[发明专利]创建防病毒记录的系统和方法

说明书

本发明公开了创建防病毒记录的系统和方法。示例性方法包括：针对是否存在恶意行为，通过防止针对性攻击的保护器使用一个或多个行为规则分析文件的API函数调用的日志；当识别出与API函数调用的日志的记录相对应的行为规则时，确定所述文件为恶意的；提取与识别出的所述行为规则相关联的API函数调用的一条或多条记录；确定所述API函数调用的至少一条提取的记录是否可以由计算设备的保护器进行注册；以及当所述API函数调用的所述至少一条提取的记录可以由所述计算设备的保护器进行注册时，创建用于所述计算设备的保护器的防病毒记录，其中，创建的所述防病毒记录至少包括所述API函数调用的所提取的记录。

技术领域

本发明涉及计算机安全领域，并且更具体地涉及用于创建防病毒记录的系统和方法。

背景技术

传统的签名分析对于检测恶意文件效果不佳，所述恶意文件特别是多态病毒、混淆文件以及外壳代码(shellcode)。

因此，现代防病毒应用程序还使用其它技术来检测恶意软件。例如，扫描可以使用所谓的“沙箱(sandbox)”。“沙箱”指的是专门与系统的其余部分隔离的环境。对于沙箱中执行的进程，对资源的访问和使用是受限制的。例如，可以在虚拟机上、基于文件系统和寄存器的部分虚拟化、基于对文件系统和寄存器的访问规则、或者基于混合算法来实现“沙箱”。在“沙箱”中执行被扫描的文件。在文件执行过程中，将关于API函数调用和系统事件(并且还包括正在分析、发送和接收的数据以及网络连接等)的记录(即信息)存储在调用日志(API函数调用的日志)中。防病毒应用还对获得的调用日志的记录所满足的行为规则(例如，已知的恶意行为模式)进行搜索。调用日志用于保存在文件执行期间由文件执行的API(application programming interface，应用程序编程接口)函数调用的记录。API函数调用或过程(procedure)调用(命令CALL，用于调用过程)被定义为用于执行过程(API函数)调用的无条件的控制转移。命令CALL执行堆栈中返回地址的存储以及用以执行API函数的转移。关于被调用的API函数的信息包括：发送到API函数的数据、由API函数返回的数据、调用API函数的进程、提供API函数的库/应用程序/内核、API函数的代码、调用API函数的地址、API函数所在的地址、返回地址等。调用日志还保存关于来自调用的API函数的返回命令(例如，从过程返回的RET命令)的信息。在执行来自API函数的返回命令时，从堆栈中提取返回地址并且发生到该返回地址的控制转移。通常，“沙箱”中文件的执行发生在有限的时间范围内(多达几十秒)。

用于检测文件中的恶意功能的另一技术是使用仿真的技术。仿真涉及在执行代码期间在仿真器中模仿主机系统。