CN106127052A - 恶意程序的识别方法及装置 - Google Patents
恶意程序的识别方法及装置 Download PDFInfo
- Publication number
- CN106127052A CN106127052A CN201610509383.4A CN201610509383A CN106127052A CN 106127052 A CN106127052 A CN 106127052A CN 201610509383 A CN201610509383 A CN 201610509383A CN 106127052 A CN106127052 A CN 106127052A
- Authority
- CN
- China
- Prior art keywords
- file
- monitored
- file format
- rogue program
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 230000008569 process Effects 0.000 claims description 35
- 238000012544 monitoring process Methods 0.000 claims description 25
- 230000008859 change Effects 0.000 claims description 9
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 7
- 230000002265 prevention Effects 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical class CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 101100010303 Drosophila melanogaster PolG1 gene Proteins 0.000 description 1
- 101150078890 POLG gene Proteins 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种恶意程序的识别方法及装置,涉及计算机技术领域,本发明的目的在于解决现有技术中计算机系统中识别的恶意程序不全面,从而使计算机系统的安全受到威胁的问题,本发明的技术方案包括:在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;确定所述第一文件格式与所述第二文件格式是否存在差异;若确定第一文件格式与所述第二文件格式存在差异,则输出是否将待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;若接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息,则确定所述待监控文件中存在恶意程序。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种恶意程序的识别方法及装置。
背景技术
随着社会信息化的不断发展,网络中恶意程序也在不断增加,恶意程序的攻击给用户带去不必要的麻烦。为了防止恶意程序对计算机等终端设备进行攻击,需要对终端设备中易被恶意程序感染的传播途径进行监控,例如,通过浏览器浏览页面所运行的恶意程序、通过某邮件客户端所运行的恶意程序、通过解压文件得到的所运行的恶意程序等。
目前,对终端设备中的恶意程序进行监控时,常通过下述方法对恶意程序进行识别,具体包括:在预定时间段内对待检测文件的编辑次数进行累加,若在该预定时间段内累加的待检测文件的编辑次数超过预置危险次数,则输出显示是否阻止继续编辑待检测文件的对话框,若接收到阻止指令,则通过预置黑名单确定终端设备中存在恶意程序。例如,预置文件的类型包括:.doc文件、.rar文件、.psd文件等等,若监控到在一分钟内对预置文件中的5个文件进行了修改,满足了预置危险次数,则确定执行修改预置文件的程序为恶意程序。
但是,为了防止误报,预置黑名单中记录的并不是所有的恶意程序,预置黑名单中记录的恶意程序可能只是来自网络、解压、f l ash播放等敏感传播途径的恶意程序,导致在对恶意程序识别过程中,识别出的恶意程序不全面,从而使计算机系统的安全受到威胁。
发明内容
有鉴于此,本发明提供的一种恶意程序的识别方法及装置,主要目的在于解决现有技术中计算机系统中识别的恶意程序不全面,从而使计算机系统的安全受到威胁的问题。
依据本发明一个方面,本发明提供了一种恶意程序的识别方法,包括:
在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
确定所述第一文件格式与所述第二文件格式是否存在差异;
若确定所述第一文件格式与所述第二文件格式存在差异,则输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
若接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息,则确定所述待监控文件中存在恶意程序。
依据本发明另一个方面,本发明提供了一种恶意程序的识别装置,包括:
第一获取单元,用于在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
第二获取单元,用于在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
第一确定单元,用于确定所述第一获取单元获取的所述第一文件格式与所述第二获取单元获取的所述第二文件格式是否存在差异;
输出单元,用于当第一确定单元确定所述第一文件格式与所述第二文件格式存在差异时,输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
第二确定单元,用于当接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息时,确定所述待监控文件中存在恶意程序。
借由上述技术方案,本发明提供的恶意程序的识别方法及装置,运行于计算机等终端设备中的应用程序对待监控文件的写入进行监控,在对待监控文件写入前,获取待检测文件的第一文件格式,并继续对待监控文件的关闭进行监控,在执行待监控文件的关闭前,获取待监控文件的第二文件格式,应用程序执行将第一文件格式与第二文件格式进行比对,当确定第一文件格式与第二文件格式存在差异时,在终端设备的显示界面输出显示是否将待监控文件由第一文件格式修改为第二文件格式的提示信息,若终端设备用户选择阻止将第一文件格式修改为第二文件格式的功能按键时,确定监控文件中存在恶意程序,以用户对待监控文件的实际操作判断是否更改待监控文件的文件格式,能够准确、全面的监控到待监控文件中存在的恶意程序。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种恶意程序的识别方法的流程图;
图2示出了本发明实施例提供的一种将待监控文件由第一文件格式修改为第二文件格式的提示信息的示意图;
图3示出了本发明实施例提供的一种将待监控文件由第一文件格式修改为第二文件格式的提示信息的示意图;
图4示出了本发明实施例提供的一种恶意程序的识别装置的组成框图;
图5示出了本发明实施例提供的一种恶意程序的识别装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种恶意程序的识别方法,该方法应用于计算机设备中,如图1所示,所述方法包括:
101、在执行待监控文件的写入前,获取所述待监控文件的第一文件格式。
在执行本步骤之前,首先需要对本发明实施例所述方法能够监测的文件类型进行预设,所述待监控文件的文件类型,可以包含但不局限于以下内容,例如:.doc文件、.jpg文件、.polg文件、.zip文件、.rar文件、.dwg文件、.psd文件、.ppt文件等能够被用户编辑的文件类型,本发明实施例对待检测文件的具体文件类型不进行限定。
在实际应用中,用户通过计算机设备在对待监控文件进行编辑的过程包括:启动该待监控文件,执行文件的写入,写入完成后保存对该待监控文件的编辑,并关闭该待监控文件。为了防止待监控文件中被恶意程序攻击,在待监控文件执行写入前,获取待监控文件的第一文件格式,该第一文件格式为待监控文件最原始的文件格式,其目的在于,通过判断待监控文件的文件格式,判断该待检测文件中是否存在加密后的恶意程序。
在获取待监控文件的第一文件格式时,通过调用预置文件格式识别接口(如:QEX系统接口),对待检测文件的文件头进行识别,并确定待监控文件的第一文件格式。其中,文件头一般位于待监控文件的开头部分,其用于承担一定的数据信息,例如,文件的文件格式为.jpg,其对应的文件头为FFD8FFE1(十六进制)、文件格式为.rar,其对应的文件头为:52617221(十六进制)。本发明实施例对预置文件格式识别接口以及不同文件格式对应的文件头不作限定。
102、在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式。
由步骤101可知,用户通过计算机设备对待监控文件的操作过程结束的标志为该待监控文件的关闭,为了确定该待监控文件的编辑是用户手动写入的,还是加密恶意程序自动写入的,因此,在关闭待监控文件之前,截获关闭待监控文件的操作,并获取待监控文件的第二文件格式,有关获取待监控文件的第二文件格式的方式,与上述步骤101中,获取第一文件格式的方式相似,请参考上述详细描述,本发明实施例在此不再进行赘述。
需要说明的是,本发明实施例所述的第一文件格式和第二文件格式是针对同一文件,在不同操作状态(写入/关闭)下所确定的。在实际应用中,可以只对运行中的待检测文件进行监测,也可以同时对当前运行的待检测文件即后台运行的待监控文件进行监测,本发明实施例对同时能够监测待检测文件当前的写入/关闭状态的个数不进行限定。
103、确定所述第一文件格式与所述第二文件格式是否存在差异。
将第一文件格式与第二文件格式进行比对,确定第一文件格式与第二文件格式是否存在差异,若确定第一文件格式与第二文件格式存在差异,则继续执行步骤104;若确定第一文件格式与第二文件格式无任何差异,则确定待检测文件中不存在加密的恶意程序。
104、若确定所述第一文件格式与所述第二文件格式存在差异,则输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息。
当确定第一文件格式与第二文件格式存在差异时,可能包含两种情况,第一种情况:用户根据自身的实际需求,将待检测文件由第一文件格式转换为第二文件格式;第二种情况:该待检测文件中存在加密的恶意程序,文件格式的转换由该加密的恶意程序操控。
确认待监控文件出现文件格式变化的本质方法是,在计算机终端显示界面中输出显示是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息,若该文件格式的转换修改为第一种情况,则可排除文件格式的修改转化非加密的恶意程序所为;若该文件格式的转换修改为上述第二种情况,则说明文件格式的修改转换非用户的本意所为,而是加密恶意程序的非法操作。
示例性的,如图2所示,图2示出了本发明实施例提供的一种将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息的示意图,当用户选择图2所述的阻止按键时,确定待检测文件的文件格式的修改转换是由上述第二种情况引起的;当用户选择图2所示的确定按键时,确定待检测文件的文件格式的修改转换是由上述第一种情况引起的。需要说明的是,本发明实施例以阻止修改文件格式为例进行说明,图2仅为示例性的举例,本发明实施例对待监控文件的第一文件格式、第二文件格式、提示信息中的提示内容不进行限定。
105、若接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息,则确定所述待监控文件中存在恶意程序。
承由图2所示的内容,当用户点击阻止按键时,从计算机技术角度讲,计算机接收阻止将待检测文件由第一文件格式修改转换为第二文件格式的指令信息,阻止待检测文件的文件格式的修改转化,以防止加密后的恶意程序攻击待检测文件,进而攻击计算机的正常运行;当用户点击确定按键时,计算机设备接收确定将待检测文件由第一文件格式修改为第二文件格式,并执行文件格式的转换。
本发明实施例提供的恶意程序的识别方法,运行于计算机等终端设备中的应用程序对待监控文件的写入进行监控,在对待监控文件写入前,获取待检测文件的第一文件格式,并继续对待监控文件的关闭进行监控,在执行待监控文件的关闭前,获取待监控文件的第二文件格式,应用程序执行将第一文件格式与第二文件格式进行比对,当确定第一文件格式与第二文件格式存在差异时,在终端设备的显示界面输出显示是否将待监控文件由第一文件格式修改为第二文件格式的提示信息,若终端设备用户选择阻止将第一文件格式修改为第二文件格式的功能按键时,确定监控文件中存在恶意程序,以用户对待监控文件的实际操作判断是否更改待监控文件的文件格式,能够准确、全面的监控到待监控文件中存在的恶意程序。
进一步的,在确定出待检测文件中存在加密后的恶意程序之后,为了防止该加密后的恶意程序继续攻击其他的文件,在确定出恶意程序之后,确定出与恶意程序相关联的进程链,并将进程链对应的恶意程序删除,以防止该进程链上的恶意程序继续对其他文件进行攻击。在确定与恶意程序相关联的进程链时,可以包含但不局限于以下的方式实现,例如:通过预置黑名单确定恶意程序,并获取与该恶意程序相关联的进程链。
在实际应用中,首先获取待监控文件的来源路径,确定该待监控文件的来源路径是否通过浏览器下载得到的、通过某邮件客户端获得的、通过解压文件得到的等敏感的途径得到的,针对待监控文件的不同来源路径,可能存在不同的恶意程序,将可能存在危险的恶意程序存储于预置黑名单中,当恶意程序与预置黑名单中的恶意程序匹配时,即可获取该恶意程序与其相关的进程链。其中,所述进程链是由一个父进程派生子进程,子进程在派生子进程。需要说明的是,只要确定是该进程链中有一个非白程序(黑名单中的程序),将该进程链中相关的所有程序(进程)都删除,以防止该非白程序后续继续发起攻击。
示例性的,用户通过浏览器访问某个包含木马(flash漏洞)的网站,浏览器下载了该木马程序,浏览器在执行该木马程序A时,该木马程序A在攻击计算机设备时,木马程序A可能不会直接攻击计算机设备中的待检测文件,而是,通过遍历的方式调用一个白名单中的加密程序B继续对待监控文件进行攻击,即对待监控文件进行写入等操作,其中,木马程序A与加密程序B属于一个进程链,在删除进程链上的恶意程序时,会将木马程序A与加密程序B全部删除。
作为本发明实施例的一种可实现方式,在通过黑名单确定出恶意程序之后,在图2显示将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息时,当用户触发阻止修改后,如图3所示,可以将该恶意程序的来源信息、恶意程序文件等信息进行显示,以便于用户在访问恶意程序的来源信息时,注意类似的风险,图3仅为示例性的举例,本发明实施例对图3中显示的具体内容不作限定。
进一步的,假设,在用户不明的情况下,恶意程序自动对待监控文件进行了恶意修改,为了避免用户的损失,在计算机设备打开待监控文件后。且对待监控文件写入前,记录待监控文件的存储路径,并对待监控文件进行备份,其目的在于,若待监控文件被恶意修改,通过备份的待监控文件对其进行覆盖,挽回用户的损失。在确定待监控文件中存在恶意程序之后,自动使用备份后的待监控文件将被恶意程序修改后的文件进行覆盖。
进一步的,为了能够更准确的监控到用户对待监控文件的写入/关闭状态,常通过调用预置监控接口对待监控文件的写入和/或关闭进行监控,在实际应用中,待监控文件的写入被记录在计算机设备的硬件磁盘中,因此,预置监控接口对待监控文件在磁盘中的存储位置监控,即可实现对待监控文件的写入监控。预置监控接口对待监控文件的关闭进行监控,可通过对该待监控文件的Close事件进行监控即可。本发明实施例对预置监控接口的类型以及其监控待监控文件写入/关闭的方式不进行限定。
进一步的,在实际应用中,当计算机设备运行恶意程序时,该恶意程序可能不会直接对该待监控文件进行写入,而是,首先,转换该待监控文件的文件格式,并在更改文件格式的待监控文件中继续执行恶意写入。为了解决上述问题,本发明实施例采用的方法是,若在执行待监控文件的关闭前监测到待监控文件的文件格式被修改,则继续对修改后的待监控文件通过如图1所示的方法进行监控,直到监控到该待监控文件关闭。示例性的,假设,恶意程序位于文件1.doc中,在对该文件1.doc进行关闭之前,恶意程序将文件1.doc修改为文件3.ppt,继续对文件3.ppt进行监控,当该文件3.ppt关闭时,通过文件1.doc的备份文件将文件3.ppt进行覆盖。
进一步的,作为对上述图1所示方法的实现,本发明另一实施例还提供了一种恶意程序的识别装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
本发明实施例提供一种恶意程序的识别装置,如图4所示,包括:
第一获取单元41,用于在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
第二获取单元42,用于在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
第一确定单元43,用于确定所述第一获取单元41获取的所述第一文件格式与所述第二获取单元42获取的所述第二文件格式是否存在差异;
输出单元44,用于当第一确定单元43确定所述第一文件格式与所述第二文件格式存在差异时,输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
第二确定单元45,用于当接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息时,确定所述待监控文件中存在恶意程序。
进一步的,如图5所示,所述装置还包括:
第三确定单元46,用于在所述第二确定单元45确定所述待监控文件中存在恶意程序之后,确定与所述恶意程序相关联的进程链;
删除单元47,用于将所述第三确定单元46确定的所述进程链对应的恶意程序删除。
进一步的,如图5所示,所述第三确定单元46包括:
确定模块4601,用于通过预置黑名单确定所述恶意程序;
获取模块4602,用于获取与所述确定模块4601确定的所述恶意程序相关联的进程链。
进一步的,如图5所示,所述装置还包括:
记录单元48,用于在执行待监控文件的写入前,记录所述待监控文件的存储路径;
备份单元49,用于对所述待监控文件进行备份。
进一步的,如图5所示,所述装置还包括:
覆盖单元410,用于在所述第二确定单元45确定所述待监控文件中存在恶意程序之后,使用备份后的所述待监控文件将修改文件格式后的待监控文件进行覆盖。
进一步的,如图5所示,所述装置还包括:
监控单元411,用于调用预置监控接口对所述待监控文件的写入和/或关闭进行监控。
进一步的,如图5所示,所述装置还包括:
处理单元412,用于当在执行所述待监控文件的关闭前监测到所述待监控文件修改文件格式时,继续对修改文件格式后的待监控文件进行监测,直到执行所述修改文件格式后的待监控文件关闭,并确认所述待监控文件中是否存在恶意程序。
进一步的,如图5所示,所述第一获取单元41包括:
识别模块4101,用于通过预置文件格式识别接口对所述待监控文件的文件头进行识别;
确定模块4102,用于确定所述待监控文件的第一文件格式。
本发明实施例提供的恶意程序的识别装置,运行于计算机等终端设备中的应用程序对待监控文件的写入进行监控,在对待监控文件写入前,获取待检测文件的第一文件格式,并继续对待监控文件的关闭进行监控,在执行待监控文件的关闭前,获取待监控文件的第二文件格式,应用程序执行将第一文件格式与第二文件格式进行比对,当确定第一文件格式与第二文件格式存在差异时,在终端设备的显示界面输出显示是否将待监控文件由第一文件格式修改为第二文件格式的提示信息,若终端设备用户选择阻止将第一文件格式修改为第二文件格式的功能按键时,确定监控文件中存在恶意程序,以用户对待监控文件的实际操作判断是否更改待监控文件的文件格式,能够准确、全面的监控到待监控文件中存在的恶意程序。
本发明实施例还提供了如下技术方案:
A1、一种恶意程序的识别方法,包括:
在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
确定所述第一文件格式与所述第二文件格式是否存在差异;
若确定所述第一文件格式与所述第二文件格式存在差异,则输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
若接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息,则确定所述待监控文件中存在恶意程序。
A2、根据A1所述的方法,在确定所述待监控文件中存在恶意程序之后,所述方法还包括:
确定与所述恶意程序相关联的进程链,并将所述进程链对应的恶意程序删除。
A3、根据A2所述的方法,确定与所述恶意程序相关联的进程链包括:
通过预置黑名单确定所述恶意程序,并获取与所述恶意程序相关联的进程链。
A4、根据A1-A3中任一项所述的方法,所述方法还包括:
在执行待监控文件的写入前,记录所述待监控文件的存储路径,并对所述待监控文件进行备份。
A5、根据A4所述的方法,在确定所述待监控文件中存在恶意程序之后,所述方法还包括:
使用备份后的所述待监控文件将修改文件格式后的待监控文件进行覆盖。
A6、根据A1所述的方法,所述方法还包括:
调用预置监控接口对所述待监控文件的写入和/或关闭进行监控。
A7、根据A5所述的方法,所述方法还包括:
若在执行所述待监控文件的关闭前监测到所述待监控文件修改文件格式,则继续对修改文件格式后的待监控文件进行监测,直到执行所述修改文件格式后的待监控文件关闭,并确认所述待监控文件中是否存在恶意程序。
A8、根据A1所述的方法,获取所述待监控文件的第一文件格式包括:
通过预置文件格式识别接口对所述待监控文件的文件头进行识别,并确定所述待监控文件的第一文件格式。
B9、一种恶意程序的识别装置,包括:
第一获取单元,用于在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
第二获取单元,用于在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
第一确定单元,用于确定所述第一获取单元获取的所述第一文件格式与所述第二获取单元获取的所述第二文件格式是否存在差异;
输出单元,用于当第一确定单元确定所述第一文件格式与所述第二文件格式存在差异时,输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
第二确定单元,用于当接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息时,确定所述待监控文件中存在恶意程序。
B10、根据B9所述的装置,所述装置还包括:
第三确定单元,用于在所述第二确定单元确定所述待监控文件中存在恶意程序之后,确定与所述恶意程序相关联的进程链;
删除单元,用于将所述第三确定单元确定的所述进程链对应的恶意程序删除。
B11、根据B10所述的装置,所述第三确定单元包括:
确定模块,用于通过预置黑名单确定所述恶意程序;
获取模块,用于获取与所述确定模块确定的所述恶意程序相关联的进程链。
B12、根据B9-B11中任一项所述的装置,所述装置还包括:
记录单元,用于在执行待监控文件的写入前,记录所述待监控文件的存储路径;
备份单元,用于对所述待监控文件进行备份。
B13、根据B12所述的装置,所述装置还包括:
覆盖单元,用于在所述第二确定单元确定所述待监控文件中存在恶意程序之后,使用备份后的所述待监控文件将修改文件格式后的待监控文件进行覆盖。
B14、根据B9所述的装置,所述装置还包括:
监控单元,用于调用预置监控接口对所述待监控文件的写入和/或关闭进行监控。
B15、根据B13所述的装置,所述装置还包括:
处理单元,用于当在执行所述待监控文件的关闭前监测到所述待监控文件修改文件格式时,继续对修改文件格式后的待监控文件进行监测,直到执行所述修改文件格式后的待监控文件关闭,并确认所述待监控文件中是否存在恶意程序。
B16、根据B9所述的装置,所述第一获取单元包括:
识别模块,用于通过预置文件格式识别接口对所述待监控文件的文件头进行识别;
确定模块,用于确定所述待监控文件的第一文件格式。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种恶意程序的识别方法,其特征在于,包括:
在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
确定所述第一文件格式与所述第二文件格式是否存在差异;
若确定所述第一文件格式与所述第二文件格式存在差异,则输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
若接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息,则确定所述待监控文件中存在恶意程序。
2.根据权利要求1所述的方法,其特征在于,在确定所述待监控文件中存在恶意程序之后,所述方法还包括:
确定与所述恶意程序相关联的进程链,并将所述进程链对应的恶意程序删除。
3.根据权利要求2所述的方法,其特征在于,确定与所述恶意程序相关联的进程链包括:
通过预置黑名单确定所述恶意程序,并获取与所述恶意程序相关联的进程链。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法还包括:
在执行待监控文件的写入前,记录所述待监控文件的存储路径,并对所述待监控文件进行备份。
5.根据权利要求4所述的方法,其特征在于,在确定所述待监控文件中存在恶意程序之后,所述方法还包括:
使用备份后的所述待监控文件将修改文件格式后的待监控文件进行覆盖。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
调用预置监控接口对所述待监控文件的写入和/或关闭进行监控。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若在执行所述待监控文件的关闭前监测到所述待监控文件修改文件格式,则继续对修改文件格式后的待监控文件进行监测,直到执行所述修改文件格式后的待监控文件关闭,并确认所述待监控文件中是否存在恶意程序。
8.根据权利要求1所述的方法,其特征在于,获取所述待监控文件的第一文件格式包括:
通过预置文件格式识别接口对所述待监控文件的文件头进行识别,并确定所述待监控文件的第一文件格式。
9.一种恶意程序的识别装置,其特征在于,包括:
第一获取单元,用于在执行待监控文件的写入前,获取所述待监控文件的第一文件格式;
第二获取单元,用于在执行所述待监控文件的关闭前,获取所述待检测文件的第二文件格式;
第一确定单元,用于确定所述第一获取单元获取的所述第一文件格式与所述第二获取单元获取的所述第二文件格式是否存在差异;
输出单元,用于当第一确定单元确定所述第一文件格式与所述第二文件格式存在差异时,输出是否将所述待监控文件由所述第一文件格式修改为所述第二文件格式的提示信息;
第二确定单元,用于当接收到阻止将所述待监控文件由所述第一文件格式修改为所述第二文件格式的指令信息时,确定所述待监控文件中存在恶意程序。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第三确定单元,用于在所述第二确定单元确定所述待监控文件中存在恶意程序之后,确定与所述恶意程序相关联的进程链;
删除单元,用于将所述第三确定单元确定的所述进程链对应的恶意程序删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610509383.4A CN106127052B (zh) | 2016-06-30 | 2016-06-30 | 恶意程序的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610509383.4A CN106127052B (zh) | 2016-06-30 | 2016-06-30 | 恶意程序的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106127052A true CN106127052A (zh) | 2016-11-16 |
| CN106127052B CN106127052B (zh) | 2019-05-14 |
Family
ID=57468923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610509383.4A Active CN106127052B (zh) | 2016-06-30 | 2016-06-30 | 恶意程序的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106127052B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108717509A (zh) * | 2018-06-05 | 2018-10-30 | 厦门安胜网络科技有限公司 | 一种在沙箱中提取程序衍生物的方法、装置、设备及可读介质 |
| CN113987016A (zh) * | 2021-10-25 | 2022-01-28 | 浙江太美医疗科技股份有限公司 | 临床递交数据对比方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174349A1 (en) * | 2001-05-15 | 2002-11-21 | Wolff Daniel Joseph | Detecting malicious alteration of stored computer files |
| US20110072262A1 (en) * | 2009-09-23 | 2011-03-24 | Idan Amir | System and Method for Identifying Security Breach Attempts of a Website |
| CN103544437A (zh) * | 2012-12-27 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于扩展名和文件格式一致性的安全判别方法和装置 |
| CN103593612A (zh) * | 2013-11-08 | 2014-02-19 | 北京奇虎科技有限公司 | 一种处理恶意程序的方法及装置 |
-
2016
- 2016-06-30 CN CN201610509383.4A patent/CN106127052B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174349A1 (en) * | 2001-05-15 | 2002-11-21 | Wolff Daniel Joseph | Detecting malicious alteration of stored computer files |
| US20110072262A1 (en) * | 2009-09-23 | 2011-03-24 | Idan Amir | System and Method for Identifying Security Breach Attempts of a Website |
| CN103544437A (zh) * | 2012-12-27 | 2014-01-29 | 哈尔滨安天科技股份有限公司 | 一种基于扩展名和文件格式一致性的安全判别方法和装置 |
| CN103593612A (zh) * | 2013-11-08 | 2014-02-19 | 北京奇虎科技有限公司 | 一种处理恶意程序的方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108717509A (zh) * | 2018-06-05 | 2018-10-30 | 厦门安胜网络科技有限公司 | 一种在沙箱中提取程序衍生物的方法、装置、设备及可读介质 |
| CN108717509B (zh) * | 2018-06-05 | 2020-06-23 | 厦门安胜网络科技有限公司 | 一种在沙箱中提取程序衍生物的方法、装置、设备及可读介质 |
| CN113987016A (zh) * | 2021-10-25 | 2022-01-28 | 浙江太美医疗科技股份有限公司 | 临床递交数据对比方法、装置、计算机设备和存储介质 |
| CN113987016B (zh) * | 2021-10-25 | 2023-08-15 | 上海太美数字科技有限公司 | 临床递交数据对比方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106127052B (zh) | 2019-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9047466B2 (en) | Method of detecting a malware based on a white list | |
| US9916230B1 (en) | White box testing | |
| CN103473501B (zh) | 一种基于云安全的恶意软件追踪方法 | |
| US20150220332A1 (en) | Resolving merge conflicts that prevent blocks of program code from properly being merged | |
| US11321274B2 (en) | Software discovery with variable scan frequency | |
| KR20160125960A (ko) | 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 | |
| CN102629310A (zh) | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 | |
| EP3428828A1 (en) | System and method for locating and correcting vulnerabilites in a target computer system | |
| US11777970B1 (en) | Granular and prioritized visualization of anomalous log data | |
| CN108664801B (zh) | 一种结合机器学习的数据防泄漏策略动态更新方法及装置 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN106127052A (zh) | 恶意程序的识别方法及装置 | |
| US11283836B2 (en) | Automatic decoy derivation through patch transformation | |
| US20200042317A1 (en) | Self-learning automated techniques for detecting the usage of software packages | |
| CN102982043B (zh) | Pe文件的处理方法和装置 | |
| US10102204B2 (en) | Maintaining access control lists in non-identity-preserving replicated data repositories | |
| CN104243604A (zh) | 一种文件禁用的方法及装置 | |
| US10552241B2 (en) | Action recommendation to reduce server management errors | |
| KR101986498B1 (ko) | 전자전 장비의 로그파일을 관리하는 로그파일 관리시스템 및 방법 | |
| US8756649B2 (en) | Language-agnostic policy management | |
| KR102101041B1 (ko) | 보안 통제 장치 및 이의 작동 방법 | |
| US11681805B1 (en) | System for analytic data memorialization, data science, and validation | |
| CN103984902A (zh) | 一种新增数据资产的识别方法和系统 | |
| US20230140706A1 (en) | Pipelined Malware Infrastructure Identification | |
| CN115454808A (zh) | 待上线文件控制方法、系统和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211202 Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee after: 3600 Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230710 Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: Beijing Hongxiang Technical Service Co.,Ltd. Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee before: 3600 Technology Group Co.,Ltd. |
|
| CP03 | Change of name, title or address |
Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: Beijing 360 Zhiling Technology Co.,Ltd. Country or region after: China Address before: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee before: Beijing Hongxiang Technical Service Co.,Ltd. Country or region before: China |