CN111026599A - 一种基于api调用的数据收集方法、装置及存储设备 - Google Patents
一种基于api调用的数据收集方法、装置及存储设备 Download PDFInfo
- Publication number
- CN111026599A CN111026599A CN201910672800.0A CN201910672800A CN111026599A CN 111026599 A CN111026599 A CN 111026599A CN 201910672800 A CN201910672800 A CN 201910672800A CN 111026599 A CN111026599 A CN 111026599A
- Authority
- CN
- China
- Prior art keywords
- api
- information
- recorded
- list
- uploading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供了一种基于API调用的数据收集方法、装置及存储设备,用以解决如果恶意代码使用了反虚拟机技术,分析人员获取的恶意代码数据不准确的问题。该方法包括:在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;将记录的api信息整理生成api数据列表,上传并存储。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于API调用的数据收集方法、装置及存储设备。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。
目前分析人员在分析恶意样本的过程中,只能使用与用户操作系统相同的虚拟机,让恶意样本在虚拟机中运行来复现用户中毒环境,获得运行中的数据进行分析。但是如果恶意代码使用了反虚拟机技术,它会执行与其本身行为不同的行为来干扰分析人员,使其获取的数据并不准确。并且用户的状态和信息对于恶意软件在运行过程中的参数、过程、动作是存在很大影响的。所以在用户机中运行状态下的数据正是分析人员希望获得的。
目前,这些数据没有厂商进行收集,是由于这些数据量过于庞大,现有数据收集技术的效率太低,但随着未来软硬件5g技术的发展,使得这些数据的收集迫在眉睫。
发明内容
本发明实施例提供了一种基于API调用的数据收集方法、装置及存储设备,用以解决如果恶意代码使用了反虚拟机技术,分析人员获取的恶意代码数据不准确的问题。
基于上述问题,本发明实施例提供的一种基于API调用的数据收集方法,包括:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;将记录的api信息整理生成api数据列表,上传并存储。
进一步地,所述记录信息包括:api调用的参数、api调用的进程或api调用的时间。
进一步地,将记录的api信息整理生成api数据列表,具体为:
接收消息形式的记录的api信息;
将消息队列中各记录的api信息按需生成api数据列表;
将已经整理生成api数据列表的消息格式化处理。
进一步地,上传的时间,由用户设置;或者根据对当前用户机资源占用情况的判断,自行决定上传时间。
本发明实施例提供的一种基于API调用的数据收集装置,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;将记录的api信息整理生成api数据列表,上传并存储。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述记录信息包括:api调用的参数、api调用的进程或api调用的时间。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将记录的api信息整理生成api数据列表,具体为:
接收消息形式的记录的api信息;
将消息队列中各记录的api信息按需生成api数据列表;
将已经整理生成api数据列表的消息格式化处理。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
上传的时间,由用户设置;或者根据对当前用户机资源占用情况的判断,自行决定上传时间。
本发明实施例同时公开一种基于API调用的数据收集装置,包括:
信息标记模块:用于在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
信息记录模块:用于监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
上传模块:将记录的api信息整理生成api数据列表,上传并存储。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于API调用的数据收集方法步骤。
与现有技术相比,本发明实施例提供的一种基于API调用的数据收集方法、装置及存储设备,至少实现了如下的有益效果:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;将记录的api信息整理生成api数据列表,上传并存储。本发明实施例直接通过获取户机中运行状态下的数据,可以解决现有技术中恶意代码使用反虚拟机技术,使分析人员获取的虚拟机中运行的数据不准确的问题。
附图说明
图1为本发明实施例提供的一种基于API调用的数据收集方法的流程图;
图2为本发明实施例提供的一种基于API调用的数据收集装置的结构图;
图3为本发明实施例提供的另一种基于API调用的数据收集装置的结构图。
具体实施方式
本发明实施例提供了一种基于API调用的数据收集方法,由于任何程序在执行的过程中,一定会调用系统api来执行操作。利用这个特性,本发明实施例通过对所关注的api设置hook,收集样本在用户机运行过程中调用api的进程id,调用参数,调用的时间等信息,为分析人员提供资料。
下面结合说明书附图,对本发明实施例提供的一种基于API调用的数据收集方法、装置及存储设备的具体实施方式进行说明。
本发明实施例提供的一种基于API调用的数据收集方法,如图1所示,具体包括以下步骤:
S101、在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
记录信息包括:api调用的参数、api调用的进程或api调用的时间等分析人员在分析过程中需要的api执行信息;而对所述api关注列表中每一api进行记录信息的标记,举例来说:例如某些api只需要记录其调用的进程信息,因此在记录信息的标记时,只标记调用的进程信息。
S102、监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
例如根据api关注列表,Hook所关注的writefile函数,记录writefile函数调用api的进程id,调用参数(111.doc),调用的时间等信息。
S103、将记录的api信息整理生成api数据列表,上传并存储;
将记录的api信息整理生成api数据列表,具体为:接收消息形式的记录的api信息;将消息队列中各记录的api信息按需生成api数据列表;将已经整理生成api数据列表的消息格式化处理;而上传的时间,由用户设置,用户可以根据自己的时间安排,选择空闲的时间上传;或者根据对当前用户机资源占用情况的判断,自行决定上传时间,例如企业的业务应用(例如办公软件、ERP软件、制图软件、财务软件、营销软件等等)占用资源较高,说明用户机的业务应用正在运行中,此时不上传,避免造成资源占用过高,影响业务应用的稳定性;如当前用户机处于空闲阶段(例如休眠、锁屏、午休等),资源占用低,基本没有运行业务应用(或业务应用在常态运行)并没有作业任务,上传不会影响业务应用;存储的位置可以是服务器创建的数据库,也可以根据用户需求,由用户决定存储位置。
本发明实施例直接获取并存储用户机中运行状态下的数据,分析人员可以根据收集到的信息来了解恶意样本在用户处的执行情况;同时,还可以为大数据分析提供数据支撑。
本发明实施例还提供的一种基于API调用的数据收集装置,如图3所示,包括:存储器201和处理器202,所述存储器201用于存储多条指令,所述处理器202用于加载所述存储器201中存储的指令以执行:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;将记录的api信息整理生成api数据列表,上传并存储。
所述处理器202还用于加载所述存储器201中存储的指令以执行:
所述记录信息包括:api调用的参数、api调用的进程或api调用的时间。
所述处理器202还用于加载所述存储器201中存储的指令以执行:
将记录的api信息整理生成api数据列表,具体为:
接收消息形式的记录的api信息;
将消息队列中各记录的api信息按需生成api数据列表;
将已经整理生成api数据列表的消息格式化处理。
所述处理器202还用于加载所述存储器201中存储的指令以执行:
上传的时间,由用户设置;或者根据对当前用户机资源占用情况的判断,自行决定上传时间。
本发明实施例提供的另一种基于API调用的数据收集装置,如图3所示,包括:
信息标记模块31:用于在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
信息记录模块32:用于监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
上传模块33:将记录的api信息整理生成api数据列表,上传并存储。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于API调用的数据收集方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于API调用的数据收集方法,其特征在于,包括:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
将记录的api信息整理生成api数据列表,上传并存储。
2.如权利要求1所述的方法,其特征在于,所述记录信息包括:api调用的参数、api调用的进程或api调用的时间。
3.如权利要求1所述的方法,其特征在于,将记录的api信息整理生成api数据列表,具体为:
接收消息形式的记录的api信息;
将消息队列中各记录的api信息按需生成api数据列表;
将已经整理生成api数据列表的消息格式化处理。
4.如权利要求1所述的方法,其特征在于,上传的时间,由用户设置;或者根据对当前用户机资源占用情况的判断,自行决定上传时间。
5.一种基于API调用的数据收集装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
将记录的api信息整理生成api数据列表,上传并存储。
6.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述记录信息包括:api调用的参数、api调用的进程或api调用的时间。
7.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将记录的api信息整理生成api数据列表,具体为:
接收消息形式的记录的api信息;
将消息队列中各记录的api信息按需生成api数据列表;
将已经整理生成api数据列表的消息格式化处理。
8.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
上传的时间,由用户设置;或者根据对当前用户机资源占用情况的判断,自行决定上传时间。
9.一种基于API调用的数据收集装置,其特征在于,包括:
信息标记模块:用于在用户机中建立api关注列表,对所述api关注列表中每一api进行记录信息的标记;
信息记录模块:用于监控用户机中api调用情况,若所述api关注列表中的api被调用,则根据该api的记录信息的标记,记录该api的信息;
上传模块:将记录的api信息整理生成api数据列表,上传并存储。
10.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-4任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910672800.0A CN111026599A (zh) | 2019-07-24 | 2019-07-24 | 一种基于api调用的数据收集方法、装置及存储设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910672800.0A CN111026599A (zh) | 2019-07-24 | 2019-07-24 | 一种基于api调用的数据收集方法、装置及存储设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111026599A true CN111026599A (zh) | 2020-04-17 |
Family
ID=70200084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910672800.0A Withdrawn CN111026599A (zh) | 2019-07-24 | 2019-07-24 | 一种基于api调用的数据收集方法、装置及存储设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111026599A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1845120A (zh) * | 2006-05-16 | 2006-10-11 | 北京启明星辰信息技术有限公司 | 一种恶意代码自动分析系统及方法 |
CN102314561A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于api hook的恶意代码自动分析方法和系统 |
US9117078B1 (en) * | 2008-09-17 | 2015-08-25 | Trend Micro Inc. | Malware behavior analysis and policy creation |
CN109471697A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种监控虚拟机中系统调用的方法、装置及存储介质 |
-
2019
- 2019-07-24 CN CN201910672800.0A patent/CN111026599A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1845120A (zh) * | 2006-05-16 | 2006-10-11 | 北京启明星辰信息技术有限公司 | 一种恶意代码自动分析系统及方法 |
US9117078B1 (en) * | 2008-09-17 | 2015-08-25 | Trend Micro Inc. | Malware behavior analysis and policy creation |
CN102314561A (zh) * | 2010-07-01 | 2012-01-11 | 电子科技大学 | 基于api hook的恶意代码自动分析方法和系统 |
CN109471697A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种监控虚拟机中系统调用的方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112346829B (zh) | 一种用于任务调度的方法及设备 | |
US7496795B2 (en) | Method, system, and computer program product for light weight memory leak detection | |
CN101707632A (zh) | 一种动态监控服务器集群性能并实时报警的方法 | |
CN111768097B (zh) | 任务执行状态监控方法、装置、系统及存储介质 | |
CN102508919A (zh) | 数据处理方法及系统 | |
CN113391901A (zh) | Rpa机器人的管理方法、装置、设备及存储介质 | |
CN112511580A (zh) | 消息推送的方法、装置、存储介质和设备 | |
CN113918954A (zh) | 自动化漏洞扫描集成方法、装置、设备及存储介质 | |
CN110347546B (zh) | 监控任务动态调整方法、装置、介质及电子设备 | |
CN110287182B (zh) | 一种大数据的数据对比方法、装置、设备及终端 | |
CN111026599A (zh) | 一种基于api调用的数据收集方法、装置及存储设备 | |
CN115145494B (zh) | 一种基于大数据时间序列分析的磁盘容量预测系统及方法 | |
US10929340B2 (en) | Email and identity migration based on relationship information | |
CN110764985A (zh) | 一种命令行记录的方法、系统、设备及可读存储介质 | |
CN107193721B (zh) | 一种生成日志的方法和装置 | |
KR101735652B1 (ko) | 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법 | |
CN112818204B (zh) | 一种业务的处理方法、装置、设备及存储介质 | |
CN102053862A (zh) | 一种即时通讯软件中的素材文件的检验方法和设备 | |
EP3543882A1 (en) | Method and system for identifying original data by using data order | |
US20180176291A1 (en) | Automated server deployment platform | |
CN116049115B (zh) | 一种软件日志处理方法 | |
CN113326004B (zh) | 云计算环境下高效日志集中化方法及设备 | |
CN111324846B (zh) | 信息处理方法、装置、电子设备及计算机可读存储介质 | |
CN109547290B (zh) | 云平台垃圾数据检测处理方法、装置、设备及存储介质 | |
CN116743853A (zh) | 一种推送服务监控报警方法、计算设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
CB02 | Change of applicant information | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200417 |
|
WW01 | Invention patent application withdrawn after publication |