具具体包括一个恶意行为库文件和一个可执行文件；其中，恶意行为库文件用于存储所述合并的行为规则，可执行文件用于执行专杀功能，且具体用于在执行过程中动态将环境中的行为与恶意行为库文件中的行为规则进行匹配，并进行病毒查杀；所述专杀工具在最终的实体表现形式上，是一个结合所述恶意行为库文件数据和所述可执行程序的可执行程序。

进一步地，所述沙箱自动分析环境由至少2个沙箱组成。