[发明专利]检测恶意文件的系统和方法

权利要求书

1.一种用于检测恶意文件的方法，包括：

在远程服务器处从多个用户计算机接收多个调用日志，各个调用日志包括由在各个用户计算机中的每一个用户计算机上执行的相同文件进行的函数调用、以及从所述相同文件启动的过程的控制流程图；

将所述多个调用日志合并成存储在所述远程服务器上的组合调用日志；

其中，只有在对于从所述多个用户计算机接收的所述多个调用日志中的每一个调用日志，所述组合调用日志包括与所述组合调用日志相比的调用日志中不存在的至少一项记录时，才执行所述合并，以及

其中，所述组合调用日志还包括通过合并针对所述文件接收的所有控制流程图而获得的组合控制流程图；

在存储在所述远程服务器上的所述组合调用日志中搜索以查找与存储在与所述远程服务器相关联的威胁数据库中的一个或多个行为规则匹配的规则；

当在存储在所述远程服务器上的所述组合调用日志中查找到与所述一个或多个行为规则匹配的规则时，确定关于执行的所述文件的判定，其中，所述判定表明所述文件是否是恶意的；以及

将关于所述判定的信息发送至所述多个用户计算机。

2.根据权利要求1所述的方法，还包括：

从所述多个用户计算机接收已经被搜索到所述一个或多个行为规则的所述多个调用日志，其中，所述一个或多个行为规则表明执行的所述文件为以下项中的一者或多者：恶意软件和附条件的有害软件。

3.根据权利要求1所述的方法，还包括：

当未执行所述多个调用日志的合并时，在所述多个用户计算机中的包含所述多个用户计算机的调用日志的所有记录的并集的一个用户计算机的调用日志中搜索规则的匹配。

4.根据权利要求1所述的方法，其中，所述恶意文件是通过网络下载附加恶意软件模块的文件。

5.根据权利要求1所述的方法，其中，当所述文件包括以下项中的一者或多者时，所述判定表明所述文件是恶意的：病毒、蠕虫、特洛伊木马和/或附条件的有害软件。

6.根据权利要求1所述的方法，其中，所述一个或多个行为规则包括以下项中的一者或多者：调用来自可疑函数列表的应用程序接口函数、调用特定函数指定次数、函数调用的顺序、替换所述计算机上的域名服务器信息、禁用操作系统更新以及禁用网络防火墙。

7.根据权利要求1所述的方法，还包括：

为所述文件创建病毒签名并将所述病毒签名发送至所述多个用户计算机。

8.根据权利要求1所述的方法，还包括：

在所述多个调用日志中注册与执行的所述文件有关的信息。

9.根据权利要求8所述的方法，其中，所述信息包括以下项中的一项或多项：妥协指标、安全判定、所述执行的文件的校验和或所述执行的文件的一部分的校验和、上传到相应的用户计算机的所述执行的文件的源、由所述执行的文件发送和/或接收的数据、以及是否在所述相应的用户计算机上替换域名服务器。