CN106682513A - 一种目标样本文件的检测方法和装置 - Google Patents
一种目标样本文件的检测方法和装置 Download PDFInfo
- Publication number
- CN106682513A CN106682513A CN201611066136.8A CN201611066136A CN106682513A CN 106682513 A CN106682513 A CN 106682513A CN 201611066136 A CN201611066136 A CN 201611066136A CN 106682513 A CN106682513 A CN 106682513A
- Authority
- CN
- China
- Prior art keywords
- target sample
- virtual machine
- sample file
- driver
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种目标样本文件的检测方法和装置,包括:从数据源接收目标样本文件;将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。本方案以虚拟机作为载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用,进而确定出威胁样本文件;生成检测结果日志,为后续信息安全防护提供参考和依据。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种目标样本文件的检测方法和装置。
背景技术
随着互联网技术的不断发展,人们对于网络的使用愈加频繁,通过网络可以进行工作、学习、生活、娱乐等多方面的事宜,给人们带来了极大的便利。然而,当前互联网技术中存在系统级的内核漏洞,这些漏洞给恶意开发者以可乘之机,恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击,获取用户的个人信息,威胁用户的信息安全,给用户的人身、财产等方面损失。
因此,如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理,是当前亟待解决的重要问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。
依据本发明的一个方面,提供了一种目标样本文件的检测方法,包括:
从数据源接收目标样本文件;
将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;
是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
可选地,在所述将所述目标样本文件投放到虚拟机中运行之前,该方法进一步包括:
加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述将所述目标样本文件投放到虚拟机中运行包括:在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;
则所述检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
可选地,所述加载虚拟机中用于检测内核漏洞利用的驱动程序包括:
初始化所述驱动程序的相关数据结构对象和变量;
记录虚拟机中的系统进程的标识信息;
记录虚拟机中的第一调度表中存储的函数指针的初始值。
可选地,该方法进一步包括:
当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
可选地,所述利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:
监听虚拟机中执行指定操作的函数的调用事件;
当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;
获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;
是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
可选地,所述判断虚拟机中是否发生内核漏洞利用包括:
获取当前虚拟机中的第一调度表中存储的函数指针的值;
将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;
如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,所述判断虚拟机中是否发生内核漏洞利用包括:
根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;
获取当前所述目标样本文件对应的进程的指定结构地址;
判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;
是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,该方法进一步包括:
当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。
可选地,所述判断虚拟机中是否发生内核漏洞利用包括:
获取当前所述目标样本文件对应的进程的指定属性值;
将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,所述利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用还包括:
当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;
当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
可选地,所述根据预置配置信息对所述驱动程序进行初始化包括:在虚拟机中创建日志记录线程;
则所述根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志包括:
利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。
可选地,该方法进一步包括:
当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
可选地,该方法进一步包括:
获取所述驱动程序对应的进程的标识信息;
根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;
监听虚拟机中的指定事件;
当监听到虚拟机中发生指定事件时,拦截所述指定事件;
获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;
将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;
如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
可选地,该方法进一步包括:
获取检测结果日志的存储路径;
在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;
将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;
如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
依据本发明的另一个方面,提供了一种目标样本文件的检测装置,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
可选地,所述检测处理单元,进一步适于在所述将所述目标样本文件投放到虚拟机中运行之前,加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述检测处理单元,适于在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
可选地,所述检测处理单元,适于初始化所述驱动程序的相关数据结构对象和变量;记录虚拟机中的系统进程的标识信息;记录虚拟机中的第一调度表中存储的函数指针的初始值。
可选地,所述检测处理单元,进一步适于当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
可选地,所述检测处理单元,适于监听虚拟机中执行指定操作的函数的调用事件;当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
可选地,所述检测处理单元,适于获取当前虚拟机中的第一调度表中存储的函数指针的值;将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,所述检测处理单元,适于根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;获取当前所述目标样本文件对应的进程的指定结构地址;判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,所述检测处理单元,进一步适于当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。
可选地,所述检测处理单元,适于获取当前所述目标样本文件对应的进程的指定属性值;将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
可选地,所述检测处理单元,适于当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
可选地,所述检测处理单元,适于在虚拟机中创建日志记录线程;利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。
可选地,所述检测处理单元,进一步适于当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
可选地,所述检测处理单元,进一步适于获取所述驱动程序对应的进程的标识信息;根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;监听虚拟机中的指定事件;当监听到虚拟机中发生指定事件时,拦截所述指定事件;获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
可选地,所述检测处理单元,进一步适于获取检测结果日志的存储路径;在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
由上述可知,本发明的技术方案将从数据源接收的目标样本文件投放到虚拟机中进行检测,当检测出目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,确定目标样本文件为威胁样本文件,并生成相应的检测结果日志。本方案以虚拟机作为载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用,进而确定出威胁样本文件;生成关于威胁样本文件的检测结果日志,为后续信息安全防护提供参考和依据。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图;
图2示出了根据本发明一个实施例的目标样本文件的检测方案中每个模块对应的流程图;
图3示出了根据本发明一个实施例的检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用的流程图;
图4A示出了根据本发明一个实施例的对虚拟机中辅助检测进程保护的流程图;
图4B示出了根据本发明一个实施例的对虚拟机中辅助检测文件保护的流程图;
图5示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图。如图1所示,该方法包括:
步骤S110,从数据源接收目标样本文件。
步骤S120,将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
步骤S130,是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
可见,图1所示的方法将从数据源接收的目标样本文件投放到虚拟机中进行检测,当检测出目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,确定目标样本文件为威胁样本文件,并生成相应的检测结果日志。本方案以虚拟机作为载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用,进而确定出威胁样本文件;生成关于威胁样本文件的检测结果日志,为后续信息安全防护提供参考和依据。
其中,分析得到的目标样本文件相关的特征信息包括:目标样本文件的静态特征信息,和/或,目标样本文件的行为特征信息。也就是说,对于放入虚拟机中运行的目标样本文件,无论是该目标样本文件的静态特征,还是该目标样本文件在运行过程中的动态行为特征,均可以被解构出来,均可以从本方案的视角观察到,即掌握了一个目标样本文件的完整的档案,进而对于该目标样本文件是不是具有威胁的威胁样本文件、如果是威胁样本文件如何对该可疑样本进行预防、查杀等问题均可以找到准确的答案。
在本发明的一个实施例中,数据源可以是本方案的分布于不同终端上的客户端,客户端对于目标样本文件进行打点记录,本方案所接收到的目标样本文件可以是由各个客户端上传的;数据源也可以是与本方案合作的第三方安全检测平台,本方案所接收到的目标样本文件可以是由该第三方安全检测平台检测后上传的;数据源也可以是其他产品的客户端或者部署于其他产品的客户端上的热补丁,本方案所接收到的目标样本文件可以是由其他产品的客户端或者部署于其他产品的客户端上的热补丁上传的;此外,本方案所接收到的目标样本文件还可以是通过爬虫从各种网站上爬取的。
在本发明的一个实施例中,在步骤S120将所述目标样本文件投放到虚拟机中运行之前,图1所示的方法进一步包括:加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化。则上述步骤S120将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
其中,上述加载虚拟机中用于检测内核漏洞利用的驱动程序包括:初始化所述驱动程序的相关数据结构对象和变量;记录虚拟机中的系统进程的标识信息;记录虚拟机中的第一调度表中存储的函数指针的初始值。
以及,图1所示的方法进一步包括:当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。在此基础上,上述步骤S120利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:监听虚拟机中执行指定操作的函数的调用事件;当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
具体地,所述判断虚拟机中是否发生内核漏洞利用包括三种方案:
方案一,获取当前虚拟机中的第一调度表中存储的函数指针的值;将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
方案二,根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;获取当前所述目标样本文件对应的进程的指定结构地址;判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
方案三,当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。获取当前所述目标样本文件对应的进程的指定属性值;将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
基于上述三种方案,步骤S120利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用还包括:当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
在本发明的一个实施例中,上述根据预置配置信息对所述驱动程序进行初始化包括:在虚拟机中创建日志记录线程;则上述步骤S130根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志包括:利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。则进一步地,图1所示的方法还包括:当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
以一个具体的例子来说明本方案的实施过程:在本例中,通过对目标样本文件的检测实现内核漏洞后端检测,用于在服务器端虚拟机沙箱隔离环境中针对目标样本文件进行动态的内核漏洞利用检测。本方案的检测过程在虚拟机中完成,实现代码主要涉及虚拟机中的4个模块:Agent.exe,虚拟机通信代理模块,负责检测模块和样本文件的接收,Analyzer进程的创建,与虚拟机外部服务器端进程实时数据交互、日志和文件传递。Analyzer.exe,内部调度管控模块,负责样本文件类型识别、LoadHP进程的创建,内部检测超时设定和限制,操作系统屏幕模拟点击实现,屏幕截取实现,与Agent的数据通信。LoadHP.exe,检测辅助操作模块,负责加载检测主模块驱动程序,通过配置文件选项控制各检测功能开关,与核心模块驱动程序之间通信和交互,样本文件进程的启动。Honeypot.sys,检测实现核心模块,驱动程序实现。在操作系统内核中设置进程创建回调通知、对指定的内核API挂钩,在HOOK处理函数中判定进程是否提权,打点并生成检测结果日志等。
图2示出了根据本发明一个实施例的目标样本文件的检测方案中每个模块对应的流程图,描述了虚拟机中的每个模块在方案整体流程中所执行的操作。服务器侧在从数据源接收目标样本文件之后,需要将目标样本文件投放到虚拟机中运行并进行检测,具体如图2所示:
Agent.exe所执行的操作流程为:1.启动,Agent进程随虚拟机操作系统开机自启动。2.接收和部署,监听指定的端口,等待并接收虚拟机外部相关进程传输检测包和目标样本文件到虚拟机内部,解压检测包到某随机名称目录并放置样本文件到临时目录中。启动检测包目录下的Analyzer进程。3.监听和通信,创建消息通信线程,通过RPC的方式与Analyzer建立通信连接,并将后面接收到的来自于Analyzer进程的消息数据包实时转发至虚拟机外部的主机网络地址。
Analyzer.exe所执行的操作流程为::1.初始化,根据analyzer.conf等配置文件获取样本文件路径,判断目标样本文件类型,并根据配置文件中的配置选项选择对应的检测模式、超时限制、各功能开关来初始化Analyzer自身各功能。2.辅助功能,创建屏幕截取线程,间隔单位时间截取屏幕图像,并实时发送给Agent进程。创建鼠标模拟点击线程,随机针对屏幕坐标模拟鼠标左键单击操作,并针对部分特定弹出对话框的按钮等控件坐标进行点击。3.启动进程,创建LoadHP进程所需的Honeypot.ini配置文件,并启动LoadHP进程并将目标样本文件的路径或URL通过参数的方式传入。4.超时限制,在设定或默认的检测超时时间到达时,结束检测并将检测结果目录打包程压缩包,并将压缩包数据发送给Agent进程,由Agent进程发送给虚拟机外部网络地址。随后关闭虚拟机操作系统,结束虚拟机内的检测流程。
LoadHP.exe所执行的操作流程为:1.初始化,首先通过命令行参数和Honeypot.ini配置文件获取样本文件路径、检测模式、检测功能配置选项、各检测点功能开关等基础数据,计算样本文件MD5。2.加载驱动,加载驱动程序Honeypot.sys并按照配置选项发送初始化检测功能。3.传递数据,通过IO控制码的方式发送进程、样本等基础信息至Honeypot驱动模块并开启内核层漏洞利用行为监控。3.启动样本,随后LoadHP.exe进程启动目标样本文件对应的进程。
Honeypot.sys所执行的操作流程为:在Honeypot.sys中与LoadHP进程交互,进行方案对于目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用的核心检测实现,并在创建的日志记录线程中将检测结果日志以文件的形式追加存储于指定的日志存放目录中。
其中,Honeypot.sys所执行的对目标样本文件进行检测的具体操作如图3所示,图3示出了根据本发明一个实施例的检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用的流程图,包括:
1.加载,在Honeypot.sys驱动程序加载时初始化驱动程序必须的相关数据结构对象和变量。记录System、smss.exe、csrss.exe、wininit.exe等系统进程的PID。记录HalDispatchTable表中存储的HalQuerySystemInformation等函数指针的值。
2.初始化,根据用户层进程LoadHP.exe发送的IO控制码执行相关的初始化操作,创建日志记录线程。Honeypot在接收到标记为“内核利用监控”的IO控制码时,根据传入Buffer的数据,选择进入对应的分发处理例程中。HOOK SSDT中对内存、特权、注册表、进线程、文件等操作的关键NTAPI和NtQueryIntervalProfile,并设置新的进程创建通知回调例程。
3.开启监控,根据LoadHP.exe发送的相关IOCTL开启内核层行为监控总控开关。
4.通知和记录,在系统创建新进程时,进入前面设置的进程创建通知例程。在该例程中记录新创建的进程所属的Privileges、UserSID、OwnerSID等属性值。将新进程添加进进程创建记录LIST。
5.监控和检测,检测目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用:通过NtQueryIntervalProfile的HOOK,NtQueryIntervalProfile在新创建的进程中被调用时,在Fake函数中判断当前进程是否在前面维护的进程LIST中,非进程LIST中的进程,加入LIST(进程关闭时移除)。已经在进程LIST中,进行HalDispatchTable检测。以及,通过对前述关键操作行为的各NTAPI的HOOK,其在新创建的进程中被调用时,在Fake函数中判断当前进程是否在前面维护的进程LIST中,非进程LIST中的进程,加入LIST(进程关闭时移除)。已经在进程LIST中,进行系统进程Token替换和进程Token属性值的检测。检测结束后,如果目标样本数据不是威胁样本,在Fake函数中调用原API继续执行,并向Caller返回其返回的值。
其中,上述第5步中提到了的三种检测解释如下:
(1)HalDispatchTable检测:在调用原API之前,获取HalDispatchTable各关键函数指针成员域的值,并与在Honeypot加载阶段记录的对应各成员与的值进行比对。如果至少1项匹配不相同,则判断检出该目标样本文件对应的进程提权,即目标样本文件在虚拟机中运行的过程中发生内核漏洞利用,目标样本文件为威胁样本文件,打点并按照格式生成检测结果日志,将日志Buffer插入日志缓冲LIST。
(2)系统进程Token替换检测:在调用原API之前,根据Honeypot.sys加载阶段记录的各个系统进程的PID,依次获取各个系统进程的EPROCESS结构地址,并获取当前检测样本进程的EPROCESS,并比对样本进程EPROCESS中的Token域的指针值是否和某个系统进程EPROCESS中的Token域的指针值相同。如果匹配相同,则判断检出该样本进程提权,即目标样本文件在虚拟机中运行的过程中发生内核漏洞利用,目标样本文件为威胁样本文件,打点并按照格式生成检测结果日志,将日志Buffer插入日志缓冲LIST。
(3)进程Token属性值检测:在调用原API之前,获取当前进程的Privileges,TokenUser,TokenOwner,并比对这3个数据和该进程创建时记录的初始Privileges、UserSID、OwnerSID是否相同。若至少1项匹配不相同,则判断检出该样本进程提权,即目标样本文件在虚拟机中运行的过程中发生内核漏洞利用,目标样本文件为威胁样本文件,打点并按照格式生成检测结果日志,将日志Buffer插入日志缓冲LIST。
检测过程的最后一步,在确定目标样本文件为威胁文件时:
6.日志生成,在Honeypot日志记录线程中,持续不断地检查日志缓冲LIST中是否又新的日志Buffer插入。将新的日志Buffer追加写入到配置选项中指定路径的配置文件中,并释放日志缓冲LIST中该日志Buffer的节点。
对本例中生成检测结果日志的细节进行说明:该方案打点检出日志生成形式为缓存方式打点。检出日志被暂存于日志缓冲LIST中。日志记录线程轮询该日志缓冲LIST并依照FIFO的方式依次处理各日志节点,将检测结果日志内容追加写入日志记录文件actions.log中,在检测完成后由外部相关调度模块进程获取并处理该日志文件。其中,检测结果日志中的打点数据包括:环境和文件基本信息,检出功能点触发数据等。其中环境和文件基本信息以流水日志等形式输出,检出功能点触发数据以行为日志actions.log的形式输出。如检测结果日志中包括:1.环境和文件基本信息:样本进程文件MD5,进样本程文件路径,主要系统模块名称和文件版本等。2.检出功能点触发数据:(1)HalDispatchTable检测,进程ID,线程ID,被篡改函数的名称,篡改后的指针值,检出时所在Hooked API(NtQueryIntervalProfile)等。(2)系统进程Token替换检测,进程ID,线程ID,Token地址,命中系统进程名,检出时所在Hooked API等。(3)进程Token属性值检测,进程ID,线程ID,Privileges掩码描述序列,UserSID,OwnerSID,检出时所在Hooked API等。
在本发明的一个实施例中,除了检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用之外,还有相关的辅助检测流程,图1所示的方法进一步包括:获取所述驱动程序对应的进程的标识信息;根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;监听虚拟机中的指定事件;当监听到虚拟机中发生指定事件时,拦截所述指定事件;获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
进一步地,辅助检测流程还包括:获取检测结果日志的存储路径;在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
沿用上文中的例子进行说明,图4A示出了根据本发明一个实施例的对虚拟机中辅助检测进程保护的流程图,图4B示出了根据本发明一个实施例的对虚拟机中辅助检测文件保护的流程图。
如图4A所示,检测进程保护机制用于保护检测模块相关进程地址空间,防止被虚拟机沙箱逃逸的恶意样本进程访问、释放或泄漏,导致检测模块机密信息失窃。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourproc”等字段的值,并解析获得1个或多个检测模块的进程名,通过进程名获取检测模块各进程的PID,依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“进程ID过滤”的IO控制码时,从输入Buffer中获取当次传递的PID的值,并根据PID获取对应进程EPROCESS地址,将该EPROCESS指针插入进程过滤LIST。在此基础上,辅助检测过程包括:HOOK对进程、线程、内存地址空间操作的关键NTAPI,在Fake函数中针对上下背景文所在进程的EPROCESS地址和操作目标进程的EPROCESS地址,在上述进程过滤LIST中进行匹配。如果上下背景文进程EPROCESS地址不在进程过滤LIST中,而操作目标进程EPROCESS地址在进程过滤LIST中成功匹配,则可判定其他进程试图访问检测模块各进程集中的某个进程。进行阻止,返回拒绝访问的状态码,不继续向下调用,以终止当前上下背景文进程对该API的调用。如果未能成功匹配,则属于对应API正常调用的其他情况。不进行阻止,继续调用原API向下执行,并向Caller返回其返回的值。
如图4B所示,检测文件保护机制用于保护检测模块和检测结果日志相关各文件目录,防止被某些样本进程访问、篡改、加密、损毁,造成检测失败或结果异常,影响沙箱系统稳定和性能。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourpath”等字段的值,并解析获得1个或多个检测结果日志的目录路径名,将各路径Buffer依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“私有目录”的IO控制码时,从输入Buffer中获取当次传递的目录路径的Buffer,并根据Buffer构造UNICODE_STRING字符串对象,将该字符串对象插入私有目录LIST。在此基础上,辅助检测过程包括:注册文件系统过滤,实现各主要IRP分发函数。在READ,WRITE,CREATE,SET_INFORMATION,DIRECTORY_CONTROL等分发函数的自实现函数体中,判断当前IRP中FILE_OBJECT的文件路径UNICODE_STRING对象是否能够在私有目录LIST中成功匹配。如果未能成功匹配,则当前操作不是对检测结果日志目录或检测模块目录进行的,跳过当前栈单元,并将IRP继续向下分发。如果成功匹配,意味着当前文件操作确实是针对检测结果日志目录或检测模块目录进行的。这时获取上下背景文进程的EPROCESS地址,并判断该EPROCESS地址是否能够在“检测进程保护”机制中的进程过滤LIST中成功匹配。如果成功匹配,则判定属于检测模块进程自身对检测结果日志目录和检测模块目录的访问,跳过当前栈单元,并将IRP继续向下分发。如果未能成功匹配,意味着属于第三方的进程访问检测结果日志目录或检测模块目录。赋值IRP的IO状态域拒绝访问等错误码,完成IRP的IO请求,返回当前IRP分发函数,使当前的文件访问操作失败。
图5示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。如图5所示,该目标样本文件的检测装置500包括:
样本接收单元510,适于从数据源接收目标样本文件。
检测处理单元520,适于将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
可见,图5所示的装置将从数据源接收的目标样本文件投放到虚拟机中进行检测,当检测出目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,确定目标样本文件为威胁样本文件,并生成相应的检测结果日志。本方案以虚拟机作为载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用,进而确定出威胁样本文件;生成关于威胁样本文件的检测结果日志,为后续信息安全防护提供参考和依据。
在本发明的一个实施例中,检测处理单元520,进一步适于在所述将所述目标样本文件投放到虚拟机中运行之前,加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;则检测处理单元520,适于在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
其中,检测处理单元520,适于初始化所述驱动程序的相关数据结构对象和变量;记录虚拟机中的系统进程的标识信息;记录虚拟机中的第一调度表中存储的函数指针的初始值。
进一步地,检测处理单元520,进一步适于当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。检测处理单元520,适于监听虚拟机中执行指定操作的函数的调用事件;当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
在此基础上,包括三种检测方案:
方案一,检测处理单元520,适于获取当前虚拟机中的第一调度表中存储的函数指针的值;将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
方案二,检测处理单元520,适于根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;获取当前所述目标样本文件对应的进程的指定结构地址;判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
方案三,检测处理单元520,进一步适于当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。则检测处理单元520,适于获取当前所述目标样本文件对应的进程的指定属性值;将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
在上述三种方案的基础上,检测处理单元520,适于当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
在本发明的一个实施例中,检测处理单元520,适于在虚拟机中创建日志记录线程;利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。其中,检测处理单元520,进一步适于当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
在本发明的一个实施例中,检测处理单元520,进一步适于获取所述驱动程序对应的进程的标识信息;根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;监听虚拟机中的指定事件;当监听到虚拟机中发生指定事件时,拦截所述指定事件;获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
其中,检测处理单元520,进一步适于获取检测结果日志的存储路径;在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
其中,图5所示装置的各实施例与上文中图1-图4所描述的各个实施例对应相同,上文中已有详细说明,在此不再赘述。
综上所述,本发明的技术方案将从数据源接收的目标样本文件投放到虚拟机中进行检测,当检测出目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,确定目标样本文件为威胁样本文件,并生成相应的检测结果日志。本方案以虚拟机作为载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用,进而确定出威胁样本文件;生成关于威胁样本文件的检测结果日志,为后续信息安全防护提供参考和依据。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的目标样本文件的检测装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种目标样本文件的检测方法,其中,包括:
从数据源接收目标样本文件;
将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;
是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
A2、如A1所述的方法,其中,在所述将所述目标样本文件投放到虚拟机中运行之前,该方法进一步包括:
加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述将所述目标样本文件投放到虚拟机中运行包括:在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;
则所述检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
A3、如A2所述的方法,其中,所述加载虚拟机中用于检测内核漏洞利用的驱动程序包括:
初始化所述驱动程序的相关数据结构对象和变量;
记录虚拟机中的系统进程的标识信息;
记录虚拟机中的第一调度表中存储的函数指针的初始值。
A4、如A3所述的方法,其中,该方法进一步包括:
当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
A5、如A4所述的方法,其中,所述利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:
监听虚拟机中执行指定操作的函数的调用事件;
当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;
获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;
是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
A6、如A5所述的方法,其中,所述判断虚拟机中是否发生内核漏洞利用包括:
获取当前虚拟机中的第一调度表中存储的函数指针的值;
将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;
如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
A7、如A5所述的方法,其中,所述判断虚拟机中是否发生内核漏洞利用包括:
根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;
获取当前所述目标样本文件对应的进程的指定结构地址;
判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;
是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
A8、如A5所述的方法,其中,该方法进一步包括:
当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。
A9、如A8所述的方法,其中,所述判断虚拟机中是否发生内核漏洞利用包括:
获取当前所述目标样本文件对应的进程的指定属性值;
将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
A10、如A6、A7和A9中任一项所述的方法,其中,所述利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用还包括:
当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;
当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
A11、如A2所述的方法,其中,所述根据预置配置信息对所述驱动程序进行初始化包括:在虚拟机中创建日志记录线程;
则所述根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志包括:
利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。
A12、如A11所述的方法,其中,该方法进一步包括:
当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
A13、如A2所述的方法,其中,该方法进一步包括:
获取所述驱动程序对应的进程的标识信息;
根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;
监听虚拟机中的指定事件;
当监听到虚拟机中发生指定事件时,拦截所述指定事件;
获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;
将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;
如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
A14、如A13所的方法,其中,该方法进一步包括:
获取检测结果日志的存储路径;
在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;
将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;
如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
本发明还公开了B15、一种目标样本文件的检测装置,其中,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
B16、如B15所述的装置,其中,
所述检测处理单元,进一步适于在所述将所述目标样本文件投放到虚拟机中运行之前,加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述检测处理单元,适于在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
B17、如B16所述的装置,其中,
所述检测处理单元,适于初始化所述驱动程序的相关数据结构对象和变量;记录虚拟机中的系统进程的标识信息;记录虚拟机中的第一调度表中存储的函数指针的初始值。
B18、如B17所述的装置,其中,
所述检测处理单元,进一步适于当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
B19、如B18所述的装置,其中,
所述检测处理单元,适于监听虚拟机中执行指定操作的函数的调用事件;当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
B20、如B19所述的装置,其中,
所述检测处理单元,适于获取当前虚拟机中的第一调度表中存储的函数指针的值;将当前获取的各函数指针的值与在所述驱动程序加载阶段所记录的相应函数指针的初始值进行匹配;如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
B21、如B19所述的装置,其中,
所述检测处理单元,适于根据在所述驱动程序加载阶段所记录的系统进程的标识信息,获取各个系统进程的指定结构地址;获取当前所述目标样本文件对应的进程的指定结构地址;判断当前所述目标样本文件对应的进程的指定结构地址中的指定域的指针值是否命中系统进程的指定结构地址中的指定域的指针值;是则,确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
B22、如B19所述的装置,其中,
所述检测处理单元,进一步适于当虚拟机中创建所述目标样本文件对应的进程时,记录该进程所属的初始属性值。
B23、如B22所述的装置,其中,
所述检测处理单元,适于获取当前所述目标样本文件对应的进程的指定属性值;将当前所述目标样本文件对应的进程的指定属性值与在该进程被创建时记录的初始属性值进行匹配,如果至少存在一项匹配失败,则确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用;否则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用。
B24、如B20、B21和B23中任一项所述的装置,其中,
所述检测处理单元,适于当确定所述目标样本文件在虚拟机中运行的过程中发生内核漏洞利用时,结束所述调用事件;当确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用时,允许所述调用事件继续执行。
B25、如B16所述的装置,其中,
所述检测处理单元,适于在虚拟机中创建日志记录线程;利用所述日志记录线程每隔预设时间间隔检查虚拟机中是否生成新的关于所述目标样本文件的检测结果日志,是则将新的检测结果日志以队列的形式写入指定日志存储区。
B26、如B25所述的装置,其中,
所述检测处理单元,进一步适于当所述目标样本文件运行结束后,从所述指定日志存储区读取检测结果日志并推送至数据源。
B27、如B16所述的装置,其中,
所述检测处理单元,进一步适于获取所述驱动程序对应的进程的标识信息;根据所述驱动程序对应的进程的标识信息,获取所述驱动程序对应的进程的指定结构地址;监听虚拟机中的指定事件;当监听到虚拟机中发生指定事件时,拦截所述指定事件;获取所述指定事件的上下文背景所在进程的指定结构地址,获取所述指定事件的操作目标进程的指定结构地址;将所述指定事件的上下文背景所在进程的指定结构地址、所述指定事件的操作目标进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标进程的指定结构地址命中所述驱动程序对应的进程的指定结构地址,则确定所述驱动程序受到攻击,结束所述指定事件;否则允许所述指定事件继续执行。
B28、如B27所的装置,其中,
所述检测处理单元,进一步适于获取检测结果日志的存储路径;在监听到虚拟机中发生指定事件时,还获取所述指定事件的操作目标的文件路径;将所述指定事件的上下文背景所在进程的指定结构地址与所述驱动程序对应的进程的指定结构地址进行匹配,以及,将所述指定事件的操作目标的文件路径与所述检测结果日志的存储路径进行匹配;如果所述指定事件的上下文背景所在进程的指定结构地址未命中所述驱动程序对应的进程的指定结构地址,且所述指定事件的操作目标的文件路径命中所述检测结果日志的存储路径,则确定检测结果日志被恶意访问,结束所述指定事件;否则允许所述指定事件继续执行。
Claims (10)
1.一种目标样本文件的检测方法,其中,包括:
从数据源接收目标样本文件;
将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;
是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
2.如权利要求1所述的方法,其中,在所述将所述目标样本文件投放到虚拟机中运行之前,该方法进一步包括:
加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述将所述目标样本文件投放到虚拟机中运行包括:在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;
则所述检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
3.如权利要求2所述的方法,其中,所述加载虚拟机中用于检测内核漏洞利用的驱动程序包括:
初始化所述驱动程序的相关数据结构对象和变量;
记录虚拟机中的系统进程的标识信息;
记录虚拟机中的第一调度表中存储的函数指针的初始值。
4.如权利要求3所述的方法,其中,该方法进一步包括:
当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
5.如权利要求4所述的方法,其中,所述利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用包括:
监听虚拟机中执行指定操作的函数的调用事件;
当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;
获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;
是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
6.一种目标样本文件的检测装置,其中,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到虚拟机中运行,检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用;是则,确定目标样本文件为威胁样本文件;并根据检测到的所述目标样本文件在虚拟机中运行的过程中发生的内核漏洞利用,生成关于所述目标样本文件的检测结果日志。
7.如权利要求6所述的装置,其中,
所述检测处理单元,进一步适于在所述将所述目标样本文件投放到虚拟机中运行之前,加载虚拟机中用于检测内核漏洞利用的驱动程序;根据预置配置信息对所述驱动程序进行初始化;
则所述检测处理单元,适于在对所述驱动程序进行初始化之后,在虚拟机中创建所述目标样本文件对应的进程,通过该进程运行所述目标样本文件;利用所述驱动程序检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用。
8.如权利要求7所述的装置,其中,
所述检测处理单元,适于初始化所述驱动程序的相关数据结构对象和变量;记录虚拟机中的系统进程的标识信息;记录虚拟机中的第一调度表中存储的函数指针的初始值。
9.如权利要求8所述的装置,其中,
所述检测处理单元,进一步适于当虚拟机中的系统创建进程时,将所创建的进程的标识信息记录到安全进程列表中。
10.如权利要求9所述的装置,其中,
所述检测处理单元,适于监听虚拟机中执行指定操作的函数的调用事件;当监听到虚拟机中执行指定操作的函数被调用时,拦截该调用事件;获取所述调用事件的执行进程的标识信息,判断所述调用事件的执行进程的标识信息是否命中所述安全进程列表;是则,确定所述目标样本文件在虚拟机中运行的过程中未发生内核漏洞利用;否则,判断虚拟机中是否发生内核漏洞利用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611066136.8A CN106682513A (zh) | 2016-11-28 | 2016-11-28 | 一种目标样本文件的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611066136.8A CN106682513A (zh) | 2016-11-28 | 2016-11-28 | 一种目标样本文件的检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106682513A true CN106682513A (zh) | 2017-05-17 |
Family
ID=58867285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611066136.8A Pending CN106682513A (zh) | 2016-11-28 | 2016-11-28 | 一种目标样本文件的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106682513A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108399332A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
| CN108733570A (zh) * | 2018-05-25 | 2018-11-02 | 郑州云海信息技术有限公司 | 一种信息处理方法及装置 |
| CN111258712A (zh) * | 2020-01-10 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 |
| CN114679315B (zh) * | 2022-03-25 | 2024-05-14 | 中国工商银行股份有限公司 | 攻击检测方法、装置、计算机设备、存储介质和程序产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779250A (zh) * | 2012-06-29 | 2012-11-14 | 腾讯科技(深圳)有限公司 | 文件可控执行的检测方法及虚拟机 |
| CN103810222A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 样本文件的处理方法及装置 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
-
2016
- 2016-11-28 CN CN201611066136.8A patent/CN106682513A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779250A (zh) * | 2012-06-29 | 2012-11-14 | 腾讯科技(深圳)有限公司 | 文件可控执行的检测方法及虚拟机 |
| CN103810222A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 样本文件的处理方法及装置 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| K0PWN_KO: "经典内核漏洞调试笔记", 《HTTPS://WWW.ANQUANKE.COM/POST/ID/84869》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108399332A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
| CN108399332B (zh) * | 2017-02-08 | 2022-03-08 | 卡巴斯基实验室股份制公司 | 在虚拟机中针对恶意性对文件进行分析的系统和方法 |
| CN108733570A (zh) * | 2018-05-25 | 2018-11-02 | 郑州云海信息技术有限公司 | 一种信息处理方法及装置 |
| CN111258712A (zh) * | 2020-01-10 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 |
| CN111258712B (zh) * | 2020-01-10 | 2022-05-31 | 苏州浪潮智能科技有限公司 | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 |
| CN114679315B (zh) * | 2022-03-25 | 2024-05-14 | 中国工商银行股份有限公司 | 攻击检测方法、装置、计算机设备、存储介质和程序产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103632096B (zh) | 一种对设备进行安全检测的方法和装置 | |
| CN103559446B (zh) | 一种基于安卓系统的设备的动态病毒检测方法和装置 | |
| US20200125730A1 (en) | System and method for vetting mobile phone software applications | |
| Sharma et al. | Malicious application detection in android—a systematic literature review | |
| CN104517054B (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| CN106557701B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| Kiss et al. | Kharon dataset: Android malware under a microscope | |
| CN104537308B (zh) | 提供应用安全审计功能的系统及方法 | |
| Karami et al. | Behavioral analysis of android applications using automated instrumentation | |
| CN104484599A (zh) | 一种基于应用程序的行为处理方法和装置 | |
| CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
| CN106778243A (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| CN111400757B (zh) | 防止安卓第三方库中native代码泄露用户隐私的方法 | |
| CN106778242A (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN106778244A (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106682513A (zh) | 一种目标样本文件的检测方法和装置 | |
| CN105653946A (zh) | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 | |
| CN104572197B (zh) | 一种启动项的处理方法和装置 | |
| CN106650423A (zh) | 一种目标样本文件的检测方法和装置 | |
| CN106096394A (zh) | 一种安卓应用的广告拦截方法和装置 | |
| CN106650424A (zh) | 一种目标样本文件的检测方法和装置 | |
| CN107229867A (zh) | 内核漏洞挖掘方法、装置、计算设备及计算机存储介质 | |
| CN110502892A (zh) | 一种异常测试进程的确定方法、装置及系统 | |
| CN113467784A (zh) | 应用程序处理方法及其装置、计算机可读存储介质 | |
| El-Rewini et al. | Dissecting residual APIs in custom android ROMs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170517 |