CN114021115A - 恶意应用程序的检测方法、装置、存储介质及处理器 - Google Patents

恶意应用程序的检测方法、装置、存储介质及处理器 Download PDF

Info

Publication number
CN114021115A
CN114021115A CN202111365093.4A CN202111365093A CN114021115A CN 114021115 A CN114021115 A CN 114021115A CN 202111365093 A CN202111365093 A CN 202111365093A CN 114021115 A CN114021115 A CN 114021115A
Authority
CN
China
Prior art keywords
target
application program
target application
analysis result
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111365093.4A
Other languages
English (en)
Inventor
许勇
贺志强
归光宗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hillstone Networks Co Ltd
Original Assignee
Hillstone Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hillstone Networks Co Ltd filed Critical Hillstone Networks Co Ltd
Priority to CN202111365093.4A priority Critical patent/CN114021115A/zh
Publication of CN114021115A publication Critical patent/CN114021115A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)

Abstract

本申请公开了一种恶意应用程序的检测方法、装置、存储介质及处理器。该方法包括:在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。通过本申请,解决了相关技术中对恶意软件的检测效率较低的问题。

Description

恶意应用程序的检测方法、装置、存储介质及处理器
技术领域
本申请涉及网络威胁检测技术领域,具体而言,涉及一种恶意应用程序的检测方法、装置、存储介质及处理器。
背景技术
沙箱系统利用虚拟机环境运行可疑软件,监测可疑软件的行为,比如文件、注册表、网络、进程等的相关操作,并对这些行为进行分析,从而判断其是否是恶意软件,但是现有技术中沙箱系统使用的分析虚机由于只安装了基本的系统软件,运行环境过于“干净”,使得恶意软件访问不到特定的软件,最终逃过了沙箱环境的检测。
针对相关技术中对恶意软件的检测效率较低的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种恶意应用程序的检测方法、装置、存储介质及处理器,以解决相关技术中对恶意软件的检测效率较低的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种恶意应用程序的检测方法。该方法包括:在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。
进一步地,基于目标虚拟机对目标应用程序进行分析,得到分析结果包括:在目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;通过目标应用程序对目标可执行文件进行访问,获取访问结果;对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
进一步地,根据分析结果确定目标应用程序是否为恶意软件包括:若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
进一步地,在根据分析结果确定目标应用程序是否为恶意软件之前,该方法还包括:设置目标文件夹中不同类型的目标可执行文件的数量;根据每种类型的可执行文件的数量确定预设数值。
进一步地,目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
进一步地,在根据分析结果确定目标应用程序是否为恶意软件之后,该方法还包括:在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
为了实现上述目的,根据本申请的另一方面,提供了一种恶意应用程序的检测装置。该装置包括:第一处理单元,用于在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;第一匹配单元,用于根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;第一分析单元,用于基于目标虚拟机对目标应用程序进行分析,得到分析结果;第一确定单元,用于根据分析结果确定目标应用程序是否为恶意软件。
进一步地,第一分析单元包括:第一存放模块,用于在目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;第一访问模块,用于通过目标应用程序对目标可执行文件进行访问,获取访问结果;第一分析模块,用于对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
进一步地,第一确定单元包括:第一确定模块,用于若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
进一步地,该装置还包括:第一设置单元,用于在根据分析结果确定目标应用程序是否为恶意软件之前,设置目标文件夹中不同类型的目标可执行文件的数量;第二确定单元,用于根据每种类型的可执行文件的数量确定预设数值。
进一步地,目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
进一步地,该装置还包括:第一发送单元,用于在根据分析结果确定目标应用程序是否为恶意软件之后,在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的方法。
根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时执行上述任意一项的方法。
通过本申请,采用以下步骤:在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。解决了相关技术中对恶意软件的检测效率较低的问题,根据目标信息匹配目标应用程序对应的目标虚拟机对目标应用程序进行分析,根据分析结果确定目标应用程序是否为恶意软件,进而达到了提高对恶意软件的检测效率的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的恶意应用程序的检测方法的流程图;
图2是根据本申请实施例提供的恶意应用程序的检测方法的沙箱系统框图;
图3是根据本申请实施例提供的恶意应用程序的检测装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
沙箱:是一个虚拟系统程序,在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。
根据本申请的实施例,提供了一种恶意应用程序的检测方法。
图1是根据本申请实施例的恶意应用程序的检测方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息。
其中,目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
具体的,沙箱主机接受用户提交的可疑软件为目标应用程序,对其进行初步处理,得到目标应用程序的目标信息,例如,目标应用程序所需的平台信息可以为Windows、Linux、Android等,目标应用程序的文件类型信息可以为exe、doc、pdf等,本申请通过对目标应用程序进行处理处理,得到目标信息,以便为不同类型的目标应用程序精准匹配其对应的目标虚拟机。
步骤S102,根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹。
具体的,根据目标应用程序运行的平台以及目标应用程序的文件类型,选择不同的分析虚拟机,将带有网络威胁信息的目标应用程序提交给它运行。
步骤S103,基于目标虚拟机对目标应用程序进行分析,得到分析结果。
图2是根据本申请实施例提供的恶意应用程序的检测方法的沙箱系统框图,如图2所示,沙箱系统中包含沙箱主机,其中,沙箱主机可以包含多个虚拟机。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,基于目标虚拟机对目标应用程序进行分析,得到分析结果包括:在目标虚拟机的目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;通过目标应用程序对目标可执行文件进行访问,获取访问结果;对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
例如,在系统目录下放置一定数量的可执行文件,比如120个,当发现目标应用程序对系统目录下的可执行文件进行攻击时,统计可疑的目标应用程序对系统可执行文件进行攻击的次数,例如,目标应用程序篡改了系统目录下100个可执行文件,则可执行文件被篡改的次数为100;或者在用户自定义文件夹下放置一定数量的可执行文件,比如150个,当发现目标应用程序对自定义文件夹的可执行文件进行攻击时,统计可疑的目标应用程序对自定义文件夹进行攻击的次数,例如,目标应用程序篡改了自定义文件夹下130个可执行文件,则可执行文件被篡改的次数为130。
例如,在自定义文件夹“c:\a\”下,放置诱饵文件,内容有特定的字符串,例如,abc@def.com,当恶意软件收集用户信息时,可疑的目标应用程序会遍历用户文件系统的邮件相关文件,读取文件内容,目标应用程序会将该诱饵文件中特定字符串的邮件地址存放到目标路径的文件中,并上传至服务器中。
综上示例可知,本申请在沙箱检测可疑软件的过程中,通过在分析虚机中的特定位置,放置一定数量特定类型的文件,诱使可疑软件展现出更多的行为,进一步提高了沙箱对恶意软件的检测效率。
步骤S104,根据分析结果确定目标应用程序是否为恶意软件。
具体的,本申请根据预设的判断规则对可疑的目标应用程序进行识别,其中,判断规则是根据目标应用程序的可疑行为预先配置在沙箱系统中的。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,在根据分析结果确定目标应用程序是否为恶意软件之前,该方法还包括:设置目标文件夹中不同类型的目标可执行文件的数量;根据每种类型的可执行文件的数量确定预设数值。
例如,当120个可执行文件被篡改了110个时,将预设判断规则配置为:可执行文件被篡改的数量超过了100(对应于本申请中的预设数值)时,确定目标应用程序为恶意软件,本申请通过对沙箱行为的判断规则进行预先配置,达到提高恶意软件识别率的效果。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,根据分析结果确定目标应用程序是否为恶意软件包括:若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
例如,若发现目标应用程序会将该诱饵文件中特定字符串的邮件地址存放到目标路径的文件中,则判断目标应用程序是做用户信息收集的恶意软件。
例如,在系统目录下放置120个可执行文件,可疑的目标应用程序遍历“c:\windows\”、“c:\Program Files\”等系统文件夹下的可执行文件时,发现120个可执行文件被篡改了100个(对应于本申请中的预设数值),则确定目标应用程序为恶意软件,或者,当可疑的目标应用程序故意避开“c:\windows\”、“c:\Program Files\”等系统文件夹下的可执行文件,对用户自定义文件夹进行遍历时,发现150个可执行文件被篡改了130个(对应于本申请中的预设数值),则确定目标应用程序为恶意软件。
例如,在分析虚机的文件系统中放置一定数量不同种类的数据文件,比如.doc、.xls、.jpg、.mp3文件各120个。若可疑目标应用程序篡改了目标虚拟机中一定数量的数据文件,比如大于100个文件时,就判断它是勒索类的恶意软件。
综上示例可知,本申请在沙箱检测可疑软件的过程中,通过在分析虚机中的特定位置,放置一定数量特定类型的文件,诱使恶意软件展现出更多的行为,进一步提高了沙箱对恶意软件的检测效率。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,在根据分析结果确定目标应用程序是否为恶意软件之后,该方法还包括:在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
具体的,在分析结果指示目标应用程序为恶意软件的情况下,沙箱主机将可疑软件的判定结果返回给用户,使得用户能够及时了解当前网络安全隐患,并及时采取防御措施,进一步保证网络的系统安全。
综上,本申请实施例提供的恶意应用程序的检测方法,通过在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。解决了相关技术中对恶意软件的检测效率较低的问题,根据目标信息匹配目标应用程序对应的目标虚拟机对目标应用程序进行分析,根据分析结果确定目标应用程序是否为恶意软件,进而达到了提高对恶意软件的检测效率的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种恶意应用程序的检测装置,需要说明的是,本申请实施例的恶意应用程序的检测装置可以用于执行本申请实施例所提供的用于恶意应用程序的检测方法。以下对本申请实施例提供的恶意应用程序的检测装置进行介绍。
图3是根据本申请实施例的恶意应用程序的检测装置的示意图。如图3所示,该装置包括:第一处理单元301、第一匹配单元302、第一分析单元303、第一确定单元304。
具体的,第一处理单元301,用于在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;
第一匹配单元302,用于根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;
第一分析单元303,用于基于目标虚拟机对目标应用程序进行分析,得到分析结果;
第一确定单元304,用于根据分析结果确定目标应用程序是否为恶意软件。
综上,本申请实施例提供的恶意应用程序的检测装置,通过第一处理单元301在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;第一匹配单元302根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;第一分析单元303基于目标虚拟机对目标应用程序进行分析,得到分析结果;第一确定单元304根据分析结果确定目标应用程序是否为恶意软件,解决了相关技术中对恶意软件的检测效率较低的问题,根据目标信息匹配目标应用程序对应的目标虚拟机对目标应用程序进行分析,根据分析结果确定目标应用程序是否为恶意软件,进而达到了提高对恶意软件的检测效率的效果。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,第一分析单元303包括:第一存放模块,用于在目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;第一访问模块,用于通过目标应用程序对目标可执行文件进行访问,获取访问结果;第一分析模块,用于对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,第一确定单元304包括:第一确定模块,用于若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,该装置还包括:第一设置单元,用于在根据分析结果确定目标应用程序是否为恶意软件之前,设置目标文件夹中不同类型的目标可执行文件的数量;第二确定单元,用于根据每种类型的可执行文件的数量确定预设数值。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
可选地,在本申请实施例提供的恶意应用程序的检测装置中,该装置还包括:第一发送单元,用于在根据分析结果确定目标应用程序是否为恶意软件之后,在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
恶意应用程序的检测装置包括处理器和存储器,上述的第一处理单元301、第一匹配单元302、第一分析单元303、第一确定单元304等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来进行恶意应用程序的检测。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现恶意应用程序的检测方法。
本发明实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行恶意应用程序的检测方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。
处理器执行程序时还实现以下步骤:在目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;通过目标应用程序对目标可执行文件进行访问,获取访问结果;对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
处理器执行程序时还实现以下步骤:若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
处理器执行程序时还实现以下步骤:在根据分析结果确定目标应用程序是否为恶意软件之前,设置目标文件夹中不同类型的目标可执行文件的数量;根据每种类型的可执行文件的数量确定预设数值。
处理器执行程序时还实现以下步骤:目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
处理器执行程序时还实现以下步骤:在根据分析结果确定目标应用程序是否为恶意软件之后,在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在沙箱系统中对目标应用程序进行处理,得到目标应用程序的目标信息;根据目标信息匹配目标应用程序对应的目标虚拟机,其中,目标虚拟机至少包含目标文件夹;基于目标虚拟机对目标应用程序进行分析,得到分析结果;根据分析结果确定目标应用程序是否为恶意软件。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在目标文件夹中存放目标可执行文件,其中,目标可执行文件为多个,其中,目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;通过目标应用程序对目标可执行文件进行访问,获取访问结果;对访问结果进行分析,得到分析结果,其中,分析结果至少包括:目标可执行文件被篡改的次数、目标可执行文件的存放路径。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若分析结果中指示目标可执行文件被篡改的次数大于预设数值,或者,若分析结果中指示目标应用程序中包含目标可执行文件,则确定目标应用程序为恶意软件。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在根据分析结果确定目标应用程序是否为恶意软件之前,设置目标文件夹中不同类型的目标可执行文件的数量;根据每种类型的可执行文件的数量确定预设数值。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:目标信息至少包括运行目标应用程序所需的平台信息、目标应用程序的文件类型信息。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在根据分析结果确定目标应用程序是否为恶意软件之后,在分析结果指示目标应用程序为恶意软件的情况下,通过沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种恶意应用程序的检测方法,其特征在于,包括:
在沙箱系统中对目标应用程序进行处理,得到所述目标应用程序的目标信息;
根据所述目标信息匹配所述目标应用程序对应的目标虚拟机,其中,所述目标虚拟机至少包含目标文件夹;
基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果;
根据所述分析结果确定所述目标应用程序是否为恶意软件。
2.根据权利要求1所述的方法,其特征在于,基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果包括:
在所述目标文件夹中存放目标可执行文件,其中,所述目标可执行文件为多个,其中,所述目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;
通过所述目标应用程序对所述目标可执行文件进行访问,获取访问结果;
对所述访问结果进行分析,得到分析结果,其中,所述分析结果至少包括:所述目标可执行文件被篡改的次数、所述目标可执行文件的存放路径。
3.根据权利要求2所述的方法,其特征在于,根据所述分析结果确定所述目标应用程序是否为恶意软件包括:
若所述分析结果中指示所述目标可执行文件被篡改的次数大于预设数值,或者,若所述分析结果中指示所述目标应用程序中包含所述目标可执行文件,则确定所述目标应用程序为恶意软件。
4.根据权利要求3所述的方法,其特征在于,在根据所述分析结果确定所述目标应用程序是否为恶意软件之前,所述方法还包括:
设置目标文件夹中不同类型的目标可执行文件的数量;
根据每种类型的可执行文件的数量确定所述预设数值。
5.根据权利要求1所述的方法,其特征在于,所述目标信息至少包括运行所述目标应用程序所需的平台信息、所述目标应用程序的文件类型信息。
6.根据权利要求1所述的方法,其特征在于,在根据所述分析结果确定所述目标应用程序是否为恶意软件之后,所述方法还包括:
在所述分析结果指示所述目标应用程序为所述恶意软件的情况下,通过所述沙箱系统将指示信息发送至目标对象,以使目标对象执行对应的防御策略。
7.一种恶意应用程序的检测装置,其特征在于,包括:
第一处理单元,用于在沙箱系统中对目标应用程序进行处理,得到所述目标应用程序的目标信息;
第一匹配单元,用于根据所述目标信息匹配所述目标应用程序对应的目标虚拟机,其中,所述目标虚拟机至少包含目标文件夹;
第一分析单元,用于基于所述目标虚拟机对所述目标应用程序进行分析,得到分析结果;
第一确定单元,用于根据所述分析结果确定所述目标应用程序是否为恶意软件。
8.根据权利要求7所述的装置,其特征在于,所述第一分析单元包括:
第一存放模块,用于在所述目标文件夹中存放目标可执行文件,其中,所述目标可执行文件为多个,其中,所述目标文件夹至少包括:包含系统文件的文件夹、不包含系统文件的文件夹;
第一访问模块,用于通过所述目标应用程序对所述目标可执行文件进行访问,获取访问结果;
第一分析模块,用于对所述访问结果进行分析,得到分析结果,其中,所述分析结果至少包括:所述目标可执行文件被篡改的次数、所述目标可执行文件的存放路径。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至6中任意一项所述的方法。
CN202111365093.4A 2021-11-17 2021-11-17 恶意应用程序的检测方法、装置、存储介质及处理器 Pending CN114021115A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111365093.4A CN114021115A (zh) 2021-11-17 2021-11-17 恶意应用程序的检测方法、装置、存储介质及处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111365093.4A CN114021115A (zh) 2021-11-17 2021-11-17 恶意应用程序的检测方法、装置、存储介质及处理器

Publications (1)

Publication Number Publication Date
CN114021115A true CN114021115A (zh) 2022-02-08

Family

ID=80064935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111365093.4A Pending CN114021115A (zh) 2021-11-17 2021-11-17 恶意应用程序的检测方法、装置、存储介质及处理器

Country Status (1)

Country Link
CN (1) CN114021115A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114428952A (zh) * 2022-04-07 2022-05-03 北京亿赛通科技发展有限责任公司 一种公网电子文件特征值的验证方法、系统和服务器

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114428952A (zh) * 2022-04-07 2022-05-03 北京亿赛通科技发展有限责任公司 一种公网电子文件特征值的验证方法、系统和服务器
CN114428952B (zh) * 2022-04-07 2022-07-19 北京亿赛通科技发展有限责任公司 一种公网电子文件特征值的验证方法、系统和服务器

Similar Documents

Publication Publication Date Title
US11625485B2 (en) Method of malware detection and system thereof
CN106487775B (zh) 一种基于云平台的业务数据的处理方法和装置
US20200204589A1 (en) Systems and methods for preventive ransomware detection using file honeypots
US9407648B1 (en) System and method for detecting malicious code in random access memory
CN108898012B (zh) 检测非法程序的方法和装置
CN107122663B (zh) 一种注入攻击检测方法及装置
CN107103243B (zh) 漏洞的检测方法及装置
KR102045772B1 (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
CN106911635B (zh) 一种检测网站是否存在后门程序的方法及装置
WO2021194370A1 (ru) Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент
CN114021115A (zh) 恶意应用程序的检测方法、装置、存储介质及处理器
CN112580066A (zh) 一种数据保护方法及装置
CN109729050B (zh) 一种网络访问监控方法及装置
CN106911636B (zh) 一种检测网站是否存在后门程序的方法及装置
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
CN114297630A (zh) 恶意数据的检测方法、装置、存储介质及处理器
CN115600201A (zh) 一种电网系统软件的用户账户信息安全处理方法
CN106446687B (zh) 恶意样本的检测方法及装置
CN107103242B (zh) 数据的获取方法及装置
CN115189938A (zh) 一种业务安全防护方法和装置
CN110851822B (zh) 网络下载安全处理方法和装置
CN116668177A (zh) 网络攻击端的识别方法、装置、处理器以及电子设备
CN113987521B (zh) 一种数据库漏洞的扫描处理方法和装置
CN114003902A (zh) 网络漏洞的检测方法、装置、存储介质及电子设备
CN114297638A (zh) 一种病毒检测方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination