CN109960928B - 可疑文件的处理方法和处理系统 - Google Patents

可疑文件的处理方法和处理系统 Download PDF

Info

Publication number
CN109960928B
CN109960928B CN201711408846.9A CN201711408846A CN109960928B CN 109960928 B CN109960928 B CN 109960928B CN 201711408846 A CN201711408846 A CN 201711408846A CN 109960928 B CN109960928 B CN 109960928B
Authority
CN
China
Prior art keywords
suspicious file
user
analysis
file
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711408846.9A
Other languages
English (en)
Other versions
CN109960928A (zh
Inventor
李丹
韩文奇
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201711408846.9A priority Critical patent/CN109960928B/zh
Publication of CN109960928A publication Critical patent/CN109960928A/zh
Application granted granted Critical
Publication of CN109960928B publication Critical patent/CN109960928B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种可疑文件的处理方法和处理系统,其中,可疑文件的处理方法包括:将可疑文件上传给分析设备,以便所述分析设备在受限环境中打开所述可疑文件,并将所述可疑文件的内容以预设格式反馈给用户;接收所述分析设备反馈的内容,以便用户判断所述可疑文件是否安全。本发明具有如下优点:通过将可疑文件上传给外部设备,由外部设备在受限环境中通过预设格式打开,然后反馈给用户,使得外部设备打开可疑文件时不会中断用户操作,用户体验好。

Description

可疑文件的处理方法和处理系统
技术领域
本发明涉及信息安全技术领域,具体涉及一种可疑文件的处理方法和处理系统。
背景技术
Sandboxie(沙箱)即是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其它程序,因此运行所产生的变化可以随后删除。沙箱创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
经典的沙箱系统一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。
沙箱的工作原理:通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
目前沙箱运用的地方很多,让文件在沙箱中运行,不会对实体机产生任何影响。由于沙箱是虚拟系统环境,将文件传到沙箱中,运行后等待分析结果,再将结果整理输出到本地是需要一定的时间的,在此段时间用户无法直接处理文件,用户体验差。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明的第一个目的在于提出一种可疑文件的处理方法,可以安全地打开可疑文件,并且不会中断用户操作,提升用户体验。
为了实现上述目的,本发明的实施例公开了一种可疑文件的处理方法,包括以下步骤:将可疑文件上传给分析设备,以便所述分析设备在受限环境中打开所述可疑文件,并将所述可疑文件的内容以预设格式反馈给用户;接收所述分析设备反馈的内容,并向用户反馈所述分析设备反馈的内容。
进一步地,所述预设格式为图片格式。
进一步地,还包括:如果所述可疑文件上传失败,则重新上传所述可疑文件并向所述用户反馈上传失败的原因。
进一步地,还包括:如果上传所述可疑文件后预设时间内没有收到所述分析设备反馈的内容,则向所述用户反馈分析超时。
进一步地,还包括:如果所述分析设备无法将所述可疑文件的内容以所述预设格式打开,则形成分析报告并将所述分析报告反馈给所述用户。
根据本发明实施例的可疑文件的处理方法,通过将可疑文件上传给外部设备,由外部设备在受限环境中通过预设格式打开,然后反馈给用户,使得外部设备打开可疑文件时不会中断用户操作,用户体验好。
本发明的第二个目的在于提出一种可疑文件的处理系统,可以安全地打开可疑文件,并且不会中断用户操作,提升用户体验。
为了实现上述目的,本发明的实施例公开了一种可疑文件的处理系统,包括:通信模块,用于将可疑文件上传给分析设备,以便所述分析设备在受限环境中打开所述可疑文件,并将所述可疑文件的内容以预设格式反馈给用户,所述通信模块还用于接收所述分析设备反馈的内容;反馈模块,用于向用户反馈分析设备反馈的内容。
进一步地,所述预设格式为图片格式。
进一步地,还包括:分析模块,用于在所述可疑文件上传失败时分析上传失败的原因形成上传失败信息;其中,所述通信模块还用于在所述可疑文件上传失败时重新上传所述可疑文件,所述反馈模块还用于向所述用户反馈所述上传失败信息。
进一步地,还包括:计时模块,用于在上传所述可疑文件后开始计时;其中,所述反馈模块还用于在上传所述可疑文件后预设时间内没有收到所述分析设备反馈的内容时,向所述用户反馈分析超时。
进一步地,所述分析设备还用于在无法将所述可疑文件的内容以所述预设格式打开时,形成分析报告并发送给所述通信模块,所述反馈模块还用于向所述用户反馈所述分析报告。
根据本发明实施例的可疑文件的处理系统,通过将可疑文件上传给外部设备,由外部设备在受限环境中通过预设格式打开,然后反馈给用户,使得外部设备打开可疑文件时不会中断用户操作,用户体验好。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一个实施例的可疑文件的处理方法的流程图;
图2是本发明一个实施例的可疑文件的处理系统的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
以下结合附图描述本发明。
图1是本发明一个实施例的可疑文件的处理方法的流程图。如图1所示,本发明实施例的可疑文件的处理方法,包括以下步骤:
S1:将可疑文件上传给分析设备,以便分析设备在受限环境中打开可疑文件,并将可疑文件的内容以预设格式反馈给用户。
具体地,用户终端通过接口分析设备相连,并在用户终端和分析设备进行联动配置,联动配置的内容用于当用户终端收到可疑文件时,自动将可疑文件上传给分析设备。
联动配置完成后,当用户终端收到可疑文件(例如带有未知附件的可疑邮件)时,通过接口将可疑文件上传给分析设备。
在本发明的一个实施例中,可疑文件的处理方法还包括:如果可疑文件上传失败,则重新上传可疑文件并向用户反馈上传失败的原因。在一些示例中,通过用户终端与分析设备之间的接口的返回值判断可疑文件是否上传失败,并在上传失败时向用户反馈包括接口返回值上传失败的原因。
分析设备收到可疑文件后,在受限环境中打开可疑文件。其中,受限环境为限制可疑文件与外部交互而触发恶意行为。
分析设备在受限环境中打开可疑文件后,以预设格式反馈给用户终端。在本发明的一个实施例中,预设格式为图片格式,分析设备根据可疑文件得到安全且完全的文档图片。
S2接收分析设备反馈的内容,并向用户反馈分析设备反馈的内容。
具体地,用户终端收到分析设备反馈的内容(即预设格式的可疑文件的内容)。向用户进行反馈,例如通过显示屏显示预设格式的可疑文件的内容。当用户判断可疑文件安全时,可以进行相应操作,例如在用户终端打开该文件或认为内容没有用直接删除。
在本发明的一个实施例中,可疑文件的处理方法还包括:如果上传可疑文件后预设时间内没有收到分析设备反馈的内容,则向用户反馈分析超时,避免用户长时间等待引起用户抱怨。在分析设备端,工作人员检测超时的原因,然后调试分析设备或向用户反馈超时的原因。
在本发明的一个实施例中,可疑文件的处理方法还包括:如果分析设备无法将可疑文件的内容以预设格式打开,例如分析设备被威胁行为攻击,可疑文件被加密或进行其他操作导致的截屏失败等情况,分析设备形成分析报告,并将分析报告反馈给用户,以便用户了解截屏失败的原因。
根据本发明实施例的可疑文件的处理方法,通过将可疑文件上传给外部设备,由外部设备在受限环境中通过预设格式打开,然后反馈给用户,使得外部设备打开可疑文件时不会中断用户操作,用户体验好。
图2是本发明一个实施例的可疑文件的处理系统的结构框图。如图2所示,本发明实施例的可疑文件的处理系统,包括:通信模块210和反馈模块220。
其中,通信模块210用于将可疑文件上传给分析设备,以便分析设备在受限环境中打开可疑文件,并将可疑文件的内容以预设格式反馈给用户。通信模块220还用于接收分析设备反馈的内容。反馈模块220用于向用户反馈分析设备反馈的内容。
根据本发明实施例的可疑文件的处理系统,通过将可疑文件上传给外部设备,由外部设备在受限环境中通过预设格式打开,然后反馈给用户,使得外部设备打开可疑文件时不会中断用户操作,用户体验好。
在本发明的一个实施例中,预设格式为图片格式。
在本发明的一个实施例中,可疑文件的处理系统还包括分析模块。分析模块用于在可疑文件上传失败时分析上传失败的原因形成上传失败信息。其中,通信模块210还用于在可疑文件上传失败时重新上传可疑文件。反馈模块220还用于向用户反馈上传失败信息。
在本发明的一个实施例中,在本发明的一个实施例中,可疑文件的处理系统还包括计时模块。计时模块用于在上传可疑文件后开始计时。其中,反馈模块220还用于在上传可疑文件后预设时间内没有收到分析设备反馈的内容时,向用户反馈分析超时。
在本发明的一个实施例中,分析设备还用于在无法将可疑文件的内容以预设格式打开时,形成分析报告并发送给通信模块210。反馈模块220还用于向用户反馈分析报告。
需要说明的是,本发明实施例的可疑文件的处理系统的具体实施方式与本发明实施例的可疑文件的处理方法的具体实施方式类似,具体参见可疑文件的处理方法部分的描述。为了减少冗余,不做赘述。
另外,本发明实施例的可疑文件的处理方法和处理系统的其它构成以及作用对于本领域的技术人员而言都是已知的,为了减少冗余,不做赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同限定。

Claims (6)

1.一种可疑文件的处理方法,其特征在于,包括以下步骤:
将可疑文件上传给分析设备,以便所述分析设备在受限环境中以预设格式完整地打开所述可疑文件,并将所述可疑文件的内容以预设格式反馈给用户;
接收所述分析设备反馈的内容,并向所述用户反馈所述分析设备反馈的内容;
其中,所述的可疑文件的处理方法,还包括:
如果上传所述可疑文件后预设时间内没有收到所述分析设备反馈的内容,则向所述用户反馈分析超时;
如果所述分析设备无法将所述可疑文件的内容以所述预设格式打开,则形成分析报告并将所述分析报告反馈给所述用户。
2.根据权利要求1所述的可疑文件的处理方法,其特征在于,所述预设格式为图片格式。
3.根据权利要求1所述的可疑文件的处理方法,其特征在于,还包括:
如果所述可疑文件上传失败,则重新上传所述可疑文件并向所述用户反馈上传失败的原因。
4.一种可疑文件的处理系统,其特征在于,包括:
通信模块,用于将可疑文件上传给分析设备,以便所述分析设备在受限环境中以预设格式完整地打开所述可疑文件,并将所述可疑文件的内容以预设格式反馈给用户,所述通信模块还用于接收所述分析设备反馈的内容;
反馈模块,用于向用户反馈分析设备反馈的内容;
其中,所述的可疑文件的处理系统,还包括:
计时模块,用于在上传所述可疑文件后开始计时;
其中,所述反馈模块还用于在上传所述可疑文件后预设时间内没有收到所述分析设备反馈的内容时,向所述用户反馈分析超时;
所述分析设备还用于在无法将所述可疑文件的内容以所述预设格式打开时,形成分析报告并发送给所述通信模块,所述反馈模块还用于向所述用户反馈所述分析报告。
5.根据权利要求4所述的可疑文件的处理系统,其特征在于,所述预设格式为图片格式。
6.根据权利要求4所述的可疑文件的处理系统,其特征在于,还包括:
分析模块,用于在所述可疑文件上传失败时分析上传失败的原因形成上传失败信息;
其中,所述通信模块还用于在所述可疑文件上传失败时重新上传所述可疑文件,所述反馈模块还用于向所述用户反馈所述上传失败信息。
CN201711408846.9A 2017-12-22 2017-12-22 可疑文件的处理方法和处理系统 Active CN109960928B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711408846.9A CN109960928B (zh) 2017-12-22 2017-12-22 可疑文件的处理方法和处理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711408846.9A CN109960928B (zh) 2017-12-22 2017-12-22 可疑文件的处理方法和处理系统

Publications (2)

Publication Number Publication Date
CN109960928A CN109960928A (zh) 2019-07-02
CN109960928B true CN109960928B (zh) 2021-10-29

Family

ID=67019744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711408846.9A Active CN109960928B (zh) 2017-12-22 2017-12-22 可疑文件的处理方法和处理系统

Country Status (1)

Country Link
CN (1) CN109960928B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112149115A (zh) * 2020-08-28 2020-12-29 杭州安恒信息技术股份有限公司 一种病毒库的更新方法、装置、电子装置和存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593249B (zh) * 2008-05-30 2011-08-03 成都市华为赛门铁克科技有限公司 一种可疑文件分析方法及系统
CN102394838A (zh) * 2011-11-04 2012-03-28 宇龙计算机通信科技(深圳)有限公司 即时通信方法、服务器和即时通信系统
CN104008331A (zh) * 2013-02-21 2014-08-27 腾讯科技(深圳)有限公司 一种恶意网站的访问方法、装置和系统
CN104199597B (zh) * 2014-08-13 2017-06-06 百度在线网络技术(北京)有限公司 新标签页打开方法及装置
CN104793973B (zh) * 2015-04-23 2018-09-18 惠州Tcl移动通信有限公司 一种移动终端图片文件的加载方法及系统
TWI547823B (zh) * 2015-09-25 2016-09-01 緯創資通股份有限公司 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
CN106339452B (zh) * 2016-08-25 2019-09-17 北京小米移动软件有限公司 事件响应方法及装置
CN106777179B (zh) * 2016-12-22 2020-04-07 金蝶软件(中国)有限公司 一种文档在线预览方法及系统
CN107483452A (zh) * 2017-08-25 2017-12-15 北京元心科技有限公司 快速登录方法及装置

Also Published As

Publication number Publication date
CN109960928A (zh) 2019-07-02

Similar Documents

Publication Publication Date Title
US11089057B1 (en) System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits
US10666686B1 (en) Virtualized exploit detection system
US10469512B1 (en) Optimized resource allocation for virtual machines within a malware content detection system
US10335738B1 (en) System and method for detecting time-bomb malware
EP3610403B1 (en) Isolated container event monitoring
US11075945B2 (en) System, apparatus and method for reconfiguring virtual machines
US10552610B1 (en) Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10169585B1 (en) System and methods for advanced malware detection through placement of transition events
US9438613B1 (en) Dynamic content activation for automated analysis of embedded objects
US10289837B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
US9838417B1 (en) Intelligent context aware user interaction for malware detection
JP6304833B2 (ja) マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
US10671726B1 (en) System and method for malware analysis using thread-level event monitoring
US8627476B1 (en) Altering application behavior based on content provider reputation
US9336385B1 (en) System for real-time threat detection and management
US10902119B1 (en) Data extraction system for malware analysis
US9948676B2 (en) System and method for securing documents prior to transmission
US20140165130A1 (en) Application-specific re-adjustment of computer security settings
US9886576B2 (en) Security box
CN103152323A (zh) 控制客户端网络访问行为的方法及系统
CN104484484B (zh) 清理缓存文件的方法及装置
CN109960928B (zh) 可疑文件的处理方法和处理系统
US11763004B1 (en) System and method for bootkit detection
WO2020142651A1 (en) Context based authorized external device copy detection
US11636198B1 (en) System and method for cybersecurity analyzer update and concurrent management system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant