CN101587527A - 病毒程序扫描方法及装置 - Google Patents
病毒程序扫描方法及装置 Download PDFInfo
- Publication number
- CN101587527A CN101587527A CNA2009100887160A CN200910088716A CN101587527A CN 101587527 A CN101587527 A CN 101587527A CN A2009100887160 A CNA2009100887160 A CN A2009100887160A CN 200910088716 A CN200910088716 A CN 200910088716A CN 101587527 A CN101587527 A CN 101587527A
- Authority
- CN
- China
- Prior art keywords
- file
- executable file
- feature
- scanned
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000006870 function Effects 0.000 description 78
- 230000008569 process Effects 0.000 description 25
- 230000002155 anti-virotic effect Effects 0.000 description 22
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 18
- 230000006399 behavior Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000001228 spectrum Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000035772 mutation Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008485 antagonism Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000035943 smell Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种病毒程序扫描方法及装置,其中方法包括:获取待扫描文件的文件信息;根据所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件,若是,则对所述可执行文件进行启发扫描。装置包括:获取模块、第一判断模块、及扫描模块。本发明大大减少了需要进行匹配扫描的文件量,从而大幅度提升了匹配查找的效率,提高了扫描的速度,减少了误报比率。
Description
技术领域
本发明涉及一种病毒程序扫描方法及装置,属于计算机病毒程序查杀技术。
背景技术
基于行为分析的启发扫描技术是现有病毒程序扫描技术中的一种常用技术,其通过对已知的大多数计算机木马病毒程序或后门病毒程序等的特征进行分析总结而形成一个行为启发特征库,该行为启发库中具有基于程序行为类型的特征及其特征组,通过根据这些特征及其特征组对病毒程序进行匹配来实现查杀病毒的目的。
然而,随着现阶段木马病毒程序和后门病毒程序等已成为泛滥趋势,对网络用户的财产已造成极大的侵害,另外,现有木马病毒程序和后门病毒程序还会采用加壳和免杀等处理方式以逃避杀毒软件的查杀,并且,现有的病毒程序产业链中还可以采用源代码交流方式进行免杀彻底的对抗杀毒软件。因此,上述这些不利因素便造成杀毒软件需要不断地分析总结病毒程序的新特征,迫使行为启发特征库中的特征及其特征组不断地增加,从而造成需要进行匹配的特征及其特征组的数据量也不断增加,再加上现有病毒程序查杀技术通常采用模糊式特征匹配方式,使得数据量更进一步增加,不仅延长了查杀病毒程序的时间,也对杀毒软件的杀毒引擎的效率提出了更高的要求。
发明内容
本发明要解决的问题的是提供一种病毒程序扫描方法及装置,以减小查杀病毒程序的时间,提高病毒程序扫描的效率。
为了实现上述目的,本发明的一个实施例提供了一种病毒程序扫描方法,其中包括:
获取待扫描文件的文件信息;
根据所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件,若是,则对所述可执行文件进行启发扫描。
为了实现上述目的,本发明的另一个实施例提供了一种病毒程序扫描装置,其中包括:
获取模块,用于获取待扫描文件的文件信息;
第一判断模块,用于根据获取模块获取的所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件
扫描模块,用于当第一判断模块的判断结果为是时,对所述可执行文件进行启发扫描。
本发明上述各实施例通过设置启发条件排除掉大多数不太可能是病毒程序的正常文件,而只对少部分不确定的文件进行处理,因此大大减少了需要进行匹配扫描的文件量,从而大幅度提升了匹配查找的效率,提高了扫描的速度,减少了误报比率。在本发明中,对满足启发条件后的可执行文件进行的启发扫描也可以称为嗅探式启发扫描。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明一实施例所述病毒程序扫描方法的流程图;
图2为本发明另一实施例所述病毒程序扫描方法的流程图;
图3为本发明又一实施例所述病毒程序扫描方法的流程图;
图4为本发明各实施例所述病毒程序扫描方法中对可执行文件进行启发扫描的步骤的具体流程图;
图5为本发明一实施例所述病毒程序扫描装置的结构示意图;
图6为本发明另一实施例所述病毒程序扫描装置的结构示意图;
图7为图6中的报警单元的结构示意图。
具体实施方式
图1为本发明一实施例所述病毒程序扫描方法的流程图,如图所示,该方法可以包括如下步骤:
步骤101,获取待扫描文件的文件信息。
步骤102,根据所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件,是则继续执行本实施例所述病毒程序扫描方法,否则获取下一个待扫描文件,重新执行本实施例所述病毒程序扫描方法。
由于微软公司的视窗(WindowsTM)操作系统的普及率非常高,因此,现有的绝大多数病毒程序为了提高其自身的被感染率,也通常使用微软公司的视窗操作系统标准动态库,如果判断出某个可执行文件使用了第三方非标准动态库而不是视窗操作系统标准动态库,那么该可执行文件是病毒程序的可能性非常低,也就无需对其进行启发扫描。该步骤的判断过程也可以称为第一层启发条件。
步骤103,当满足上述启发条件时,对该可执行文件进行启发扫描。
本实施例所述方法通过设置第一层启发条件排除掉大多数不太可能是病毒程序的正常文件,而只对少部分不确定的文件进行处理,因此大大减少了需要进行匹配扫描的文件量,从而大幅度提升了匹配查找的效率,提高了扫描的速度,减少了误报比率。
图2为本发明另一实施例所述病毒程序扫描方法的流程图,如图所示,该方法可以包括如下步骤:
步骤201、202与上述步骤101、102类似,此处不再赘述。
步骤203,根据所述文件信息,判断所述待扫描文件是否为进行了加壳处理的可执行文件,是则继续执行本实施例所述病毒程序扫描方法,否则获取下一个待扫描文件,重新执行本实施例所述病毒程序扫描方法。
步骤204,当满足上述启发条件时,对该可执行文件进行启发扫描。
其中,加壳处理是指是利用某些特殊算法,对可执行(Executable,简称:EXE)文件和动态链接库(Dynamic Link Library,简称:DLL)文件中的资源进行压缩或加密,解压执行过程均在内存中完成。如果对病毒程序进行加壳处理,当该病毒程序未执行时,杀毒软件很难发现。免杀处理是指定位杀毒软件所使用的特征码后对病毒程序原有的该特征码进行修改,使杀毒软件无法再通过该特征码找到该病毒程序,从而达到逃避查杀的目的。
由于现有的大多数病毒程序为了逃避杀毒软件的静态查杀,都会进行加壳处理,在本实施例所述方法中通过设置第二层启发条件,使得只对加壳处理之后的病毒程序才进行启发扫描,避免了在对未壳处理的病毒程序扫描时过早地曝露出杀毒软件所使用的特征码,使得木马免杀者在进行免杀处理时难以定位到杀毒软件所使用的特征码,从而增加了免杀处理的难度,有效地对抗了木马、后门等病毒程序的频繁变种,减少了行为启发特征库的更新次数,提高了杀毒软件的使用效率。
另外,在本实施例所述方法中,对待扫描文件是否进行了加壳处理进行判断时,如果仅仅根据所加的程序外壳的静态特征进行判断,则只能识别出已知的程序外壳而无法有效地判断出未知程序外壳的存在,因此,为了克服该技术问题,可以采用虚拟机动态模拟执行方法来进行判断。即使用虚拟机令待扫描文件进行模拟执行,通过监控其执行过程来判断该待扫描文件是否进行了加壳处理,使得无论该程序外壳是否已知,均可以准确地实现判断。
图3为本发明又一实施例所述病毒程序扫描方法的流程图,如图所示,该方法可以包括如下步骤:
步骤301、302、303与上述步骤201、202、203类似,此处不再赘述。
步骤304、根据所述文件信息,判断所述待扫描文件是否为体积小于预定值的可执行文件,是则继续执行本实施例所述病毒程序扫描方法,否则获取下一个待扫描文件,重新执行本实施例所述病毒程序扫描方法。
由于现有的大多数病毒程序为了利于隐藏和便于网络下载传播,其体积通常都非常小,经过对现有病毒程序样本的分析,绝大多数病毒程序,如木马病毒程序、后门病毒程序等,其体积大都在2M字节以下,为了减少对病毒程序的漏报,可以将上述预定值设定为10M字节,因此,如果判断出某个可执行文件的体积超过10M字节,那么该可执行文件是病毒程序的可能性非常低,也就无需对其进行启发扫描。该步骤的判断过程也可以称为第三层启发条件。
步骤305,根据所述文件信息,判断所述待扫描文件是否为使用非只读型应用程序接口(Application Programming Interface,简称,API)函数的可执行文件,是则继续执行本实施例所述病毒程序扫描方法,否则获取下一个待扫描文件,重新执行本实施例所述病毒程序扫描方法。
其中,只读型API函数是指只能从计算机的操作系统中读取数据,其运行之后不会对操作系统造成任何改变的函数,如“ReadFileA”函数、“RegGetValue”函数等。相应地,非只读型API函数是指除了上述只读型API函数以外的API函数。
如果判断出某个可执行文件仅使用只读型API函数,其根本无法达到盗取用户信息,破坏计算机系统等目的,因此,该可执行文件是病毒程序的可能性非常低,也就无需对其进行启发扫描。该步骤的判断过程也可以称为第四层启发条件。
实际上,据统计,现有病毒程序,尤其是木马病毒程序和后门病毒程序主要使用如下类型的API函数,也可以称为风险API函数:
注册表写入函数(例如,“RegSetValue”函数、“RegRestoreKey”函数等);
内存操作函数(例如,“UnmapViewOfFile”函数、“WriteProcessMemory”函数等);
进程、线程操作函数(例如,“OpenProcess”函数、“OpenThread”函数、“CreateRemoteThread”函数、“ResumeThread”函数、“WinExec”函数等);
权限管理函数(例如,“AdjustTokenPrivileges”函数等);
异步过程调用队列(Asynchronous Procedure Call,简称:APC)操作函数(例如,“QueueUserAPC”函数等);
内核通讯函数(例如,“DeviceIoControl”函数等);
磁盘信息获取函数(例如,“GetDriveType”函数等);
网络通讯函数(例如,“recv”函数、“recvfrom”函数等);
文件下载函数(例如,“InternelReadFile”函数、“URLDownload”函数、“URLDownloadToFile”函数、“URLDownloadToCacheFile”函数等);
钩子函数(例如,“SetWindows HookEx”函数等);
同步函数(例如,“CreateMutex”函数等);
文件操作函数(例如,“SetFileAttributex”函数等);
时间操作函数(例如,“SetLocalTime”函数、“SetSystemTime”函数等);
获取特定目录函数(例如,“GetTempPath”函数、“GetSystemDirectory”函数、“GetWindowsDirectory”函数等);
窗口信息获取函数(例如,“FindWindow”函数、“GetWindowProcessId”函数、“GetWindowThreadId”函数、“GetWindowThreadPeocessId”函数等)。
步骤306,当满足上述启发条件时,对该可执行文件进行启发扫描。
其中,在判断是否满足第四层启发条件时,以上每种类型的风险API函数之间为并列关系,每种类型的风险API函数均可对应于一种类型的启发扫描的特征,当判断出某个可执行文件使用上述一种或多种类型的风险API函数时,则表明其满足第四层启发条件。
本实施所述方法通过设置第三层启发条件和第四层启发条件进一步排除掉了一些不太可能是病毒程序的正常文件,因此进一步提高了扫描的速度,减少了误报比率。
此处需要特别说明的是,上述第一层启发条件、第二层启发条件、第三层启发条件、及第四层启发条件之间并没有必然的顺序关系,其执行顺序可以根据需要进行调整;并且其中的第二层启发条件、第三层启发条件、及第四层启发条件之间也没有必然的逻辑关系,因此无需同时具备,可以根据实际需要选择性地应用。
图4为本发明各实施例所述病毒程序扫描方法中对可执行文件进行启发扫描的步骤的具体流程图,如图所示,该步骤可以具体包括:
步骤401,根据行为启发特征库中的特征及其特征组对所述可执行文件进行粗略匹配,如果该匹配出所述可执行文件至少具有一个大类特征,则执行步骤402,否则,说明该可执行文件并不是病毒程序,则继续对下一个满足上述启发条件的可执行文件进行启发扫描。
其中,上述启发特征库中的特征及其特征组可以分为如下五大类型:
危险注册表项及其键值特征及其特征组;
危险应用程序编程接口API函数调用参数特征及其特征组;
危险API函数名称特征组;
危险视窗操作系统控制(Command,简称:CMD)命令行特征及其特征组;
常规广谱特征及其特征组。
步骤402,根据所述大类特征中的特征对所述可执行文件进行精确匹配。
步骤403,根据匹配到的所述可执行文件的特征发出病毒报警。
具体地,可以根据所述可执行程序的使用频度和危险程度为匹配到的所述可执行文件的特征分别设置相应的危险系数;对所有匹配到的所述特征的危险系数进行加权计算得到一个综合危险系数;当所述综合危险系数高于预设的危险阙值时,发出病毒报警。其中,所述危险阙值可通过对海量病毒程序的样本进行统计分析得出。
以下举例说明
假设待扫描文件是一个名为反病毒(Anti-Virus,简称:AV)终结者的变种木马病毒程序,那么该木马病毒程序的行为是对抗杀毒软件,使用的技术通常为映像劫持杀毒软件、杀死杀毒软件进程、关闭杀毒软件窗口等。其主要目的通常为盗取游戏账号和密码。其主要运行过程如下:
下载其他木马病毒程序到用户计算机执行;
释放副本及其自动运行文件(autorun.inf)到移动存储器进行传播。诸多行为使用如下API函数:
注册表写入函数(RegSetValue)
进程、线程操作函数(OpenProcess)
窗口信息获取函数(FindWindow)
钩子函数(SetWindowsHookEx)
文件下载函数(UrlDownloadToFile)
磁盘信息获取函数(GetDriveType)
执行本实施例所述的病毒程序扫描方法,由于该木马病毒程序是使用视窗操作系统标准动态库的可执行文件,因此满足了第一层启发条件;由于该木马病毒程序进行了加壳处理,以试图逃避杀毒软件的查杀,因此满足了第二层启发条件;由于该木马病毒程序的体积小于预定值(例如10M字节),以使得用户不易察觉,占用内存空间小,因此满足第三层启发条件;由于该木马病毒程序的使用了非只读型API函数,因此满足第四层启发条件。
当满足上述各层启发件后,对该木马病毒程序进行启发扫描,具体地,先根据行为启发特征库中的特征及其特征组对该木马病毒程序进行粗略匹配,发现该木马病毒程序至少具有一个大类特征,即危险注册表项及其键值特征及其特征组、及危险API函数名称特征组,则继续根据该大类特征中的子特征对所述木马病毒程序进行精确匹配,以下举两个精确匹配的实例进行说明:
由于该木马病毒程序的木马导入表存在注册表写入函数(RegSetValue),因此扫描其中是否具有映像文件劫持项(Image FileExecution Options);如果扫描到其具有映像文件劫持项,则将该特征的危险系数设置为60;继续扫描广谱特征,对发现的每一个杀毒软件进程名,均将其危险系数设置为10,当发现的杀毒软件进程名为四个时,得到的综合危险系数为100。如果预设的危险阙值为100,则此时可以发出病毒报警。
由于该木马病毒程序的木马导入表存在进程、线程操作函数(OpenProcess)和钩子函数(SetWindowsHookEx),因此继续扫描广谱特征中杀毒软件进程名与游戏进程名,当存在这些进程名的特征时,将扫描到的每个特征标记的危险系数设置为20;继续扫描,当匹配到键盘钩子特征系列时,将该特征的危险系数设置为50;继续扫描,当匹配到鼠标钩子特征系列时,将该特征的危险系数设置为30,得到的综合危险系数为100。如果预设的危险阙值为100,则此时可以发出病毒报警。
图5为本发明一实施例所述病毒程序扫描装置的结构示意图,如图所示,该病毒程序扫描装置500包括:获取模块10、第一判断模块20及扫描模块30。其主要工作原理如下:
病毒程序扫描装置500通过获取模块10获取待扫描文件的文件信息;第一判断模块20根据获取模块10获取的所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件,该判断过程也可以称为第一层启发条件;当第一判断模块20的判断结果为是时,即判断出所述待扫描文件所使用的动态库全部为视窗操作系统标准动态库时,由扫描模块30对所述可执行文件进行启发扫描。
本实施例所述装置通过设置第一层启发条件排除掉大多数不太可能是病毒程序的正常文件,而只对少部分不确定的文件进行处理,因此大大减少了需要进行匹配扫描的文件量,从而大幅度提升了匹配查找的效率,提高了扫描的速度,减少了误报比率。
图6为本发明另一实施例所述病毒程序扫描装置的结构示意图,如图所示,除了以上模块外,该病毒程序扫描装置500还可以包括以下模块中的一个或多个:第二判断模块40、第三判断模块50、及第四判断模块60。其工作原理如下:
在上图5所示实施中的扫描模块30对所述可执行文件进行启发扫描之前,由第二判断模块40根据获取模块10获取的所述文件信息,判断所述待扫描文件是否为进行了加壳处理的可执行文件,该判断过程也可以称为第二层启发条件;由第三判断模块50根据获取模块10获取的所述文件信息,判断所述待扫描文件是否为体积小于预定值的可执行文件,该判断过程也可以称为第三层启发条件;由第四判断模块60根据获取模块获取的所述文件信息,判断所述待扫描文件是否为使用非只读型API函数的可执行文件,该判断过程也可以称为第四层启发条件。其中,病毒程序常用的非只读型API函数(即风险API函数)类型的举例可参见上述步骤305的描述,因此,该第四层启发条件的判断过程也可以为判断所述待扫描文件是否为使用风险API函数的可执行文件。所述扫描模块30当所述第一判断模块20的判断结果,及所述第二判断模块40、第三判断模块50和/或第四判断模块60的判断结果均为是时,即上述各层启发条件均满足时,对所述可执行文件进行启发扫描。
具体地,如图6所示,该扫描模块30可以包括第一匹配单元31,第二匹配单元32及报警单元33,具体的扫描过程如下:
由第一匹配单元31根据行为启发特征库中的特征及其特征组对所述可执行文件进行粗略匹配;当第一匹配单元31匹配出所述可执行文件至少具有一个大类特征时,由第二匹配单元32根据所述大类特征中的特征对所述可执行文件进行精确匹配;再由报警单元33根据第二匹配单元32匹配到的所述可执行文件的特征发出病毒报警。例如可以采用设置危险系数的值决定是否发出病毒报警,具体地,如图7所示,该报警单元33可以包括:设置子单元3301、计算子单元3302和报警子单元3303。其工作原理如下:
由设置子单元3301根据所述可执行程序的使用频度和危险程度为第二匹配单元32匹配到的所述可执行文件的特征分别设置相应的危险系数;由计算子单元3302对所有匹配到的所述特征的危险系数进行加权计算得到一个综合危险系数;当所述综合危险系数高于预设的危险阙值时,再由报警子单元3303发出病毒报警。其中,所述危险阙值可通过对海量病毒程序的样本进行统计分析得出。
此处需要说明的是,上述第二判断模块40、第三判断模块50、及第四判断模块60之间也没有必然的逻辑关系,因此无需同时具备,可以根据实际需要选择性地应用其中的一个或多个判断模块。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1、一种病毒程序扫描方法,其特征在于包括:
获取待扫描文件的文件信息;
根据所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件,若是,则对所述可执行文件进行启发扫描。
2、根据权利要求1所述的病毒程序扫描方法,其特征在于对所述可执行文件进行启发扫描之前还包括:判断出所述待扫描文件为进行了加壳处理的可执行文件。
3、根据权利要求2所述的病毒程序扫描方法,其特征在于判断出所述待扫描文件为进行了加壳处理的可执行文件包括:采用虚拟机动态模拟执行方法判断出所述待扫描文件为进行了加壳处理的可执行文件。
4、根据权利要求1所述的病毒程序扫描方法,其特征在于对所述可执行文件进行启发扫描之前还包括:判断出所述待扫描文件为体积小于预定值的可执行文件。
5、根据权利要求1所述的病毒程序扫描方法,其特征在于对所述可执行文件进行启发扫描之前还包括:判断出所述待扫描文件为使用非只读型应用程序接口函数的可执行文件。
6、根据权利要求1~5中任一所述的病毒程序扫描方法,其特征在于对所述可执行文件进行启发扫描包括:
根据行为启发特征库中的特征及其特征组对所述可执行文件进行粗略匹配;
当匹配出所述可执行文件至少具有一个大类特征时,根据所述大类特征中的特征对所述可执行文件进行精确匹配;
根据匹配到的所述可执行文件的特征发出病毒报警。
7、根据权利要求6所述的病毒程序扫描方法,其特征在于根据匹配到的所述可执行文件的特征发出病毒报警包括:
根据所述可执行程序的使用频度和危险程度为匹配到的所述可执行文件的特征分别设置相应的危险系数;
对所有匹配到的所述特征的危险系数进行加权计算得到一个综合危险系数;
当所述综合危险系数高于预设的危险阙值时,发出病毒报警。
8、一种病毒程序扫描装置,其特征在于包括:
获取模块,用于获取待扫描文件的文件信息;
第一判断模块,用于根据获取模块获取的所述文件信息,判断所述待扫描文件是否为仅使用视窗操作系统标准动态库的可执行文件;
扫描模块,用于当第一判断模块的判断结果为是时,对所述可执行文件进行启发扫描。
9、根据权利要求8所述的病毒程序扫描装置,其特征在于还包括以下之一或任意结合:
第二判断模块,用于根据获取模块获取的所述文件信息,判断所述待扫描文件是否为进行了加壳处理的可执行文件;
第三判断模块,用于根据获取模块获取的所述文件信息,判断所述待扫描文件是否为体积小于预定值的可执行文件;
第四判断模块,用于根据获取模块获取的所述文件信息,判断所述待扫描文件是否为使用非只读型应用程序接口函数的可执行文件;
所述扫描模块用于当所述第一判断模块的判断结果,及所述第二判断模块、第三判断模块和/或第四判断模块的判断结果均为是时,对所述可执行文件进行启发扫描。
10、根据权利要求9所述的病毒程序扫描装置,其特征在于所述扫描模块包括:
第一匹配单元,用于根据行为启发特征库中的特征及其特征组对所述可执行文件进行粗略匹配;
第二匹配单元,当第一匹配单元匹配出所述可执行文件至少具有一个大类特征时,根据所述大类特征中的特征对所述可执行文件进行精确匹配;
报警单元,用于根据第二匹配单元匹配到的所述可执行文件的特征发出病毒报警。
11、根据权利要求10所述的病毒程序扫描装置,其特征在于所述报警单元包括:
设置子单元,用于根据所述可执行程序的使用频度和危险程度为第二匹配单元匹配到的所述可执行文件的特征分别设置相应的危险系数;
计算子单元,用于对所有匹配到的所述特征的危险系数进行加权计算得到一个综合危险系数;
报警子单元,用于当所述综合危险系数高于预设的危险阙值时,发出病毒报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100887160A CN101587527B (zh) | 2009-07-08 | 2009-07-08 | 病毒程序扫描方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100887160A CN101587527B (zh) | 2009-07-08 | 2009-07-08 | 病毒程序扫描方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101587527A true CN101587527A (zh) | 2009-11-25 |
CN101587527B CN101587527B (zh) | 2011-12-28 |
Family
ID=41371771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100887160A Active CN101587527B (zh) | 2009-07-08 | 2009-07-08 | 病毒程序扫描方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101587527B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的系统及方法 |
CN102222201A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 一种文件扫描方法及装置 |
CN102467623A (zh) * | 2010-11-08 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 一种监控文件执行的方法及装置 |
CN102523223A (zh) * | 2011-12-20 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN102955911A (zh) * | 2011-08-18 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 木马扫描方法和系统 |
WO2014036932A1 (en) * | 2012-09-05 | 2014-03-13 | Tencent Technology (Shenzhen) Company Limited | A user interface hijacking prevention device and method |
CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
CN105814577A (zh) * | 2013-12-27 | 2016-07-27 | 迈克菲公司 | 隔离表现网络活动的可执行文件 |
CN102938040B (zh) * | 2012-09-29 | 2016-11-30 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN106803038A (zh) * | 2016-12-28 | 2017-06-06 | 北京安天网络安全技术有限公司 | 一种检测PowerShell恶意代码的方法及系统 |
CN107403094A (zh) * | 2016-05-20 | 2017-11-28 | 卡巴斯基实验室股份制公司 | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 |
CN111277601A (zh) * | 2020-01-22 | 2020-06-12 | 奇安信科技集团股份有限公司 | 一种网站安全监测方法及系统 |
CN111444507A (zh) * | 2020-06-15 | 2020-07-24 | 鹏城实验室 | 加壳软件是否误报的判定方法、装置、设备及存储介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103902894B (zh) * | 2012-12-24 | 2017-12-22 | 珠海市君天电子科技有限公司 | 基于用户行为差异化的病毒防御方法及系统 |
-
2009
- 2009-07-08 CN CN2009100887160A patent/CN101587527B/zh active Active
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101930515A (zh) * | 2010-08-27 | 2010-12-29 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的系统及方法 |
CN101930515B (zh) * | 2010-08-27 | 2012-11-21 | 奇智软件(北京)有限公司 | 一种对压缩文件进行安全解压缩的系统及方法 |
CN102467623B (zh) * | 2010-11-08 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 一种监控文件执行的方法及装置 |
CN102467623A (zh) * | 2010-11-08 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 一种监控文件执行的方法及装置 |
CN102222201A (zh) * | 2011-06-03 | 2011-10-19 | 奇智软件(北京)有限公司 | 一种文件扫描方法及装置 |
CN102955911B (zh) * | 2011-08-18 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 木马扫描方法和系统 |
CN102955911A (zh) * | 2011-08-18 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 木马扫描方法和系统 |
WO2013091534A1 (zh) * | 2011-12-20 | 2013-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102523223B (zh) * | 2011-12-20 | 2014-08-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
CN102523223A (zh) * | 2011-12-20 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
US9596248B2 (en) | 2011-12-20 | 2017-03-14 | NSFOCUS Information Technology Co., Ltd. | Trojan detection method and device |
WO2014036932A1 (en) * | 2012-09-05 | 2014-03-13 | Tencent Technology (Shenzhen) Company Limited | A user interface hijacking prevention device and method |
CN102938040B (zh) * | 2012-09-29 | 2016-11-30 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
CN103905422B (zh) * | 2013-12-17 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
CN105814577A (zh) * | 2013-12-27 | 2016-07-27 | 迈克菲公司 | 隔离表现网络活动的可执行文件 |
US10083300B2 (en) | 2013-12-27 | 2018-09-25 | Mcafee, Llc | Segregating executable files exhibiting network activity |
US10599846B2 (en) | 2013-12-27 | 2020-03-24 | Mcafee, Llc | Segregating executable files exhibiting network activity |
CN105814577B (zh) * | 2013-12-27 | 2020-07-14 | 迈克菲有限责任公司 | 隔离表现网络活动的可执行文件 |
CN107403094A (zh) * | 2016-05-20 | 2017-11-28 | 卡巴斯基实验室股份制公司 | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 |
CN107403094B (zh) * | 2016-05-20 | 2021-06-04 | 卡巴斯基实验室股份制公司 | 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法 |
CN106803038A (zh) * | 2016-12-28 | 2017-06-06 | 北京安天网络安全技术有限公司 | 一种检测PowerShell恶意代码的方法及系统 |
CN111277601A (zh) * | 2020-01-22 | 2020-06-12 | 奇安信科技集团股份有限公司 | 一种网站安全监测方法及系统 |
CN111444507A (zh) * | 2020-06-15 | 2020-07-24 | 鹏城实验室 | 加壳软件是否误报的判定方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101587527B (zh) | 2011-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101587527B (zh) | 病毒程序扫描方法及装置 | |
Bayer et al. | Scalable, behavior-based malware clustering. | |
US8250569B1 (en) | Systems and methods for selectively blocking application installation | |
Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
Cesare et al. | Malwise—an effective and efficient classification system for packed and polymorphic malware | |
US8898775B2 (en) | Method and apparatus for detecting the malicious behavior of computer program | |
CN102222192B (zh) | 通过自动修正检测规则优化反恶意软件处理 | |
US8726387B2 (en) | Detecting a trojan horse | |
RU2530210C2 (ru) | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы | |
EP2790122B1 (en) | System and method for correcting antivirus records to minimize false malware detections | |
Mercaldo et al. | Download malware? no, thanks: how formal methods can block update attacks | |
EP1655682A2 (en) | System and Method of Aggregating the Knowledge Base of Antivirus Software Applications | |
US20070240220A1 (en) | System and method for managing malware protection on mobile devices | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
JP2012529690A (ja) | マルウェアスキャンに関する誤警報検出 | |
CN110084064B (zh) | 基于终端的大数据分析处理方法及系统 | |
CN109766694A (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
CN106709336A (zh) | 识别恶意软件的方法和装置 | |
Huang et al. | Android malware development on public malware scanning platforms: A large-scale data-driven study | |
EP2417552B1 (en) | Malware determination | |
Korine et al. | DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining | |
RU2510530C1 (ru) | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов | |
Gandotra et al. | Malware intelligence: beyond malware analysis | |
CN103677746A (zh) | 指令重组方法及装置 | |
Lu et al. | Static detection of file access control vulnerabilities on windows system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20240111 Granted publication date: 20111228 |