CN116680696A - 病毒程序检测方法、装置及系统 - Google Patents

病毒程序检测方法、装置及系统 Download PDF

Info

Publication number
CN116680696A
CN116680696A CN202310975820.1A CN202310975820A CN116680696A CN 116680696 A CN116680696 A CN 116680696A CN 202310975820 A CN202310975820 A CN 202310975820A CN 116680696 A CN116680696 A CN 116680696A
Authority
CN
China
Prior art keywords
virus
program
executable file
virus program
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310975820.1A
Other languages
English (en)
Other versions
CN116680696B (zh
Inventor
程方全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Clerware Technology Co ltd
Original Assignee
Shenzhen Clerware Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Clerware Technology Co ltd filed Critical Shenzhen Clerware Technology Co ltd
Priority to CN202310975820.1A priority Critical patent/CN116680696B/zh
Publication of CN116680696A publication Critical patent/CN116680696A/zh
Application granted granted Critical
Publication of CN116680696B publication Critical patent/CN116680696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及安全防护技术领域,公开了一种病毒程序检测方法、装置及系统,该方法包括:在检测到进程启动时,查询进程的可执行文件;将可执行文件以及运行可执行文件的操作系统版本信息发送至病毒程序检测系统,病毒程序检测系统启动与操作系统版本信息对应的目标虚拟机,通过目标虚拟机运行可执行文件以检测进程是否为病毒程序,并生成病毒检测结果;接收病毒程序检测系统反馈的病毒检测结果,并根据病毒检测结果确认所述进程是否为病毒程序。本发明通过将已启动进程的可执行文件和操作系统版本信息发送至病毒程序检测系统,由病毒程序检测系统进行病毒程序检测,避免了病毒程序检测过程阻塞业务系统运行的情况,有效提高了用户体验。

Description

病毒程序检测方法、装置及系统
技术领域
本发明涉及安全防护技术领域,尤其涉及一种病毒程序检测方法、装置及系统。
背景技术
目前,病毒程序层出不穷,变种众多。为了识别一个进程或程序是否为病毒程序,常用的方式是在终端主机设置一系列诱饵文件,当有程序对诱饵文件执行修改或写操作时,判定该程序为病毒程序,并进行病毒查杀。
但是,上述方式当终端主机中投放过多的诱饵文件时,业务系统中的业务进程会读取这些诱饵文件,在该诱饵文件不为业务数据时,便会造成业务进程中断,从而阻塞业务系统的正常运行,影响用户体验。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种病毒程序检测方法、装置及系统,旨在解决现有技术当终端主机中投放过多的诱饵文件时,业务系统中的业务进程会读取这些诱饵文件,在该诱饵文件不为业务数据时,便会造成业务进程中断,从而阻塞业务系统的正常运行,影响用户体验的技术问题。
为实现上述目的,本发明提供了一种病毒程序检测方法,所述方法包括以下步骤:
在检测到进程启动时,查询所述进程的可执行文件;
将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述病毒程序检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果;
接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
可选地,所述方法还包括:
在所述进程对当前数据文件执行修改操作时,若尚未接收到所述病毒检测结果,则允许所述进程对所述当前数据文件执行修改操作;
若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程为所述病毒程序,则终止所述进程的运行;
若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程不为所述病毒程序,则允许所述进程对所有数据文件执行修改操作。
可选地,所述在检测到进程启动时,查询所述进程的可执行文件的步骤之后,还包括:
判断所述进程的可执行文件是否与受信任程序列表中的程序匹配;
若匹配,则判定所述进程不为病毒程序。
可选地,所述判断所述进程的可执行文件是否与受信任程序列表中的程序匹配的步骤之后,还包括:
若不匹配,则检测所述进程是否存在数字签名;
若存在所述数字签名,则在所述数字签名是否为预设签名时,允许所述进程对所有数据文件执行修改操作;
若不存在所述数字签名,则通过所述进程的可执行文件大小和所述进程的可执行文件依赖库数量判断所述进程是否为需检测进程;
若为所述需检测进程,则将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统。
可选地,所述判断所述进程的可执行文件是否与受信任程序列表中的程序匹配的步骤之前,还包括:
获取所述进程的可执行文件的磁盘原始生成时间;
判断所述磁盘原始生成时间是否处于预设正常范围;
若处于所述预设正常范围,则判定所述进程为无需进行病毒程序检测的可信任进程。
可选地,所述方法还包括:
在与所述病毒程序检测系统通信失败时,获取系统防火墙规则;
判断所述系统防火墙规则中是否存在拦截所述病毒程序检测系统的目标拦截规则;
若存在所述目标拦截规则,则将所述目标拦截规则删除,以恢复与所述病毒程序检测系统之间的通信。
可选地,所述方法还包括:
在检测到存在断网行为的目标进程时,阻塞所述目标进程的所述断网行为;
在阻塞所述断网行为的过程中,将所述目标进程的可执行文件发送至所述病毒程序检测系统,以检测所述目标进程是否为病毒程序;
在完成将所述目标进程的可执行文件发送至所述病毒程序检测系统时,放行所述目标进程的所述断网行为。
此外,为实现上述目的,本发明还提出一种病毒程序检测方法,所述方法应用于设有若干虚拟机的病毒程序检测系统,所述方法包括以下步骤:
在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为;
获取所述目标虚拟机生成的监控结果,并根据所述监控结果检测所述待检测进程是否为病毒程序,获得病毒检测结果,其中,若所述监控结果为存在所述目标行为,则判定所述待检测进程为所述病毒程序,若所述监控结果为不存在所述目标行为,则判定所述待检测进程不为所述病毒程序;
反馈所述病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
此外,为实现上述目的,本发明还提出一种病毒程序检测装置,所述装置包括:
进程启动模块,用于在检测到进程启动时,查询所述进程的可执行文件;
进程检测模块,用于将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述预设检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果;
病毒确认模块,用于接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
此外,为实现上述目的,本发明还提出一种病毒程序检测系统,所述系统包括:
虚拟机启动模块,用于在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为;
病毒检测模块,用于获取所述目标虚拟机生成的监控结果,并根据所述监控结果判断所述待检测进程是否为病毒程序,其中,若所述监控结果为在预设时间内存在所述目标行为,则判定所述待检测进程为所述病毒程序,若所述监控结果为在所述预设时间内不存在所述目标行为,则判定所述待检测进程不为所述病毒程序;
结果反馈模块,用于反馈病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
本发明提供了一种病毒程序检测方法、装置及系统,该方法通过在检测到进程启动时,查询进程的可执行文件;然后将可执行文件以及运行可执行文件的操作系统版本信息发送至病毒程序检测系统,病毒程序检测系统启动与操作系统版本信息对应的目标虚拟机,通过目标虚拟机运行可执行文件以检测进程是否为病毒程序,并生成病毒检测结果;最后接收病毒程序检测系统反馈的病毒检测结果,并根据病毒检测结果确认所述进程是否为病毒程序。本发明通过将已启动进程的可执行文件和操作系统版本信息发送至病毒程序检测系统,由病毒程序检测系统进行病毒程序检测,相较于现有技术当终端主机中投放过多的诱饵文件时,业务系统中的业务进程会读取这些诱饵文件,在该诱饵文件不为业务数据时,便会造成业务进程中断,从而阻塞业务系统的正常运行的情况,本发明上述病毒程序检测方法有效避免了病毒程序检测过程阻塞业务系统运行的情况,提高了用户体验,同时,本实施例在病毒程序检测系统中的虚拟机中进行病毒检测,既能保证业务主机的安全运行,又能在虚拟环境中检测病毒的危害行为,保护整个网络中的主机安全。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的病毒程序检测设备结构示意图;
图2为本发明病毒程序检测方法第一实施例的流程示意图;
图3为本发明病毒程序检测方法第一实施例中虚拟机示意图;
图4为本发明病毒程序检测方法第二实施例的流程示意图;
图5为本发明病毒程序检测方法第三实施例的流程示意图;
图6为本发明应用于设有若干虚拟机的病毒程序检测系统的病毒程序检测方法第一实施例的流程示意图;
图7为本发明病毒程序检测装置第一实施例的结构框图;
图8为本发明病毒程序检测系统第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的病毒程序检测设备结构示意图。
如图1所示,该病毒程序检测设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对病毒程序检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及病毒程序检测程序。
在图1所示的病毒程序检测设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明病毒程序检测设备中的处理器1001、存储器1005可以设置在病毒程序检测设备中,所述病毒程序检测设备通过处理器1001调用存储器1005中存储的病毒程序检测程序,并执行本发明实施例提供的病毒程序检测方法。
本发明实施例提供了一种病毒程序检测方法,参照图2,图2为本发明病毒程序检测方法第一实施例的流程示意图。
本实施例中,所述病毒程序检测方法包括以下步骤:
步骤S10:在检测到进程启动时,查询所述进程的可执行文件。
需要说明的是,本实施例方法的执行主体可以是具有病毒程序检测、网络通信以及程序运行功能的计算服务设备,例如手机、平板电脑、个人电脑等,还可以是实现相同或相似功能的其他电子设备。以下以上述病毒程序检测设备(简称检测设备)对本实施例和下述各实施例进行说明。
可理解的是,上述进程可为终端主机或操作系统中正在执行的实例程序。相应地,上述可执行文件可为执行或启动上述进程的文件。
在具体实现中,上述检测设备可运行于终端主机中,在该终端主机中存在进程启动时,可通过终端代理程序扫描该进程,并查询该进程的可执行文件,以进行后续病毒查询检测。
应理解的是,上述终端代理程序可为监控终端主机中的进程启动,并获取该进程对应可执行文件的程序。
步骤S20:将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述病毒程序检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果。
需要说明的是,上述病毒程序检测系统可为处于另一终端主机上,具备病毒检测功能的系统。该病毒程序检测系统内预先配置了一系列虚拟机系统镜像,不同的虚拟机系统镜像可以安装了不同版本的系统,如windows32位、windows64位、linux32位以及linux64位等。各虚拟机系统镜像在数据目录上预设了一系列用于检测进程是否为病毒程序的预设诱饵文件,如windows的桌面、C盘根目录、我的文档以及D盘等,linux的/home、/mnt、/root、/opt等。
为了便于理解,参考图3进行说明,但并不对本方案进行限定。图3为本发明病毒程序检测方法第一实施例中虚拟机示意图,图3中,病毒程序检测系统中设有第一虚拟机、第二虚拟机和第三虚拟机,各虚拟机对应一个虚拟机系统镜像,该病毒程序检测系统可接收第一终端主机和第二终端主机发送的可执行文件以及操作系统版本信息。在接收到终端主机发送的可执行文件以及操作系统版本信息时,可获取与该操作系统版本信息中的系统版本一致的虚拟机系统镜像,然后启动该虚拟机系统镜像的目标虚拟机,在该目标虚拟机中运行上述可执行文件,判断该可执行文件运行后是否存在对预设诱饵文件执行修改或删除等破坏数据文件的操作,若在预设时间内(如10分钟)存在破坏数据文件的操作,则判定该可执行文件运行后的进程为病毒程序,并且通知整个网络的所有终端主机对该病毒程序进行拦截,相应地,若在预设时间内未存在破坏数据文件的操作,则判定该可执行文件不为病毒程序。其中,上述第一虚拟机、上述第二虚拟机和上述第三虚拟机均为举例说明,实际应用中可不止三个,其余情况均可按上述方式说明,相应地,上述第一终端主机和上述第二终端主机也均举例说明,实际应用中可不止两个,其余情况均可按上述方式说明。
