WO2009143742A1 - 一种可疑文件分析方法及系统 - Google Patents

Description

一种可疑文件分析方法及系统 本申请要求于 2008 年 5 月 30 日提交中国专利局、 申请号为 200810067552. 9 , 发明名称为 "一种可疑文件分析方法及系统" 的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机安全技术领域， 尤其涉及一种可疑文件分析方法及系 统。

背景技术

虚拟机 ( Vi r tua l Machine )是一个虚构出来的计算机， 是通过在真实的 计算机上仿真模拟各种计算机功能来实现的。 通过虚拟机软件可以在一台电 脑 （宿主机）上模拟出一个或多个台虚拟的计算机（虚拟机） ， 且每台虚拟 计算机都可以运行单独的操作系统而互不干扰， 即一台虚拟机就是一台独立 的计算机， 拥有独立的操作系统。 虚拟机使用真实系统的 CPU、 部分磁盘空间 及内存， 虚拟机完全就像真正的计算机进行工作， 例如可以安装操作系统、 安装应用程序、 访问网络资源等。

由于虚拟机最大的优点就是方便、 快捷、 节省资源， 所以成为很多个人 或企业的必备工具， 尤其是信息安全行业。 由于信息安全行业工作性质的特 殊性， 尤其是研究或测试恶意程序的部门， 在研究每一个恶意程序时都需要 一个 "干净" 的操作系统， 因为恶意程序之间会相互干扰， 可能会导致操作 系统紊乱， 从而干扰研究人员对其行为的判断。

为了得到准确的结果， 研究人员必须采用 "干净" 的操作系统。 若研究 人员选择真实主机系统来研究恶意程序， 恢复（重装） 系统需要较长时间， 从而会浪费大量时间， 软件公司必须节省这个时间， 另外当今流行的恶意软 件大都能在虚拟机里正常运行， 和在真实主机操作系统里运行结果没有任何 区别， 不会影响研究人员的判断力， 所以软件信息安全公司在对大部分恶意 软件 ( Ma lware ) 的分析和测试处理时大都选用了虚拟机环境。

在实现本发明的过程中， 发明人发现现有技术中至少存在如下问题： 在使用虚拟机时需要手动操作， 如对单一对象存储（ S ing le Ins tance Storage, SIS ) 的创建、 恢复、 删除操作以及对 Vi r tua l Machine 系统的启 动、 暂停、 重启、 关机等操作都需要人工参与， 软件信息安全公司的分析工 程师和测试工程师在对恶意软件进行分析和测试时就必须手动操作虚拟机来 达到工作目的。 因此， 软件信息安全公司在此环节花费大量的人力物力。 发明内容

本发明实施例提供一种可疑文件分析方法及系统， 可以自动完成对可疑 文件的分析， 提高分析和测试可疑文件的效率。

本发明实施方式例可疑文件分析方法， 包括：

根据预先存储的配置文件获取一个或多个可疑文件， 所述配置文件为与 可疑文件相关的信息；

选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件； 根据所述记录的日志分析所述可疑文件并输出分析结果。

本发明实施例可疑文件分析系统， 包括：

文件获取模块， 用于根据预先存储的配置文件获取一个或多个可疑文件， 所述配置文件为与可疑文件相关的信息；

虚拟机模块， 用于运行所述传送的可疑文件， 记录所述可疑文件在所述 虚拟机中运行时的行为特征并保存为日志；

分析模块， 用于根据所述记录的日志分析所述可疑文件并输出分析结果。 本发明实施例将所述一个或多个可疑文件自动传送到所述虚拟机， 通过 监视和分析可疑文件在虚拟机运行时的行为特征自动输出分析结果， 可自动 分析可疑文件并输出分析结果， 提高了分析效率， 节省了时间和人力成本。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下 面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例可疑文件分析方法的流程示意图；

图 2是本发明实施例一可疑文件分析系统的结构示意图；

图 3是本发明实施例二可疑文件分析系统的结构示意图。

具体实施方式

为了使本发明的目的、 技术方案及优点更加清楚明白， 以下结合附图及 实施方式， 对本发明进行进一步详细说明。 应当理解， 此处所描述的具体实 施方式仅仅用以解释本发明， 并不用于限定本发明。

请参考图 1 , 为本发明实施例可疑文件分析方法的流程示意图， 其步骤具 体包括：

步骤 S10: 读取配置文件。

所述配置文件为预先存储的与可疑文件相关的信息， 比如可疑文件的路 径、 用于可疑文件分析的自定义规则 （包括可疑文件分析的步骤或策略）等 信息。 所述配置文件可根据实际需要进行修改， 比如实际放置的可疑文件的 路径位置改变、 可疑文件分析的步骤或策略需要调整等。

步骤 S12 : 根据所述配置文件获取一个或多个可疑文件。

具体的， 在读取所述配置文件后， 根据所述配置文件中的相关信息， 如 可疑文件的路径， 从可疑文件的路径获取一个或多个可疑文件。 具体实现时， 可将一个或多个待分析的可疑文件预先放置在所述配置文件中可疑文件的路 径位置处。

步骤 S14 : 选取一可疑文件传送到虚拟机并运行所述选取的可疑文件。 所述虚拟机为一可模拟真实系统的处理器、 内存， 并将真实系统的硬盘 的一部分模拟成自己硬盘的模拟装置， 本发明实施例以初始状态的虚拟机为 例进行说明； 具体的， 通过遍历或者随机的方式从获取的一个或多个可疑文 件中选取一个可疑文件， 将所述选取的可疑文件传送到一个处于初始状态的 虚拟机中并运行。 处于初始状态的虚拟机即表示所述虚拟机刚被创建或者初 始化， 没有被任何恶意程序感染过， 具体实现时可创建一个初始状态的虚拟 机镜像。 所述初始状态的虚拟机可事先已被运行， 等所述可疑文件传送过来 后即运行所述可疑文件， 也可等所述可疑文件传送过来后， 启动所述初始状 态的虚拟机开始运行， 接着由虚拟机运行所述可疑文件， 具体步骤顺序由所 述配置文件中的可疑文件分析的自定义规则决定。 曰志。

具体的， 目前的恶意程序运行后的行为特征主要有： 修改注册表（目的 让自己下次开机自启动）、 发现自己不是在系统目录就将自己拷贝到系统目录 (然后还会删除自己， 防止用户怀疑）， 还包括通过挂系统钩子以获取用户键 盘操作、 收集用户信息， 利用系统漏洞、 远程注入等恶意行为特征。 所述虚 拟机模块监视所述可疑文件在虚拟机中运行时的行为特征， 并将所述行为特 征记录为日志， 保存在日志记录模块中。

步骤 S 18 : 根据所述记录的日志分析所述可疑文件并输出分析结果。

具体的， 可根据自定义规则进行分析， 比如对所述记录的日志中的行为 特征进行打分， 如恶意程序将自己拷贝到系统目录、 修改了某个特定的注册 表、 译放了其它文件（衍生物） 到系统目录等都进行打分， 根据分值与预先 设定的阈值的比较结果输出分析结果。 本实施例中， 当分值达到事先设置好 的阈值则判定为恶意程序， 即输出所述可疑文件为恶意程序文件的分析结果； 若分数为零或分数较低则分别输出所述可疑文件为非恶意程序文件或需要工 程师进一步确认的分析结果； 另外， 还可将所述记录的日志与一恶意程序数 据库模块中存储的恶意程序行为特征进行比较， 根据比较结果输出分析结果。 本实施例中， 若所述记录的日志中的行为特征全部与所述恶意程序数据库模 块中存储的恶意程序行为特征相符， 则输出所述可疑文件为恶意程序文件的 分析结果， 若不符合或部分符合， 则分别输出所述可疑文件为非恶意程序文 件或需要工程师进一步确认的分析结果， 具体的分析规则可根据用户需要自 定义， 也可由所述配置文件中的可疑文件分析的自定义规则决定。

步骤 S20: 判断是否还有其他可疑文件。

具体的， 在步骤 S18 输出所述可疑文件的分析结果后， 判断是否还有其 他未传送的可疑文件， 若判断为是， 则执行步骤 S22 ; 若判断为否， 则结束可 疑文件分析。

步骤 S22: 恢复所述虚拟机到初始状态。

具体的， 通过恢复虚拟机镜像的方式将所述虚拟机恢复到初始状态， 执 行步骤 S14以进行另一可疑文件的分析。

本发明实施例将所述一个或多个可疑文件自动传送到所述虚拟机， 通过 监视和分析可疑文件在虚拟机运行时的行为特征自动输出分析结果， 可自动 批量的分析可疑文件， 提高了分析效率， 节省了时间和人力成本。

请参考图 2 , 为本发明实施例一可疑文件分析系统的结构示意图， 所述可 疑文件分析系统包括配置文件模块 50、 文件获取模块 52、 虚拟机模块 60、 分 析模块 54、 恶意程序数据库模块 56及判断模块 58。

所述配置文件模块 50, 用于存储配置文件， 所述配置文件为与可疑文件 相关的信息， 如可疑文件的路径、 用于可疑文件分析的自定义规则 （包括可 疑文件分析的步骤或策略）等信息。

所述文件获取模块 52 , 用于从所述配置文件模块 50读取所述配置文件， 根据所述配置文件获取一个或多个可疑文件， 选取一可疑文件传送到所述虚 拟机模块 60中的虚拟机并运行所述选取的可疑文件。 具体的， 所述文件获取 模块 52根据所述配置文件中的可疑文件的路径获取预先放置的可疑文件， 通 过遍历或者随机的方式从获取的一个或多个可疑文件中选取一个可疑文件， 将所述选取的可疑文件传送到所述虚拟机模块 60中的一个处于初始状态的虚 拟机中并运行。

所述虚拟机模块 60, 用于运行所述传送的可疑文件， 记录所述可疑文件 在所述虚拟机中运行时的行为特征并保存为日志。 目前的恶意程序运行后的 行为特征主要有： 修改注册表（目的让自己下次开机自启动）、 发现自己不是 在系统目录就将自己拷贝到系统目录（然后还会删除自己， 防止用户怀疑）， 还包括通过挂系统钩子以获取用户键盘操作、 收集用户信息， 利用系统漏洞、 远程注入等。 所述虚拟机模块监视所述可疑文件在虚拟机中运行时的行为特 征， 并将所述行为特征保存为日志。

所述恶意程序数据库模块 56 , 用于存储现有的恶意程序运行时的行为特 征， 如修改注册表、 将自身拷贝到系统目录、 挂系统钩子、 译放了驱动或其 它文件（衍生物）到系统目录、 拦截 API ( SSDT链）、 ATTACH文件（网络、 键 盘驱动）等。

所述分析模块 54 , 用于根据所述记录的日志分析所述可疑文件并输出分 析结果； 具体的， 可根据自定义规则进行分析， 比如对所述记录的日志中的 行为特征进行打分， 如恶意程序将自己拷贝到系统目录、 修改了某个特定的 注册表、 译放了驱动或其它文件（衍生物）到系统目录、 拦截 API ( SSDT链）、 ATTACH文件（网络、 键盘驱动）等都进行打分， 当分值达到事先设置好的阈 值则判定为恶意程序， 即输出所述可疑文件为恶意程序文件的分析结果； 若 分数为零或分数较低则分别输出所述可疑文件为非恶意程序文件或需要工程 师进一步确认的分析结果； 另外， 还可将所述记录的日志与所述恶意程序数 据库模块 56中存储的恶意程序行为特征进行比较， 若所述记录的日志记录的 行为特征全部与所述恶意程序数据库模块中存储的恶意程序行为特征相符， 则输出所述可疑文件为恶意程序文件的分析结果， 若不符合或部分符合， 则 分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结 果， 具体的分析规则可根据用户需要自定义， 也可由所述配置文件中的可疑 文件分析的自定义规则决定。 所述判断模块 58 , 用于判断是否还有其他可疑文件， 具体的， 在所述分 析模块 54输出所述可疑文件的分析结果后， 所述判断模块 58判断所述文件 获取模块 52是否还有其他未传送的可疑文件， 若判断为是， 则通知所述虚拟 机模块 60将所述虚拟机恢复到初始状态， 并通知所述文件获取模块 52传送 下一可疑文件到所述虚拟机； 若判断为否， 则结束可疑文件分析。 所述判断 模块 58 在本实施例中单独设置， 在具体实现中也可与所述文件获取模块 52 集成在一起。

本发明实施例中所述配置文件可预先存储在所述文件获取模块 52 , 即不 需要另外设置所述配置文件模块 50。

本发明实施例通过所述文件获取模块 52将所述一个或多个可疑文件自动 传送到所述虚拟机模块 60, 通过监视和分析可疑文件在虚拟机运行时的行为 特征通过所述分析模块 54 自动输出分析结果， 提高了分析效率， 节省了时间 和人力成本。

请参考图 3 , 为本发明实施例二可疑文件分析系统的结构示意图， 其与本 发明实施例一的区别在于具体细化了所述虚拟机模块 60。 所述虚拟机模块 60 包括虚拟机 62、 监视模块 64、 日志记录模块 66及虚拟机恢复模块 68。

所述虚拟机 62 , 用于接收到所述文件获取模块 52传送的可疑文件后，运 行所述可疑文件。 具体的， 所述虚拟机 62为一可模拟真实系统的处理器、 内 存， 并将真实系统的硬盘的一部分模拟成自己硬盘的模拟装置， 可使所述可 疑文件运行时像在真实系统运行时一样。

所述监视模块 64 ,用于监视所述可疑文件在虚拟机 62中运行时的行为特 征；

所述日志记录模块 66 ,用于记录所述监视模块 64监视的可疑文件在所述 虚拟机中运行时的行为特征并保存为日志。

所述虚拟机恢复模块 68 ,用于在所述判断模块 58判断所述文件获取模块 52还有未传送的可疑文件后， 将所述虚拟机 62恢复到初始状态。 在具体实现中， 所述虚拟机模块 60可能有其他模块组合形式， 如可将所 述监视模块 64及所述日志记录模块 66的功能集合在一起， 用一个模块实现 监视和记录行为特征的功能， 本发明实施例只是用来举例说明， 以解释本发 明， 并不用于限定本发明。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成， 所述程序可以存储于一计算机可 读取存储介质中， 所述存储介质为 R0M/RAM、 磁碟、 光盘等。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并不 局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明 的保护范围应该以权利要求的保护范围为准。

Claims

权利要求 书

1、 一种可疑文件分析方法， 包括：

根据预先存储的配置文件获取一个或多个可疑文件， 所述配置文件为与可 疑文件相关的信息；

选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件； 根据所述记录的日志分析所述可疑文件并输出分析结果。

2、 如权利要求 1所述的方法， 其特征在于： 所述配置文件包括所述可疑文 件的路径；

根据预先存储的配置文件获取一个或多个可疑文件具体为：

从所述可疑文件的路径获取预先放置的一个或多个可疑文件。

3、 如权利要求 1所述的方法， 其特征在于： 所述根据所述记录的日志分析 所述可疑文件并输出分析结果后， 还包括步骤：

判断是否还有其他可疑文件， 若判断为是， 则恢复所述虚拟机到初始状态。

4、 如权利要求 3所述的方法， 其特征在于： 所述恢复所述虚拟机到初始状 态后， 执行步骤：

选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件。

5、 如权利要求 1所述的方法， 其特征在于： 所述根据所述记录的日志分析 所述可疑文件并输出分析结果包括：

对所述记录的日志中的行为特征进行打分， 根据分值与预先设定的阈值的 比较结果输出分析结果。

6、 如权利要求 5所述的方法， 其特征在于： 当分值达到事先设置好的阈值 则判定为恶意程序， 输出所述可疑文件为恶意程序文件的分析结果； 若分数为 零或分数较低则分别输出所述可疑文件为非恶意程序文件或进一步确认的分析 结果。

7、 如权利要求 1所述的方法， 其特征在于： 所述根据所述记录的日志分析 所述可疑文件并输出分析结果包括：

将所述记录的日志与一恶意程序数据库模块中存储的恶意程序行为特征进 行比较， 根据比较结果输出分析结果。

8、 如权利要求 7所述的方法， 其特征在于： 若所述记录的日志中的行为特 征全部与所述恶意程序数据库模块中存储的恶意程序行为特征相符， 则输出所 述可疑文件为恶意程序文件的分析结果， 若不符合或部分符合， 则分别输出所 述可疑文件为非恶意程序文件或需要进一步确认的分析结果。

9、 一种可疑文件分析系统， 包括：

文件获取模块（ 52 ), 用于根据预先存储的配置文件获取一个或多个可疑文 件， 所述配置文件为与可疑文件相关的信息， 并选取其中一可疑文件传送到虚 拟机模块（60 )；

虚拟机模块（60 ), 用于运行所述传送的可疑文件， 记录所述可疑文件在所 述虚拟机中运行时的行为特征并保存为日志；

分析模块（ 54 ), 用于根据所述记录的日志分析所述可疑文件并输出分析结 果。

10、 如权利要求 9所述的系统， 其特征在于： 还包括配置文件模块（50 ), 用于存储所述配置文件， 所述文件获取模块从所述配置文件模块读取所述配置 文件。

11、 如权利要求 9所述的系统， 其特征在于： 所述虚拟机模块（60 ) 包括： 虚拟机（62 ), 用于接收所述文件获取模块传送的可疑文件后运行所述可疑 文件； 日志记录模块（ 66 ), 用于记录所述监视模块监视的可疑文件在所述虚拟机 中运行时的行为特征并保存为日志。

12、 如权利要求 11 所述的系统， 其特征在于： 还包括判断模块（58 ), 用 于判断所述文件获取模块是否还有其他未传送的可疑文件， 若判断为是， 则通 知所述虚拟机模块将所述虚拟机恢复到初始状态， 并通知所述文件获取模块传 送下一可疑文件到所述虚拟机。

13、 如权利要求 12所述的系统， 其特征在于： 所述虚拟机模块还包括虚拟 机恢复模块（ 68 ), 用于在所述判断模块判断所述文件获取模块还有未传送的可 疑文件后， 将所述虚拟机恢复到初始状态。

14、 如权利要求 9 所述的系统， 其特征在于： 所述分析模块（54 )对所述 记录的日志中的行为特征进行打分， 根据分值与预先设定的阈值的比较结果输 出分析结果。

15、 如权利要求 9 所述的系统， 其特征在于： 还包括恶意程序数据库模块 ( 56 ), 用于存储现有的恶意程序运行时的行为特征， 所述分析模块（ 54 )将所 述记录的日志与所述恶意程序数据库模块（56 ) 中存储的恶意程序行为特征进 行比较， 根据比较结果输出分析结果。