CN103971052B - 磁盘引导区病毒识别方法及装置 - Google Patents
磁盘引导区病毒识别方法及装置 Download PDFInfo
- Publication number
- CN103971052B CN103971052B CN201310031901.2A CN201310031901A CN103971052B CN 103971052 B CN103971052 B CN 103971052B CN 201310031901 A CN201310031901 A CN 201310031901A CN 103971052 B CN103971052 B CN 103971052B
- Authority
- CN
- China
- Prior art keywords
- disk
- behavior pattern
- data
- sample
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 137
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000004088 simulation Methods 0.000 claims abstract description 94
- 238000004458 analytical method Methods 0.000 claims description 39
- 230000003612 virological effect Effects 0.000 claims description 13
- 238000002372 labelling Methods 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 6
- 230000004044 response Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 110
- 230000008569 process Effects 0.000 description 13
- 230000008439 repair process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 201000010099 disease Diseases 0.000 description 3
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 239000002574 poison Substances 0.000 description 3
- 231100000614 poison Toxicity 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 210000003739 neck Anatomy 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Abstract
本发明公开了一种磁盘引导区病毒识别方法及装置,该方法包括以下步骤:获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据;根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式;通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别;具有及时、准确地识别新的引导区病毒的有益效果,并能够对识别到的引导区病毒进行及时的响应处理,提高引导区病毒的处理速度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种磁盘引导区病毒识别方法及装置。
背景技术
磁盘引导区病毒通常指的是通过感染MBR(Master Boot Record,磁盘主引导记录)的方式,实现比Windows操作系统更早启动、绕过安全软件检查的病毒,比如bootkit病毒。
目前安全厂商一般都采取检查本机MBR的方式来发现引导区病毒,通常先收集各种已知引导区感染后的MBR数据的黑样本,以及各种未感染引导区病毒的MBR数据的白样本,将收集的黑样本和白样本保存到后台服务器。杀毒软件在本地检查MBR时,首先读取MBR获取其特征值(比如md5值)并上传至服务器,与服务器上已经保存过的MBR特征值进行比对。一旦发现与已知黑样本数据一致,则认为感染病毒;发现与白样本数据一致,则不加处理;若发现既不是白样本,也不是黑样本,则上传为新样本,由人工分析来决定该新样本是黑样本还是白样本。
上述处理方式不能在用户端对未知的引导区病毒进行主动判定,必须上传至服务器分析并确认该病毒的存在之后才能进行处理,从而导致对引导区病毒的处理过于滞后,也不能对其进行及早拦截;由于部分病毒能够快速演化且MBR也不断衍生各种版本,而上述处理方式对每一种演化版本都只能当做未知病毒对待,且需要重新分析,进一步拖慢了对病毒的拦截速度;且MBR样本数量极多,逐一进行人工分析耗时巨大,也容易漏判。
发明内容
本发明的主要目的是提供一种硬盘引导区病毒的识别方法及装置,旨在解决不能及时、准确地识别新的引导区病毒的问题。
本发明实施例公开了一种磁盘引导区病毒识别方法,包括以下步骤:
获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据;
根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;
在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式;
通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别。
本发明实施例还公开了一种磁盘引导区病毒识别装置,包括:
数据获取模块,用于获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据;
模拟执行模块,用于根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式;
病毒识别模块,用于通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别。
本发明通过获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据;根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式;通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别的方法,具有及时、准确地识别新的引导区病毒的有益效果,并能够对识别到的引导区病毒进行及时的响应处理,提高引导区病毒的处理速度。
附图说明
图1是本发明磁盘引导区病毒识别方法一实施例流程示意图;
图2是本发明磁盘引导区病毒识别方法应用于服务端时服务端的功能模块示意图;
图3是本发明磁盘引导区病毒识别方法应用于服务端时又一实施例流程示意图;
图4是本发明磁盘引导区病毒识别方法应用于客户端时客户端的功能模块示意图;
图5是本发明磁盘引导区病毒识别方法应用于客户端时再一实施例流程示意图;
图6是本发明磁盘引导区病毒识别装置一实施例功能模块示意图;
图7是本发明磁盘引导区病毒识别装置应用于服务端时又一实施例功能模块示意图;
图8是本发明磁盘引导区病毒识别装置应用于客户端时再一实施例功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明磁盘引导区病毒识别方法及装置,在不影响真实计算机系统的前提下,对采用MBR执行时调用的磁盘数据作为虚拟磁盘进行模拟引导,分析并记录模拟系统引导时的所有行为,从而对MBR中的磁盘数据是否有可疑行为作出判定。上述模拟执行过程可以在服务端执行,也可以在客户端执行。在服务端执行时,可以对大量的MBR数据进行批量处理,自动分离出具有病毒行为的MBR数据和明显无任何可疑的MBR数据,并留下少数自动分析无法确认的样本,并将上述自动分析无法确认的样本标记为需进行人工分析的样本,提醒后台的开发分析人员进行人工分析;在客户端执行时,当发现MBR被未知的病毒如bootkit感染时,即可及时进行拦截和修复,并将被病毒感染的MBR数据标记为黑样本上传到服务端;当传统的黑白样本比对不能得出结论时,与常用的磁盘引导区病毒识别方法相比,本发明磁盘引导区病毒识别方法及装置能够提高MBR数据的分析效率并提前发现磁盘引导区的新病毒。
请参照图1,图1是本发明磁盘引导区病毒识别方法一实施例流程示意图;如图1所示,本发明磁盘引导区病毒识别方法包括以下步骤:
步骤S01、获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据;
由于服务端预先已收集了各种已知引导区感染后的MBR数据的黑样本,以及各种未感染引导区病毒的MBR数据的白样本,且收集的上述黑样本和白样本均保存在服务端,则在进行磁盘引导区病毒识别时,根据上述已保存的黑样本和白样本,获取上述预先存储的引导区病毒的已知行为模式,所述引导区病毒的已知行为模式包括在进行人工分析引导区病毒如bootkit时,总结的一些引导区病毒的引导过程所具有的特殊的行为模式;本领域的技术人员可以理解,所述一些引导区病毒的引导过程所具有的特殊的行为模式包括但不限于:更改系统内存数量以便为自己留出可用的内存空间、挂钩int 13中断等。同时,获取MBR及该MBR执行时调用的磁盘数据,为后续建立模拟执行环境做准备。在一优选的实施例中,对于少数自动分析无法确认的样本,可以进行人工分析并将得到的新的病毒行为模式存储至服务端,从而使磁盘引导区病毒识别方法的分析精度不断提高。
步骤S02、根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;
步骤S03、在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式;
由于客户端的BIOS(Basic Input Output System,基本输入输出系统)进行初始化和上电自检后,启动系统自检程序,检测MBR,并执行MBR中所包含的指令,然后由这些指令去引导windows系统的启动;而磁盘引导区病毒是通过感染MBR的方式、实现比操作系统更早启动且能够绕过客户端安全软件检查的病毒,因此,可以根据获取的MBR及MBR执行时调用的磁盘数据建立一个虚拟的模拟执行环境,模拟MBR的执行过程,分析并记录MBR的模拟行为模式,尽早识别磁盘引导区病毒,并采取相应的措施。
本领域的技术人员可以理解,由于MBR比较短小(实际只有512字节),因此即使MBR感染病毒后可能加载更多的指令进行病毒操作,但这个执行过程的时间仍然较短且执行的指令数量不多,很容易分离出一些有明显病毒特征的行为模式,因为这些行为模式是正常的系统引导过程所没有的。因此,模拟执行上述过程所需要的系统资源和时间都相对较少。
所述模拟执行是指,在一台计算机上用软件资源来模拟硬件的执行过程,也可以理解为在一台计算机上模拟另一台计算机执行软件的技术。目前,常用的模拟执行方式有多种,比如解释执行方式:对每条指令进行解码,并利用软件资源模拟每一条指令的行为;或者使用VT技术(英特尔公司提供的x86芯片硬件支持的虚拟技术)进行模拟执行,比如开源软件Bochs,本身是一个x86硬件平台的虚拟机,类似于虚拟机VMWare和VirtualBox。由于Bochs也虚拟了所有的硬件,因此运行Bochs并不会对计算机本身真实磁盘中的数据产生实际的影响,且Bochs不会在计算机本机中加载任何驱动程序,仅是一个单纯的应用程序。
在一优选的实施例中,本发明磁盘引导区病毒识别方法采用解释执行作为模拟执行的一种较佳的实现方式。利用解释执行的方式进行模拟执行时,不真实执行任何指令,而是解码每条指令并读取其行为进行虚拟执行,比如:模拟执行“读写寄存器”时,实际执行的是读写虚拟寄存器(比如一些C语言定义的变量);模拟执行“读写内存”时,实际操作的只是一个数组;模拟执行“IO(Input/Output,输入输出)操作”,实际是和一些虚拟的设备进行交互,而这些虚拟的设备也是一些C语言编写的数据结构以及维持其运作的软件程序;模拟执行“中断”,实际执行的是在指令执行过程中插入一些异步事件。
步骤S04、通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别。
将记录的所述模拟行为模式与已知行为模式进行对比分析,若记录的模拟行为模式与预先存储的MBR白样本一致,则识别对应的磁盘引导区暂时没被引导区病毒感染;若记录的模拟行为模式与预先存储的引导区病毒的已知行为模式匹配成功,或者记录的模拟行为模式与预先存储的MBR黑样本一致,或者,一些明显引导区病毒的行为模式(比如更改系统内存数量以便为自己留出可用的内存空间、挂钩int 13中断、访问磁盘空间的尾部等),则识别所述模拟行为模式所对应的磁盘引导区已被病毒感染,并标记对应的所述磁盘主引导记录执行时调用的磁盘数据为黑样本。
本实施例通过获取预先存储的引导区病毒的已知行为模式、磁盘主引导记录及磁盘主引导记录执行时调用的磁盘数据;根据获取的磁盘主引导记录及磁盘数据建立模拟执行环境,模拟磁盘主引导记录的执行过程,分析并记录磁盘主引导记录的模拟行为模式;通过将记录的模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别的方法,具有及时、准确地识别新的引导区病毒的有益效果。
本发明磁盘引导区病毒识别方法应用于服务端时,请参照图2,图2是本发明磁盘引导区病毒识别方法应用于服务端时服务端的功能模块示意图;如图2所示,磁盘引导区病毒识别方法应用于服务端时,磁盘主引导记录及磁盘数据是服务端从磁盘样本MBR开始读取的磁盘样本文件,该磁盘样本文件为服务端从客户端收集的磁盘数据样本。在模拟执行时,服务端通过文件读写接口从MBR开始从上述磁盘样本文件中读取相关磁盘数据,且对上述磁盘样本文件进行读操作,并记录上述磁盘样本文件的写操作及写入的具体内容,作为其行为模式的一部分,通过服务端的模拟器与MBR黑白样本自动判定程序的交互操作,在服务端完成对磁盘引导区病毒的识别过程。
结合图1和图2所述的实施例,请参照图3,图3是本发明磁盘引导区病毒识别方法应用于服务端时又一实施例流程示意图;本实施例与图1所述实施例的区别是,仅增加了步骤S11;本实施例仅对步骤S11作具体描述,有关本发明磁盘引导区病毒识别方法所涉及的其他步骤请参照上述相关实施例的具体描述,在此不再赘述。
如图3所示,本发明磁盘引导区病毒识别方法在步骤S04、通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别的步骤之后还包括步骤:
步骤S11、将所述磁盘主引导记录及磁盘数据标记为需进行人工分析的磁盘数据样本。
服务端将记录的模拟行为模式与存储的已知行为模式进行比对分析,对于与已知行为模式中的白样本匹配成功的,则识别对应的MBR数据暂时没有安全威胁;对于与已知行为模式中的黑样本匹配成功或者是一些明显的引导区病毒的行为模式的,则识别对应的MBR数据已感染引导区病毒;而对于既不能与白样本匹配成功,也不能与黑样本匹配成功,且不能识别记录的该模拟行为模式是否为明显的引导区病毒的行为模式,则向客户端发出提示信息,提醒客户端对该模拟行为模式所对应的磁盘主引导记录及磁盘数据进行人工分析,以便及早识别该模拟行为模式所对应的MBR是否已感染病毒,便于及时采取相应措施。
本发明磁盘引导区病毒识别方法应用于客户端时,请参照图4,图4是本发明磁盘引导区病毒识别方法应用于客户端时客户端的功能模块示意图;如图4所示,磁盘引导区病毒识别方法应用于客户端时,磁盘主引导记录及磁盘数据是客户端从自身的真实磁盘MBR开始读取的客户端真实磁盘文件。在模拟执行时,客户端通过文件读写接口从MBR开始从上述客户端真实的磁盘中读取磁盘数据,且对上述磁盘文件进行读操作,并记录上述磁盘样本文件的写操作及写入的具体内容,作为其行为模式的一部分,通过客户端的模拟器与MBR黑白样本自动判定程序的交互操作,在客户端完成对磁盘引导区病毒的识别过程。
结合图1和图4所述的实施例,请参照图5,图5是本发明磁盘引导区病毒识别方法应用于客户端时再一实施例流程示意图;本实施例与图1所述实施例的区别是,仅增加了步骤S12;本实施例仅对步骤S12作具体描述,有关本发明磁盘引导区病毒识别方法所涉及的其他步骤请参照上述相关实施例的具体描述,在此不再赘述。
如图5所示,本发明磁盘引导区病毒识别方法在步骤S04、通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别的步骤之后还包括步骤:
步骤S12、将标记为黑样本的所述磁盘数据上传至服务端,并进行客户端自身的修复操作。
客户端将记录的模拟行为模式与存储的已知行为模式进行比对分析,对于与已知行为模式中的白样本匹配成功的,则识别对应的MBR数据暂时没有安全威胁;对于与已知行为模式中的黑样本匹配成功或者是一些明显的引导区病毒的行为模式的,则识别对应的MBR数据已感染引导区病毒;客户端将标记为黑样本的磁盘数据上传至服务端,并进行自身的修复操作。
在一优选的实施例中,对于既不能与白样本匹配成功,也不能与黑样本匹配成功的模拟行为模式,则将上述模拟行为模式上传至服务端,由服务端对其进行分析,并与存储的黑白样本进行匹配;若服务端分析后,仍不能对该模拟行为模式进行确认,则由后台分析人员对其进行人工分析,根据分析结果对其进行处理;比如,分析结果为,该模拟行为模式为安全行为,则不对其进行处理;分析结果为,该模拟行为模式会对客户端造成安全威胁,则将该模拟行为模式所对应的磁盘数据进行删除、修复等处理,并将上述分析结果及处理过程均上传至服务端。客户端可以根据分析结果将安全行为所对应的磁盘数据标记为白样本,将对客户端造成安全威胁的磁盘数据标记为黑样本后,将所述白样本及黑样本上传至服务端。
本实施例在客户端识别引导区病毒后,进行自身修复操作,具有对识别到的引导区病毒进行及时响应处理的有益效果,提高了客户端引导区病毒的处理速度。
参照图6,图6是本发明磁盘引导区病毒识别装置一实施例功能模块示意图;如图6所示,本发明磁盘引导区病毒识别装置包括:数据获取模块01、模拟执行模块02和病毒识别模块03。
数据获取模块01,用于获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据。
由于服务端预先已收集了各种已知引导区感染后的MBR数据的黑样本,以及各种未感染引导区病毒的MBR数据的白样本,且收集的上述黑样本和白样本均保存在服务端,则在进行磁盘引导区病毒识别时,根据上述已保存的黑样本和白样本,数据获取模块01获取上述预先存储的引导区病毒的已知行为模式,所述引导区病毒的已知行为模式包括在进行人工分析引导区病毒如bootkit时,总结的一些引导区病毒的引导过程所具有的特殊的行为模式;本领域的技术人员可以理解,所述一些引导区病毒的引导过程所具有的特殊的行为模式包括但不限于:更改系统内存数量以便为自己留出可用的内存空间、挂钩int 13中断等。同时,数据获取模块01获取MBR及该MBR执行时调用的磁盘数据,为后续建立模拟执行环境做准备。在一优选的实施例中,对于少数自动分析无法确认的样本,可以进行人工分析并将得到的新的病毒行为模式存储至服务端,从而使磁盘引导区病毒识别装置对引导区病毒的分析精度不断提高。
模拟执行模块02,用于根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;在模拟所述磁盘主引导记录的执行过程中,分析并记录所述磁盘主引导记录的模拟行为模式。
由于客户端的BIOS进行初始化和上电自检后,启动系统自检程序,检测MBR,并执行MBR中所包含的指令,然后由这些指令去引导windows系统的启动;而磁盘引导区病毒是通过感染MBR的方式、实现比操作系统更早启动且能够绕过客户端安全软件检查的病毒,因此,模拟执行模块02可以根据数据获取模块01获取的MBR及MBR执行时调用的磁盘数据建立一个虚拟的模拟执行环境,模拟MBR的执行过程,分析并记录MBR的模拟行为模式,尽早识别磁盘引导区病毒,并采取相应的措施。
本领域的技术人员可以理解,由于MBR比较短小(实际只有512字节),因此即使MBR感染病毒后可能加载更多的指令进行病毒操作,但这个执行过程的时间仍然较短且执行的指令数量不多,很容易分离出一些有明显病毒特征的行为模式,因为这些行为模式是正常的系统引导过程所没有的。因此,模拟执行上述过程所需要的系统资源和时间都相对较少。
有关模拟执行的相关描述,请参照上述相关实施例的具体描述,在此不再赘述。
在一优选的实施例中,本发明磁盘引导区病毒识别装置采用解释执行作为模拟执行的一种较佳的实现方式。利用解释执行的方式进行模拟执行时,不真实执行任何指令,而是解码每条指令并读取其行为进行虚拟执行,比如:模拟执行“读写寄存器”时,实际执行的是读写虚拟寄存器(比如一些C语言定义的变量);模拟执行“读写内存”时,实际操作的只是一个数组;模拟执行“IO操作”,实际是和一些虚拟的设备进行交互,而这些虚拟的设备也是一些C语言编写的数据结构以及维持其运作的软件程序;模拟执行“中断”,实际执行的是在指令执行过程中插入一些异步事件。
病毒识别模块03,用于通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别。
病毒识别模块03将模拟执行模块02记录的模拟行为模式与数据获取模块01获取的已知行为模式进行对比分析,若记录的模拟行为模式与预先存储的MBR白样本一致,病毒识别模块03识别对应的磁盘引导区暂时没被引导区病毒感染;若记录的模拟行为模式与预先存储的引导区病毒的已知行为模式匹配成功,或者记录的模拟行为模式与预先存储的MBR黑样本一致,或者,一些明显引导区病毒的行为模式(比如更改系统内存数量以便为自己留出可用的内存空间、挂钩int 13中断、访问磁盘空间的尾部等),病毒识别模块03则识别所述模拟行为模式所对应的磁盘引导区已被病毒感染,并标记对应的所述磁盘主引导记录执行时调用的磁盘数据为黑样本。
本实施例通过获取预先存储的引导区病毒的已知行为模式、磁盘主引导记录及磁盘主引导记录执行时调用的磁盘数据;根据获取的磁盘主引导记录及磁盘数据建立模拟执行环境,模拟磁盘主引导记录的执行过程,分析并记录磁盘主引导记录的模拟行为模式;通过将记录的模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别,具有及时、准确地识别新的引导区病毒的有益效果。
结合图2和图6所述的实施例,请参照7,图7是本发明磁盘引导区病毒识别装置应用于服务端时又一实施例功能模块示意图;本实施例与图6所述实施例的区别是,仅增加了样本标记模块04,本实施例仅对样本标记模块04做具体描述,本发明磁盘引导区病毒识别装置所涉及的其他模块请参照相关实施例的具体描述,在此不再赘述。
如图7所示,本发明磁盘引导区病毒识别装置应用于服务端时,还包括:
样本标记模块04,用于将所述磁盘主引导记录及磁盘数据标记为需进行人工分析的磁盘数据样本。
病毒识别模块03将模拟执行模块02记录的模拟行为模式与数据获取模块01获取的已知行为模式进行对比分析,对于与已知行为模式中的白样本匹配成功的,则识别对应的MBR数据暂时没有安全威胁;对于与已知行为模式中的黑样本匹配成功或者是一些明显的引导区病毒的行为模式的,则识别对应的MBR数据已感染引导区病毒;而对于既不能与白样本匹配成功,也不能与黑样本匹配成功,且不能识别记录的该模拟行为模式是否为明显的引导区病毒的行为模式,样本标记模块04向客户端发出提示信息,提醒客户端对该模拟行为模式所对应的磁盘主引导记录及磁盘数据进行人工分析,以便及早识别该模拟行为模式所对应的MBR是否已感染病毒,便于及时采取相应措施。
结合图4和图6所述的实施例,请参照图8,图8是本发明磁盘引导区病毒识别装置应用于客户端时再一实施例功能模块示意图。本实施例与图6所述实施例的区别是,仅增加了数据修复模块05;本实施例仅对数据修复模块05作具体描述,本发明磁盘引导区病毒识别装置所涉及的其他模块请参照相关实施例的具体描述,在此不再赘述。
如图8所示,本发明磁盘引导区病毒识别装置应用于客户端时,还包括:
数据修复模块05,用于将标记为黑样本的所述磁盘数据上传至服务端,并进行客户端自身的修复操作。
病毒识别模块03将模拟执行模块02记录的模拟行为模式与数据获取模块01获取的已知行为模式进行对比分析,对于与已知行为模式中的白样本匹配成功的,则识别对应的MBR数据暂时没有安全威胁;对于与已知行为模式中的黑样本匹配成功或者是一些明显的引导区病毒的行为模式的,则识别对应的MBR数据已感染引导区病毒;客户端的数据修复模块05将标记为黑样本的磁盘数据上传至服务端,并进行自身的修复操作。
在一优选的实施例中,对于既不能与白样本匹配成功,也不能与黑样本匹配成功的模拟行为模式,数据修复模块05将上述模拟行为模式上传至服务端,由服务端对其进行分析,并与存储的黑白样本进行匹配;若服务端分析后,仍不能对该模拟行为模式进行确认,则由后台分析人员对其进行人工分析,根据分析结果对其进行处理;比如,分析结果为,该模拟行为模式为安全行为,则数据修复模块05不对其进行处理;分析结果为,该模拟行为模式会对客户端造成安全威胁,则数据修复模块05将该模拟行为模式所对应的磁盘数据进行删除、修复等处理,并将上述分析结果及处理过程均上传至服务端。数据修复模块05可以根据分析结果将安全行为所对应的磁盘数据标记为白样本,将对客户端造成安全威胁的磁盘数据标记为黑样本后,将所述白样本及黑样本上传至服务端。
本实施例在客户端识别引导区病毒后,进行自身修复操作,具有对识别到的引导区病毒进行及时响应处理的有益效果,提高了客户端引导区病毒的处理速度。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (4)
1.一种磁盘引导区病毒识别方法,所述方法应用于服务端,其特征在于,包括以下步骤:
获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据,其中,所述磁盘主引导记录及所述磁盘数据是所述服务端从磁盘样本开始读取的磁盘样本文件,所述磁盘样本文件为所述服务端从客户端收集的磁盘数据样本;
根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;
在模拟所述磁盘主引导记录的执行过程中,服务端通过文件读写接口从磁盘样本开始从所述磁盘样本文件中读取磁盘数据,对所述磁盘样本文件进行读操作,分析并记录所述磁盘样本文件的写操作,并将写入的内容作为所述磁盘主引导记录的模拟行为模式;
通过所述服务端的模拟器与磁盘样本黑白样本判定程序的交互操作将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别;
其中,在通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别之后,所述方法还包括:将所述磁盘主引导记录及磁盘数据标记为需进行人工分析的磁盘数据样本。
2.如权利要求1所述的方法,其特征在于,所述通过将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别的步骤包括:
在记录的所述模拟行为模式与已知行为模式匹配成功时,识别所述模拟行为模式所对应的磁盘引导区已被病毒感染,标记所述磁盘主引导记录执行时调用的磁盘数据为黑样本。
3.一种磁盘引导区病毒识别装置,所述装置应用于服务端,其特征在于,包括:
数据获取模块,用于获取预先存储的引导区病毒的已知行为模式,并获取磁盘主引导记录及所述磁盘主引导记录执行时调用的磁盘数据,其中,所述磁盘主引导记录及所述磁盘数据是所述服务端从磁盘样本开始读取的磁盘样本文件,所述磁盘样本文件为所述服务端从客户端收集的磁盘数据样本;
模拟执行模块,用于根据获取的所述磁盘主引导记录及磁盘数据建立模拟执行环境,模拟所述磁盘主引导记录的执行过程;在模拟所述磁盘主引导记录的执行过程中,服务端通过文件读写接口从磁盘样本开始从所述磁盘样本文件中读取磁盘数据,对所述磁盘样本文件进行读操作,分析并记录所述磁盘样本文件的写操作,并将写入的内容作为所述磁盘主引导记录的模拟行为模式;
病毒识别模块,用于通过所述服务端的模拟器与磁盘样本黑白样本判定程序的交互操作将记录的所述模拟行为模式与已知行为模式进行对比分析,对磁盘引导区病毒进行识别;
其中,所述装置还包括:样本标记模块,用于将所述磁盘主引导记录及磁盘数据标记为需进行人工分析的磁盘数据样本。
4.如权利要求3所述的装置,其特征在于,所述病毒识别模块还用于:
在记录的所述模拟行为模式与已知行为模式匹配成功时,识别所述模拟行为模式所对应的磁盘引导区已被病毒感染,标记所述磁盘主引导记录执行时调用的磁盘数据为黑样本。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310031901.2A CN103971052B (zh) | 2013-01-28 | 2013-01-28 | 磁盘引导区病毒识别方法及装置 |
| PCT/CN2013/088142 WO2014114134A1 (en) | 2013-01-28 | 2013-11-29 | Method and device for identifying a disk boot sector virus, and storage medium |
| US14/304,777 US20140298002A1 (en) | 2013-01-28 | 2014-06-13 | Method and device for identifying a disk boot sector virus, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310031901.2A CN103971052B (zh) | 2013-01-28 | 2013-01-28 | 磁盘引导区病毒识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103971052A CN103971052A (zh) | 2014-08-06 |
| CN103971052B true CN103971052B (zh) | 2017-06-30 |
Family
ID=51226900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310031901.2A Active CN103971052B (zh) | 2013-01-28 | 2013-01-28 | 磁盘引导区病毒识别方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140298002A1 (zh) |
| CN (1) | CN103971052B (zh) |
| WO (1) | WO2014114134A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及系统 |
| CN109800571B (zh) * | 2018-12-29 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 事件处理方法和装置、以及存储介质和电子装置 |
| CN112579330B (zh) * | 2019-09-30 | 2024-02-06 | 奇安信安全技术(珠海)有限公司 | 操作系统异常数据的处理方法、装置及设备 |
| CN112733143A (zh) * | 2021-01-11 | 2021-04-30 | 安芯网盾(北京)科技有限公司 | 一种检测系统引导区异常的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102339371A (zh) * | 2011-09-14 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| RU2472215C1 (ru) * | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166059A1 (en) * | 2001-05-01 | 2002-11-07 | Rickey Albert E. | Methods and apparatus for protecting against viruses on partitionable media |
| KR100704629B1 (ko) * | 2005-04-15 | 2007-04-09 | 삼성전자주식회사 | 변경된 위치의 마스터 부트 레코드의 바이러스 감염 여부를판단하고 치료하는 장치 및 방법 |
| US20130117006A1 (en) * | 2011-11-07 | 2013-05-09 | Microsoft Corporation | Simulated boot process to detect introduction of unauthorized information |
-
2013
- 2013-01-28 CN CN201310031901.2A patent/CN103971052B/zh active Active
- 2013-11-29 WO PCT/CN2013/088142 patent/WO2014114134A1/en active Application Filing
-
2014
- 2014-06-13 US US14/304,777 patent/US20140298002A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102339371A (zh) * | 2011-09-14 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| RU2472215C1 (ru) * | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014114134A1 (en) | 2014-07-31 |
| US20140298002A1 (en) | 2014-10-02 |
| CN103971052A (zh) | 2014-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2955658B1 (en) | System and methods for detecting harmful files of different formats | |
| US7356736B2 (en) | Simulated computer system for monitoring of software performance | |
| US8762948B1 (en) | System and method for establishing rules for filtering insignificant events for analysis of software program | |
| US9804948B2 (en) | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing | |
| JP2018041438A (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
| US20080289042A1 (en) | Method for Identifying Unknown Virus and Deleting It | |
| RU91213U1 (ru) | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов | |
| TW201533604A (zh) | 產生候選鈎點以偵測惡意程式之方法及其系統 | |
| CN101788915A (zh) | 基于可信进程树的白名单更新方法 | |
| EP2750037B1 (en) | System and method for improving the efficiency of application emulation acceleration | |
| CN103971052B (zh) | 磁盘引导区病毒识别方法及装置 | |
| CN109583202A (zh) | 用于检测进程的地址空间中的恶意代码的系统和方法 | |
| CN111597109A (zh) | 一种跨架构固件堆内存的缺陷检测方法及系统 | |
| CN105678160B (zh) | 用于提供对引导驱动程序的原始例程的访问的系统和方法 | |
| WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
| RU2748518C1 (ru) | Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды | |
| US20220035905A1 (en) | Malware analysis through virtual machine forking | |
| CN110287696A (zh) | 一种反弹shell进程的检测方法、装置和设备 | |
| CN107506638B (zh) | 一种基于硬件机制的内核控制流异常检测方法 | |
| CN108228312A (zh) | 通过解释器执行代码的系统和方法 | |
| CN110414220B (zh) | 沙箱内程序动态执行过程中的操作文件提取方法及装置 | |
| CN111783094A (zh) | 一种数据分析方法、装置、服务器及可读存储介质 | |
| CN103914650B (zh) | 病毒检测方法和装置 | |
| US11886589B2 (en) | Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method | |
| KR102421394B1 (ko) | 하드웨어와 소프트웨어 기반 트레이싱을 이용한 악성코드 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231017 Address after: 100089 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518044, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
| TR01 | Transfer of patent right |