可理解的是,上述病毒程序一般通过对数据文件进行修改或删除等破坏数据文件的操作,以对业务数据文件进行破坏,故而通过判断可执行文件运行后的程序是否破坏预设诱饵文件的数据结构即可判断该程序是否为病毒程序。
在具体实现中,上述检测设备可通过上述终端代理程序查询终端主机当前运行上述可执行文件的操作系统版本信息,并将上述可执行文件以及上述操作系统版本信息发送至上述病毒程序检测系统,以通过上述病毒程序检测系统检测上述进程是否为病毒程序,上述病毒程序检测系统对上述可执行文件进行病毒程序检测后,便会生成针对可执行文件对应进程的病毒检测结果,并反馈至上述检测设备。
步骤S30:接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
在具体实现中,上述检测设备可接收上述病毒程序检测系统所反馈的病毒检测结果,若该病毒检测结果为可执行文件运行后存在对预设诱饵文件执行破坏数据文件的操作,则判定所启动的进程为病毒程序,并终止该进程的运行,相应地,若该病毒检测结果为可执行文件运行后未存在对预设诱饵文件执行破坏数据文件的操作,则判定所启动的进程不为病毒程序,允许该进程运行。
本实施例通过在检测到进程启动时,查询进程的可执行文件;然后将可执行文件以及运行可执行文件的操作系统版本信息发送至病毒程序检测系统,病毒程序检测系统启动与操作系统版本信息对应的目标虚拟机,通过目标虚拟机运行可执行文件以检测进程是否为病毒程序,并生成病毒检测结果;最后接收病毒程序检测系统反馈的病毒检测结果,并根据病毒检测结果确认所述进程是否为病毒程序。本实施例通过将已启动进程的可执行文件和操作系统版本信息发送至病毒程序检测系统,由病毒程序检测系统进行病毒程序检测,相较于现有技术当终端主机中投放过多的诱饵文件时,业务系统中的业务进程会读取这些诱饵文件,在该诱饵文件不为业务数据时,便会造成业务进程中断,影响业务系统的正常运行,本实施例上述病毒程序检测方法有效避免了病毒程序检测过程影响业务系统运行的情况,提高了用户体验,同时,本实施例在病毒程序检测系统中的虚拟机中进行病毒检测,既能保证业务主机的安全运行,又能在虚拟环境中检测病毒的危害行为,保护整个网络中的主机安全。
进一步地,本实施例中,所述方法还包括:
步骤S21:在所述进程对当前数据文件执行修改操作时,若尚未接收到所述病毒检测结果,则允许所述进程对所述当前数据文件执行修改操作。
在具体实现中,上述检测设备在将进程的可执行文件上传到病毒程序检测系统,且尚未接收到病毒程序检测系统反馈的病毒检测结果时,即处于等待病毒程序检测系统反馈病毒检测结果的期间,若该进程即将对当前数据文件执行修改操作,如写文件或删除文件,上述检测设备并不会阻塞或终止该进程的运行,以避免该进程并非病毒程序,为正常的业务程序,若此时拦截该进程运行,则会对业务系统造成影响,故而,在此期间无论进程是否为病毒程序,上述检测设备均会允许进程对当前数据文件执行修改操作(后续对该进程对当前数据文件的所有写操作都放行),在该进程对下一个文件执行修改操作时,再次判断是否收到病毒检测结果,重复上述过程,直至接收到病毒检测结果。
应理解的是,在上述进程的可执行文件运行后未存在对当前数据文件执行修改或写操作等破坏数据文件的操作时,不拦截该进程的任何文件操作,由于该情况下进程并未破坏数据文件,即使该进程为病毒,也未对数据文件造成影响,此时,无论进程是否为病毒程序均允许该进程运行。
需要说明的是,单一文件被病毒程序部分加密或全部加密,均会破坏该文件的数据结构,故而在上述进程处于检测过程中时对进程进行放行,可以最大限度的减少对业务系统的影响,同时最大限度保护业务系统的数据文件。
步骤S22:若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程为所述病毒程序,则终止所述进程的运行。
在具体实现中,上述检测设备在上述进程对当前数据文件执行修改操作时,若接收到上述病毒检测结果,且通过该病毒检测结果确认上述进程为病毒程序,则拦截该进程,终止该进程的后续所有操作(如结束该进程或挂起该进程),以避免对后续数据造成影响,并且后续对该进程对应的可执行程序启动的新实例都做拦截处理。
步骤S23:若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程不为所述病毒程序,则允许所述进程对所有数据文件执行修改操作。
在具体实现中,上述检测设备在上述进程对当前数据文件执行修改操作时,若接收到上述病毒检测结果,且通过该病毒检测结果确认上述进程不为病毒程序,则不对该进程的操作进行拦截,允许该进程运行,并且后续对该进程对应的可执行程序启动的新实例都不再做检测处理,一律放行。
参考图4,图4为本发明病毒程序检测方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S10之后,还包括:
步骤S11:判断所述进程的可执行文件是否与受信任程序列表中的程序匹配。
需要说明的是,由于终端主机可能频繁启动进程,且所启动的进程可能是系统自带程序或用户安装的程序等受信任程序,并无危害。若已启动的进程为受信任程序,已明确为无危害的程序,仍然上传至病毒程序检测系统,则会导致不必要的检测,造成性能损耗,故而提出本实施例,以提高病毒程序检测的效率。
可理解的是,上述受信任程序列表可为存储受信任程序的列表。其中,受信任程序可为终端主机操作系统中自带的程序,或用户通过正常途径安装的程序,如操作系统自带的程序或通过正规软件商店下载的程序,可认定该受信任程序并无危害,可以正常使用,无需进行病毒检测。
在具体实现中,上述检测设备安装检测程序之后,可在系统空闲时,自动扫描系统目录、程序安装目录和枚举系统当前运行程序获得程序安装目录,扫描枚举系统开机启动项获得程序目录,扫描这些目录下所有的可执行文件,计算所有可执行文件的哈希值,然后根据计算得到的哈希值构建受信任程序列表。在进程启动时,可对上述进程的可执行文件进行检测,判断该可执行文件的哈希值与上述受信任程序列表中的程序哈希值是否一致,以判断该进程是否为受信任程序。
步骤S12:若匹配,则判定所述进程不为病毒程序。
在具体实现中,上述检测设备在检测到上述进程的可执行文件与上述受信任程序列表中的程序匹配时,可判定上述进程不为病毒程序,为受信任程序,无需进行病毒检测,从而避免了上传受信任程序至病毒程序检测系统进行检测,有效提高了病毒程序检测效率。
应理解的是,终端主机安装检测程序之后会扫描系统自带程序和用户安装程序的可执行文件,获得各可执行文件的文件大小和程序特征,并将文件大小和程序特征与操作系统版本对应,预先保存至数据库中,获得白名单数据库。当检测到可执行文件时,可通过判断上述可执行文件的文件大小和程序特征是否与上述已安装程序的文件大小和程序特征一致,以判断待检测进程的可执行文件与系统自带程序以及用户安装程序的可执行文件是否匹配,若匹配成功,则判定所检测的进程不为病毒程序,无需上传的病毒程序检测系统中的虚拟机做进一步的病毒检测。
进一步地,本实施例中,所述步骤S11之后,还包括:
步骤S12':若不匹配,则检测所述进程是否存在数字签名。
需要说明的是,上述数字签名可为表征进程或程序生产来源的标识信息。
在具体实现中,在上述进程的可执行文件与上述已安装程序的可执行文件不匹配,即上述进程不为已安装程序时,还可能为带有数字签名的程序,如业务系统程序,或者系统、业务系统升级之后的程序,若这些带有数字签名的程序的来源正规,则也可以判定为无危害病毒,无需检测。故而上述检测设备在上述进程的可执行文件与上述已安装程序的可执行文件不匹配时,并不直接将进程上传至病毒程序检测系统进行检测,而是继续判断该进程是否存在数字签名。
步骤S13':若存在所述数字签名,则在所述数字签名是否为预设签名时,允许所述进程对所有数据文件执行修改操作。
需要说明的是,上述预设签名可为表征预设来源的签名,该预设来源可为由技术人员设定,所信任的来源。
在具体实现中,上述检测设备可在上述进程存在数字签名时,判断上述数字签名是否为预设签名,若为上述预设签名,则可判定该进程的来源为所信任的来源,无需对该进程进行病毒进程检测,允许该进程对所有数据文件执行修改操作。
步骤S14':若不存在所述数字签名,则通过所述进程的可执行文件大小和所述进程的可执行文件依赖库数量判断所述进程是否为需检测进程。
需要说明的是,上述病毒程序为了方便在互联网上传输,其程序大小并不会太大,而常见的业务程序,如oracle或sqlserver等业务系统程序,其可执行文件大小基本上都是3MB以上,故而通过检测进程的可执行文件大小可以判断进程是否为病毒程序。进一步地,上述病毒程序为了方便对各个版本系统的数据做加密,该病毒程序的可执行文件依赖库数量并不会设置很多,通常都是操作系统核心的库,如ntdll.dll、kernel32.dll、user32.dll等,而正常业务程序,为了完成复杂的业务功能,会依赖很多的业务库,故而通过检测进程的可执行文件所依赖的动态链接库数量也可以判断进程是否为病毒程序。
在具体实现中,上述检测设备在上述进程不存在数字签名时,若检测到上述进程的可执行文件大小低于预设大小且上述进程的可执行文件依赖库数量低于预设数量,则判定上述进程为病毒程序的概率较高的需检测进程,需要上传到病毒程序检测系统去做检测。相反,若检测到上述检测的可执行文件大小超过上述预设大小,或上述进程的可执行文件依赖库数量达到上述预设数量,则可判定上述进程风险较低,允许该进程运行,无需上传到病毒程序检测系统做检测。
应理解的是,在上述进程存在数字签名,但数字签名不为预设签名时,也可通过检测上述进程的可执行文件大小和所述进程的可执行文件依赖库数量判断上述进程是否为需检测进程。
步骤S15':若为所述需检测进程,则将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统。
在具体实现中,上述检测设备在检测到上述进程为需检测进程时,便可将上述需检测进程的可执行文件以及运行该可执行文件的操作系统版本信息发送至上述病毒程序检测系统,由该病毒程序检测系统检测该进程的可执行文件是否为病毒程序。
本实施例通过扫描当前操作系统中的已安装程序,并获取已安装程序的可执行文件;在进程的可执行文件与已安装程序的可执行文件匹配时,判定进程不为病毒程序,不对进程进行病毒检测,允许进程对数据文件执行修改操作;在进程的可执行文件与已安装程序的可执行文件不匹配时,若进程的可执行文件存在数字签名,且数字签名为预设签名,则不对进程进行病毒检测,允许进程对数据文件执行修改操作;若进程的可执行文件不存在数字签名,则通过进程的可执行文件大小和可执行文件依赖库数量判断进程是否为需检测进程,若为需检测进程,则将可执行文件以及运行可执行文件的操作系统版本信息发送至病毒程序检测系统,以对进程进行病毒检测,有效提高了病毒程序检测的效率。
进一步地,本实施例中,所述步骤S11之前,还包括:
步骤S111:获取所述进程的可执行文件的磁盘原始生成时间。
需要说明的是,有些文件系统存在一个元数据,记录了文件的原始生成时间(该原始生成时间并非通常所说的创建时间,创建时间可用被程序修改,而该原始生成时间是不可修改的),可用通过解析文件系统的元数据获得磁盘的原始生成时间。上述磁盘原始生成时间可为上述进程的可执行文件在磁盘创建时生成的时间,该磁盘原始生成时间不可修改。进一步地,病毒程序的磁盘原始生成时间一般很短,通常不会超过一小时或一天,而常见的业务系统程序的磁盘原始生成时间基本上都是几个月甚至更久,故而可以通过进程可执行文件的磁盘原始生成时间判断进程是否存在危险。
在具体实现中,上述检测设备在检测上述进程的可执行文件是否为受信任程序之前,可获取该进程的可执行文件的磁盘原始生成时间,以在将病毒上传至病毒程序检测系统进行病毒程序检测前先通过磁盘原始生成时间判断该进程是否为需检测进程,以提高病毒程序检测效率。
步骤S112:判断所述磁盘原始生成时间是否处于预设正常范围。
需要说明的是,上述预设正常范围可为判断进程可执行文件的磁盘原始生成时间是否较长的范围(例如,磁盘原始生成时间超过一个月,即该可执行文件是在一个月之前在磁盘上创建的),可根据可执行文件的磁盘原始生成时间所处的范围所确定,也即,若进程的可执行文件磁盘原始生成时间处于上述预设正常范围,则判定该进程的可执行文件磁盘原始生成时间较长,符合正常程序的磁盘原始生成时间范围,暂无需进行病毒检测,相反,则判定该进程的磁盘原始生成时间较短,存在风险,需要进行病毒检测。
在具体实现中,上述检测设备可判断上述进程的可执行文件的磁盘原始生成时间是否处于上述预设正常范围,以判断该磁盘原始生成时间是否符合正常程序的磁盘原始生成时间范围,进而判定该已检测进程是否需要进行病毒检测。
步骤S113:若处于所述预设正常范围,则判定所述进程为无需进行病毒程序检测的可信任进程。
在具体实现中,上述检测设备在检测到进程的可执行文件的磁盘原始生成时间处于上述预设正常范围时,可对上述已检测进程进行标记,获得标记进程,该标记进程在此次以及后续启动时均不再进行病毒检测,以提高病毒程序检测的效率。
参考图5,图5为本发明病毒程序检测方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述方法还包括:
步骤S40:在与所述病毒程序检测系统通信失败时,获取系统防火墙规则。
需要说明的是,上述终端主机或上述终端代理程序需通过网络与上述病毒程序检测系统连接,以上传待检测进程的可执行文件至病毒程序检测系统进行病毒检测,若网络出现问题,则无法与病毒程序检测系统通信,进而无法对进程的可执行文件进行病毒检测。故而提出本实施例,以对终端主机与病毒程序检测系统之间的网络通信,或终端代理程序与病毒程序检测系统之间的网络通信进行防护,提高病毒程序检测的稳定性。
可理解的是,黑客渗透进目标终端主机之后,可以通过添加操作系统上防火墙的规则(如winodws上安全类软件的防火墙规则、linux系统的ip tables规则),拦截终端代理程序和病毒程序检测系统的网络通信,这样终端代理程序就无法上传待检测的可执行文件到病毒程序检测系统,以及获得病毒程序检测系统反馈的病毒检测结果。故而,当终端代理程序和病毒程序检测系统之间的网络通信出现异常时,需要查询操作系统的防火墙规则,检查是否存在拦截终端代理程序和病毒程序检测系统之间网络通信的规则。
在具体实现中,上述检测设备的终端代理程序在检测到与上述病毒程序检测系统通信失败时,可查询系统防火墙所配置的系统防火墙规则,以判断是否为系统防火墙拦截了网络通信。
应理解的是,上述终端代理程序可为上述检测设备运行后启动的程序,也可用于执行上述各实施例的操作。
步骤S50:判断所述系统防火墙规则中是否存在拦截所述病毒程序检测系统的目标拦截规则。
在具体实现中,上述检测设备可判断上述系统防火墙规则中是否存在拦截终端代理程序与病毒程序检测系统网络通信的目标拦截规则,该目标拦截规则会导致终端代理程序与病毒程序检测系统的网络通信失败。
步骤S60:若存在所述目标拦截规则,则将所述目标拦截规则删除,以恢复与所述病毒程序检测系统之间的通信。
在具体实现中,上述检测设备在检测到上述系统防火墙规则中存在拦截上述终端代理程序与病毒程序检测系统的目标拦截规则时,可将上述目标拦截规则删除,以恢复终端代理程序与病毒程序检测系统之间的网络通信。
本实施例通过在与病毒程序检测系统通信失败时,获取系统防火墙规则;判断系统防火墙规则中是否存在拦截病毒程序检测系统的目标拦截规则;若存在所述目标拦截规则,则将目标拦截规则删除,以恢复与所述病毒程序检测系统之间的通信,从而确保了终端代理程序与病毒程序检测系统之间的网络通信,保证了病毒程序检测的稳定性。
进一步地,本实施例中,所述方法还包括:
步骤S70:在检测到存在断网行为的目标进程时,阻塞所述断网进程的所述断网行为。
需要说明的是,黑客渗透终端主机后,可能会启动存在断网行为的病毒程序,该病毒程序会禁用网络或释放IP地址,即删除网卡的IP地址,此时,终端主机或终端代理程序将彻底无法通过网络与外界通信,故而提出本实施例,以对存在断网行为的病毒程序进行拦截,保证网络安全。
可理解的是,上述目标进程可为存在断网行为,中断终端主机网络通信的程序。
在具体实现中,上述检测设备在检测到当前网络正在被目标进程所中断时,可阻塞该目标进程的断网行为,即在预设延迟时间内暂时延迟该断网进程的断网操作。
应理解的是,上述预设延迟时间可为预先为阻塞断网操作这一过程所配置的时间。由于正常断网操作都是需要耗费时间的,故而该预设延迟时间可基于正常断网的耗费时间所确定,以使该阻塞过程不会对正常的业务系统运行造成较大的影响,并且可以争取足够多的时间上传该断网进程的可执行文件至病毒程序检测系统进行检测。
步骤S80:在阻塞所述断网行为的过程中,将所述目标进程的可执行文件发送至所述病毒程序检测系统,以检测所述目标进程是否为病毒程序。
在具体实现中,上述检测设备可在阻塞上述目标进程的过程中,即在处于延迟上述断网进程运行的预设延迟时间内,将上述目标进程的可执行文件发送至上述病毒程序检测系统,以检测该目标进程的可执行文件是否为病毒程序。
步骤S90:在完成将所述目标进程的可执行文件发送至所述病毒程序检测系统时,放行所述目标进程的所述断网行为。
在具体实现中,上述检测设备在将上述目标进程的可执行文件上发送至上述病毒程序检测系统后,为了避免对正常业务系统运行造成影响,不再阻塞该断网进程的运行,可放行该目标进程的断网行为,这样既可用保证不影响正常业务系统的断网行为,同时也实现了对可疑程序进行病毒检测的目标。由于放行了该目标进程的断网行为,此时便可能无法接收病毒程序检测系统反馈的病毒检测结果。
应理解的是,上述病毒程序检测系统在检测到上述目标进程的可执行文件为病毒程序后,可以将该目标进程的可执行文件的特征,如哈希值,告知网络中除上述上传该目标进程的终端主机之外的其他所有主机,以使网络中的其他主机均可以对该特征的程序进行拦截,避免遭受存在断网行为的勒索病毒的攻击,保证网络中其他主机的数据安全。
此外,本发明还提出一种方法应用于设有若干虚拟机的病毒程序检测系统的病毒程序检测方法,参照图6,图6为本发明应用于设有若干虚拟机的病毒程序检测系统的病毒程序检测方法第一实施例的流程示意图。
本实施例中,所述病毒程序检测方法包括以下步骤:
步骤S10':在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为。
需要说明的是,本实施例方法的执行主体可以是具有病毒程序检测、网络通信以及程序运行功能的计算服务设备,例如手机、平板电脑、个人电脑等,还可以是实现相同或相似功能的其他电子设备。以下以上述病毒程序检测系统(简称检测系统)对本实施例和下述各实施例进行说明。
可理解的是,上述目标行为可为破坏预设诱饵文件数据结构的行为。
在具体实现中,上述关联终端在检测到进程启动时,可将进程作为待检测进程,然后将待检测进程的可执行文件和运行该可执行文件的操作系统版本信息发送至检测系统。上述检测系统中可设有若干虚拟机,各虚拟机安装了不同版本的系统镜像,且系统镜像中的系统数据目录上预设了一系列用于检测进程的可执行文件是否为病毒程序的预设诱饵文件。上述检测设备在接收到该可执行文件和操作系统版本信息时,便可启动与该操作系统版本信息对应的目标虚拟机,虚拟机启动之后运行进程的可执行文件,然后通过文件系统通告或文件过滤驱动的方式监控该可执行文件运行后是否对预设诱饵文件执行破坏数据结构的目标行为,如加密、删除以及改名等,并生成实时的监测结果。
应理解的是,若在关联终端中进行病毒程序检测,在业务系统投放的预设诱饵文件过多时,会影响业务系统的运行,在业务系统投放的预设诱饵文件过少时,无法准确发现病毒加密行为。本实施例通过在虚拟机投放大量的预设诱饵文件,既能充分发现病毒的加密行为,又不会影响关联终端上的业务系统。
步骤S20':获取所述目标虚拟机生成的监控结果,并根据所述监控结果判断所述待检测进程是否为病毒程序,其中,若所述监控结果为在预设时间内存在所述目标行为,则判定所述待检测进程为所述病毒程序,若所述监控结果为在所述预设时间内不存在所述目标行为,则判定所述待检测进程不为所述病毒程序。
在具体实现中,上述检测系统可以实时获取实时目标虚拟机生成的监测结果,并对该监测结果中的可执行文件进行分析,若监控结果显示上述可执行文件运行后对预设诱饵文件存在上述目标行为,则判定该可执行文件对应的待检测进程为病毒程序,相应地,若监控结果显示上述可执行文件在预先设定的持续时间内均未对上述预设诱饵文件存在上述目标行为,则判定该可执行文件对应的待检测进程不为病毒程序,从而获得基于该监控结果生成的病毒检测结果。
步骤S30':反馈病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
在具体实现中,上述检测系统在获得上述病毒检测结果后便可将上述病毒检测结果发送至上述关联终端,上述关联终端便可根据该病毒检测结果确认上述待检测进程是否为病毒程序。
本实施例通过在接收到关联终端基于待检测进程发送的可执行文件以及运行可执行文件的操作系统版本信息时,启动与操作系统版本信息对应的目标虚拟机,目标虚拟机运行可执行文件,并监控可执行文件运行后是否存在修改预设诱饵文件的目标行为;获取目标虚拟机生成的监控结果,并根据监控结果检测待检测进程是否为病毒程序,获得病毒检测结果,其中,若监控结果为在预设时间内存在所述目标行为,则判定待检测进程为病毒程序,若监控结果为在所述预设时间内不存在目标行为,则判定待检测进程不为病毒程序;反馈病毒检测结果至关联终端,以使关联终端基于病毒检测结果确认待检测进程是否为病毒程序。本实施例通过目标虚拟机运行可执行文件对待检测进程进行病毒进程,再将病毒检测结果反馈至关联终端,有效避免了关联终端进行病毒程序检测时影响业务系统运行的情况,提高了用户体验,同时,本实施例在病毒程序检测系统中的虚拟机中进行病毒检测,既能保证业务主机的安全运行,又能在虚拟环境中检测病毒的危害行为,保护整个网络中的主机安全。
参照图7,图7为本发明病毒程序检测装置第一实施例的结构框图。
如图7所示,本发明实施例提出的病毒程序检测装置包括:
进程启动模块501,用于在检测到进程启动时,查询所述进程的可执行文件。
进程检测模块502,用于将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述预设检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果。
病毒确认模块503,用于接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
本实施例通过在检测到进程启动时,查询进程的可执行文件;然后将可执行文件以及运行可执行文件的操作系统版本信息发送至病毒程序检测系统,病毒程序检测系统启动与操作系统版本信息对应的目标虚拟机,通过目标虚拟机运行可执行文件以检测进程是否为病毒程序,并生成病毒检测结果;最后接收病毒程序检测系统反馈的病毒检测结果,并根据病毒检测结果确认所述进程是否为病毒程序。本实施例通过将已启动进程的可执行文件和操作系统版本信息发送至病毒程序检测系统,由病毒程序检测系统进行病毒程序检测,相较于现有技术当终端主机中投放过多的诱饵文件时,业务系统中的业务进程会读取这些诱饵文件,在该诱饵文件不为业务数据时,便会造成业务进程中断,从而阻塞业务系统的正常运行的情况,本实施例上述病毒程序检测方法有效避免了病毒程序检测过程阻塞业务系统运行的情况,提高了用户体验。
作为一种实施方式,所述进程检测模块502,还用于在所述进程对当前数据文件执行修改操作时,若尚未接收到所述病毒检测结果,则允许所述进程对所述当前数据文件执行修改操作;若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程为所述病毒程序,则终止所述进程的运行;若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程不为所述病毒程序,则允许所述进程对所有数据文件执行修改操作。
基于本发明上述病毒程序检测装置第一实施例,提出本发明病毒程序检测装置的第二实施例。
在本实施例中,所述进程启动模块501,还用于判断所述进程的可执行文件是否与受信任程序列表中的程序匹配;若匹配,则判定所述进程不为病毒程序。
作为一种实施方式,所述进程启动模块501,还用于若不匹配,则检测所述进程是否存在数字签名;若存在所述数字签名,则在所述数字签名是否为预设签名时,允许所述进程对所有数据文件执行修改操作;若不存在所述数字签名,则通过所述进程的可执行文件大小和所述进程的可执行文件依赖库数量判断所述进程是否为需检测进程;若为所述需检测进程,则将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统。
作为一种实施方式,所述进程启动模块501,还用于在检测到所述病毒检测结果为非病毒程序的已检测进程启动时,获取所述进程的可执行文件的磁盘原始生成时间;判断所述磁盘原始生成时间是否处于预设正常范围;若处于所述预设正常范围,则判定所述进程为无需进行病毒程序检测的可信任进程。
基于本发明上述病毒程序检测装置各实施例,提出本发明病毒程序检测装置的第三实施例。
在本实施例中,所述进程检测模块502,还用于在与所述病毒程序检测系统通信失败时,获取系统防火墙规则;判断所述系统防火墙规则中是否存在拦截所述病毒程序检测系统的目标拦截规则;若存在所述目标拦截规则,则将所述目标拦截规则删除,以恢复与所述病毒程序检测系统之间的通信。
作为一种实施方式,所述进程检测模块502,还用于在检测到存在断网行为的目标进程时,阻塞所述目标进程的所述断网行为;在阻塞所述断网行为的过程中,将所述目标进程的可执行文件发送至所述病毒程序检测系统,以检测所述目标进程是否为病毒程序;在完成将所述目标进程的可执行文件发送至所述病毒程序检测系统时,放行所述目标进程的所述断网行为。
参照图8,图8为本发明病毒程序检测系统第一实施例的结构框图。
如图8所示,本发明实施例提出的病毒程序检测装置包括:
虚拟机启动模块501',用于在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为;
病毒检测模块502',用于获取所述目标虚拟机生成的监控结果,并根据所述监控结果判断所述待检测进程是否为病毒程序,其中,若所述监控结果为在预设时间内存在所述目标行为,则判定所述待检测进程为所述病毒程序,若所述监控结果为在所述预设时间内不存在所述目标行为,则判定所述待检测进程不为所述病毒程序;
结果反馈模块503',用于反馈病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
本实施例通过在接收到关联终端基于待检测进程发送的可执行文件以及运行可执行文件的操作系统版本信息时,启动与操作系统版本信息对应的目标虚拟机,目标虚拟机运行可执行文件,并监控可执行文件运行后是否存在修改预设诱饵文件的目标行为;获取目标虚拟机生成的监控结果,并根据监控结果判断待检测进程是否为病毒程序,其中,若监控结果为存在所述目标行为,则判定待检测进程为病毒程序,若监控结果为不存在目标行为,则判定待检测进程不为病毒程序;反馈病毒检测结果至关联终端,以使关联终端基于病毒检测结果确认待检测进程是否为病毒程序。本实施例通过目标虚拟机运行可执行文件对待检测进程进行病毒进程,再将病毒检测结果反馈至关联终端,有效避免了关联终端进行病毒程序检测阻塞业务系统运行的情况,提高了用户体验。
本发明病毒程序检测装置的具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种病毒程序检测方法,其特征在于,所述方法包括以下步骤:
在检测到进程启动时,查询所述进程的可执行文件;
将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述病毒程序检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果;
接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
2.如权利要求1所述的病毒程序检测方法,其特征在于,所述方法还包括:
在所述进程对当前数据文件执行修改操作时,若尚未接收到所述病毒检测结果,则允许所述进程对所述当前数据文件执行修改操作;
若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程为所述病毒程序,则终止所述进程的运行;
若已接收到所述病毒检测结果,且通过所述病毒检测结果确认所述进程不为所述病毒程序,则允许所述进程对所有数据文件执行修改操作。
3.如权利要求2所述的病毒程序检测方法,其特征在于,所述在检测到进程启动时,查询所述进程的可执行文件的步骤之后,还包括:
判断所述进程的可执行文件是否与受信任程序列表中的程序匹配;
若匹配,则判定所述进程不为病毒程序。
4.如权利要求3所述的病毒程序检测方法,其特征在于,所述判断所述进程的可执行文件是否与受信任程序列表中的程序匹配的步骤之后,还包括:
若不匹配,则检测所述进程是否存在数字签名;
若存在所述数字签名,则在所述数字签名是否为预设签名时,允许所述进程对所有数据文件执行修改操作;
若不存在所述数字签名,则通过所述进程的可执行文件大小和所述进程的可执行文件依赖库数量判断所述进程是否为需检测进程;
若为所述需检测进程,则将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统。
5.如权利要求3所述的病毒程序检测方法,其特征在于,所述判断所述进程的可执行文件是否与受信任程序列表中的程序匹配的步骤之前,还包括:
获取所述进程的可执行文件的磁盘原始生成时间;
判断所述磁盘原始生成时间是否处于预设正常范围;
若处于所述预设正常范围,则判定所述进程为无需进行病毒程序检测的可信任进程。
6.如权利要求1至5任一项所述的病毒程序检测方法,其特征在于,所述方法还包括:
在与所述病毒程序检测系统通信失败时,获取系统防火墙规则;
判断所述系统防火墙规则中是否存在拦截所述病毒程序检测系统的目标拦截规则;
若存在所述目标拦截规则,则将所述目标拦截规则删除,以恢复与所述病毒程序检测系统之间的通信。
7.如权利要求1至5任一项所述的病毒程序检测方法,其特征在于,所述方法还包括:
在检测到存在断网行为的目标进程时,阻塞所述目标进程的所述断网行为;
在阻塞所述断网行为的过程中,将所述目标进程的可执行文件发送至所述病毒程序检测系统,以检测所述目标进程是否为病毒程序;
在完成将所述目标进程的可执行文件发送至所述病毒程序检测系统时,放行所述目标进程的所述断网行为。
8.一种病毒程序检测方法,其特征在于,所述方法应用于设有若干虚拟机的病毒程序检测系统,所述方法包括以下步骤:
在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为;
获取所述目标虚拟机生成的监控结果,并根据所述监控结果判断所述待检测进程是否为病毒程序,其中,若所述监控结果为在预设时间内存在所述目标行为,则判定所述待检测进程为所述病毒程序,若所述监控结果为在所述预设时间内不存在所述目标行为,则判定所述待检测进程不为所述病毒程序;
反馈病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
9.一种病毒程序检测装置,其特征在于,所述装置包括:
进程启动模块,用于在检测到进程启动时,查询所述进程的可执行文件;
进程检测模块,用于将所述可执行文件以及运行所述可执行文件的操作系统版本信息发送至病毒程序检测系统,所述预设检测系统启动与所述操作系统版本信息对应的目标虚拟机,通过所述目标虚拟机运行所述可执行文件以检测所述进程是否为病毒程序,并生成病毒检测结果;
病毒确认模块,用于接收所述病毒程序检测系统反馈的所述病毒检测结果,并根据所述病毒检测结果确认所述进程是否为病毒程序。
10.一种病毒程序检测系统,其特征在于,所述系统包括:
虚拟机启动模块,用于在接收到关联终端基于待检测进程发送的可执行文件以及运行所述可执行文件的操作系统版本信息时,启动与所述操作系统版本信息对应的目标虚拟机,所述目标虚拟机运行所述可执行文件,并监控所述可执行文件运行后是否存在修改预设诱饵文件的目标行为;
病毒检测模块,用于获取所述目标虚拟机生成的监控结果,并根据所述监控结果检测所述待检测进程是否为病毒程序,获得病毒检测结果,其中,若所述监控结果为在预设时间内存在所述目标行为,则判定所述待检测进程为在所述预设时间内所述病毒程序,若所述监控结果为不存在所述目标行为,则判定所述待检测进程不为所述病毒程序;
结果反馈模块,用于反馈所述病毒检测结果至所述关联终端,以使所述关联终端基于所述病毒检测结果确认所述待检测进程是否为所述病毒程序。
CN202310975820.1A 2023-08-04 2023-08-04 病毒程序检测方法、装置及系统 Active CN116680696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310975820.1A CN116680696B (zh) 2023-08-04 2023-08-04 病毒程序检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310975820.1A CN116680696B (zh) 2023-08-04 2023-08-04 病毒程序检测方法、装置及系统

Publications (2)

Publication Number Publication Date
CN116680696A true CN116680696A (zh) 2023-09-01
CN116680696B CN116680696B (zh) 2024-02-13

Family

ID=87789520

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310975820.1A Active CN116680696B (zh) 2023-08-04 2023-08-04 病毒程序检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN116680696B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103778373A (zh) * 2014-01-10 2014-05-07 深圳市深信服电子科技有限公司 病毒检测方法及装置
JP2017142744A (ja) * 2016-02-12 2017-08-17 日本電気株式会社 情報処理装置、ウィルス検出方法及びプログラム
CN111259348A (zh) * 2020-02-20 2020-06-09 国网信息通信产业集团有限公司 一种安全运行可执行文件的方法及系统
CN112580025A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 基于虚拟机的报毒方法及装置、存储介质、计算机设备
CN113312623A (zh) * 2021-06-21 2021-08-27 北京天融信网络安全技术有限公司 访问控制中的进程检测方法、装置、电子设备和存储介质
CN114925362A (zh) * 2022-05-11 2022-08-19 阿里云计算有限公司 病毒防御方法、电子设备、介质及程序产品

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103778373A (zh) * 2014-01-10 2014-05-07 深圳市深信服电子科技有限公司 病毒检测方法及装置
JP2017142744A (ja) * 2016-02-12 2017-08-17 日本電気株式会社 情報処理装置、ウィルス検出方法及びプログラム
CN112580025A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 基于虚拟机的报毒方法及装置、存储介质、计算机设备
CN111259348A (zh) * 2020-02-20 2020-06-09 国网信息通信产业集团有限公司 一种安全运行可执行文件的方法及系统
CN113312623A (zh) * 2021-06-21 2021-08-27 北京天融信网络安全技术有限公司 访问控制中的进程检测方法、装置、电子设备和存储介质
CN114925362A (zh) * 2022-05-11 2022-08-19 阿里云计算有限公司 病毒防御方法、电子设备、介质及程序产品

Also Published As

Publication number Publication date
CN116680696B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
US7752669B2 (en) Method and computer program product for identifying or managing vulnerabilities within a data processing network
EP3120279B1 (en) Integrity assurance and rebootless updating during runtime
AU2019246773B2 (en) Systems and methods of risk based rules for application control
EP2839406B1 (en) Detection and prevention of installation of malicious mobile applications
US8667593B1 (en) Methods and apparatuses for protecting against malicious software
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US20080208935A1 (en) Computer Program Product and Computer System for Controlling Performance of Operations within a Data Processing System or Networks
US20080028464A1 (en) Systems and Methods for Data Processing Anomaly Prevention and Detection
CN110119619B (zh) 创建防病毒记录的系统和方法
CA2899909A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
CN107330328B (zh) 防御病毒攻击的方法、装置及服务器
US12093385B2 (en) Zero dwell time process library and script monitoring
CN115221524B (zh) 业务数据保护方法、装置、设备及存储介质
US11449602B1 (en) Systems and methods for generating trust binaries
US10204036B2 (en) System and method for altering application functionality
CN110688653A (zh) 客户端的安全防护方法及装置、终端设备
RU101235U1 (ru) Система проверки на присутствие вредоносного программного обеспечения с изменяемыми настройками проверки
CN107479874B (zh) 一种基于Windows平台的DLL注入方法及系统
CN116680696B (zh) 病毒程序检测方法、装置及系统
US20110197253A1 (en) Method and System of Responding to Buffer Overflow Vulnerabilities
US11928205B1 (en) Systems and methods for implementing cybersecurity using blockchain validation
US20230017989A1 (en) System and method for in detection of malicious behavior in software updates to prevent software supply chain attacks
CN115774871A (zh) 进程权限提升防护方法、装置、设备及存储介质
CN111931178A (zh) 工业环境中基于白名单与文件特征码的主机保护方法及系统
RU2774042C1 (ru) Система и способ выявления потенциально вредоносных изменений в приложении

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant