【技術實現步驟摘要】
本申請涉及計算機及通信,具體而言,涉及一種惡意代碼的行為檢測方法及相關設備。
技術介紹
1、在當前計算機攻防對抗和網絡攻擊中,惡意代碼為了實現持久性感染,采用了多種手段來增加其隱蔽性和持續性,其中包括各種持久化駐留后續行為,即這些惡意程序可能不會在首次執行時執行全部功能,而是添加自啟動、服務、計劃任務等方式在后續的時機觸發,逃避檢測,常規的安全軟件無法檢測到相關行為,導致部分惡意代碼逃脫檢測。
技術實現思路
1、本申請的實施例提供了一種惡意代碼的行為檢測方法及相關設備,進而至少在一定程度上可以克服現有技術的安全軟件無法檢測到惡意代碼的持久化駐留后續行為,導致部分惡意代碼逃脫檢測的問題。
2、本申請的其他特性和優點將通過下面的詳細描述變得顯然,或部分地通過本申請的實踐而習得。
3、根據本申請實施例的一個方面,提供了一種惡意代碼的行為檢測方法,包括:在沙箱中運行樣本代碼;響應于所述樣本代碼的預定操作,調用回調例程;響應所述回調例程,確定所述樣本代碼是否為惡意代碼。
4、在本申請的一些實施例中,所述預定操作為對注冊表操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:響應所述回調例程,確定目標鍵值信息,所述目標鍵值信息為樣本代碼執行預定操作后的注冊表鍵值信息;根據目標鍵值信息,確定所述樣本代碼是否為惡意代碼。
5、在本申請的一些實施例中,所述目標鍵值信息包括注冊表鍵值和注冊表鍵值類型,所述根據目標鍵值信息,確定所述樣本代碼
6、在本申請的一些實施例中,所述預定操作為對文件系統操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:響應所述回調例程,記錄目標文件,所述目標文件為所述文件系統中被操作過的文件;根據所述目標文件,確定所述樣本代碼是否為惡意代碼。
7、在本申請的一些實施例中,所述根據所述目標文件,確定所述樣本代碼是否為惡意代碼,具體包括:判斷所述目標文件是否屬于自啟動文件目錄;若所述目標文件屬于自啟動文件目錄,則確定所述樣本代碼為惡意代碼。
8、在本申請的一些實施例中,所述預定操作為對計劃任務進程的操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:響應所述回調例程,記錄計劃任務信息;根據所述計劃任務信息,確定所述樣本代碼是否為惡意代碼。
9、在本申請的一些實施例中,所述計劃任務信息包括進程路徑及命令行,所述根據所述進程信息,確定所述樣本代碼是否為惡意代碼,具體包括:對比所述進程路徑和所述命令行,確定是否與預設進程路徑以及預設命令行匹配;若所述進程路徑和所述預設進程路徑匹配且所述命令行與所述預設命令行匹配,確定所述樣本代碼為惡意代碼。
10、在本申請的一些實施例中,所述響應于所述樣本代碼的預定操作,調用回調例程,具體包括:響應于所述樣本代碼對所述注冊表的目標操作,調用回調例程;響應于所述樣本代碼對系統文件的目標操作,調用回調例程;響應于所述樣本代碼對計劃任務進程的目標操作,調用回調例程。
11、在本申請的一些實施例中,所述若所述樣本代碼為惡意代碼,主動觸發所述樣本代碼的后續行為,具體包括:獲取目標數據,所述目標數據為所述預定操作生成的數據;根據所述目標數據,通過createprocessw函數啟動目標文件進程,以完成對所述樣本代碼的后續行為的主動觸發。
12、根據本申請實施例的一個方面,提供了一種惡意代碼的行為檢測裝置,所述惡意代碼的行為檢測裝置包括:代碼運行模塊,用于在沙箱中運行樣本代碼;例程調用模塊,用于響應于所述樣本代碼的預定操作,調用回調例程;代碼判斷模塊,用于響應所述回調例程,確定所述樣本代碼是否為惡意代碼;主動觸發模塊,用于若所述樣本代碼為惡意代碼,主動觸發所述樣本代碼的后續行為,所述后續行為為所述樣本代碼預定操作的后續行為。
13、在本申請的一些實施例中,所述預定操作為對注冊表操作,所述代碼判斷模塊具體包括:鍵值獲取子模塊,用于響應所述回調例程,確定目標鍵值信息,所述目標鍵值信息為樣本代碼執行預定操作后的注冊表鍵值信息;鍵值分析子模塊,用于根據目標鍵值信息,確定所述樣本代碼是否為惡意代碼。
14、在本申請的一些實施例中,所述目標鍵值信息包括注冊表鍵值和注冊表鍵值類型,所述鍵值分析子模塊具體包括:初步判斷單元,用于根據所述注冊表鍵值,確定所述樣本代碼是否為可疑代碼;最終判斷單元,用于若所述樣本代碼為可疑代碼,則根據所述注冊表鍵值類型,確定所述樣本代碼是否為惡意代碼。
15、在本申請的一些實施例中,所述預定操作為對文件系統操作,所述代碼判斷模塊具體包括:文件記錄子模塊,用于響應所述回調例程,記錄目標文件,所述目標文件為所述文件系統中被操作過的文件;文件分析子模塊,用于根據所述目標文件,確定所述樣本代碼是否為惡意代碼。
16、在本申請的一些實施例中,所述文件分析子模塊具體包括:目錄判斷單元,用于判斷所述目標文件是否屬于自啟動文件目錄;第一判定單元,用于若所述目標文件屬于自啟動文件目錄,則確定所述樣本代碼為惡意代碼。
17、在本申請的一些實施例中,所述預定操作為對計劃任務進程的操作,所述代碼判斷模塊具體包括:信息記錄子模塊,用于響應所述回調例程,記錄計劃任務信息;信息分析子模塊,用于根據所述計劃任務信息,確定所述樣本代碼是否為惡意代碼。
18、在本申請的一些實施例中,所述計劃任務信息包括進程路徑及命令行,所述信息分析子模塊具體包括:信息匹配單元,用于對比所述進程路徑和所述命令行,確定是否與預設進程路徑以及預設命令行匹配;第二判定單元,用于若所述進程路徑和所述預設進程路徑匹配且所述命令行與所述預設命令行匹配,確定所述樣本代碼為惡意代碼。
19、在本申請的一些實施例中,所述例程調用模塊具體包括:第一目標操作子模塊,用于響應于所述樣本代碼對所述注冊表的目標操作,調用回調例程;第二目標操作子模塊,響應于所述樣本代碼對系統文件的目標操作,調用回調例程;第三目標操作子模塊,響應于所述樣本代碼對計劃任務進程的目標操作,調用回調例程。
20、在本申請的一些實施例中,所述主動觸發模塊具體包括:數據獲取子模塊,用于獲取目標數據,所述目標數據為所述預定操作生成的數據;進程啟動子模塊,用于根據所述目標數據,通過createprocessw函數啟動目標文件進程,以完成對所述樣本代碼的后續行為的主動觸發。
21、根據本申請實施例的一個方面,提供了一種計算機可讀介質,其上存儲有計算機程序,所述計算機程序被處理器執行時實現如上述實施例中所述的惡意代碼的行為檢測方法。
22、根據本申請實施例的一個方面,提供了一種電子設備,包括:一個或多個處理器;存儲裝置,用于存儲一個或多個程序,本文檔來自技高網...
【技術保護點】
1.一種惡意代碼的行為檢測方法,其特征在于,包括:
2.如權利要求1所述的惡意代碼的行為檢測方法,其特征在于,所述預定操作為對注冊表操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:
3.如權利要求2所述的惡意代碼的行為檢測方法,其特征在于,所述目標鍵值信息包括注冊表鍵值和注冊表鍵值類型,所述根據目標鍵值信息,確定所述樣本代碼是否為惡意代碼,具體包括:
4.如權利要求1所述的惡意代碼的行為檢測方法,其特征在于,所述預定操作為對文件系統操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:
5.如權利要求4所述的惡意代碼的行為檢測方法,其特征在于,所述根據所述目標文件,確定所述樣本代碼是否為惡意代碼,具體包括:
6.如權利要求1所述的惡意代碼的行為檢測方法,其特征在于,所述預定操作為對計劃任務進程的操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:
7.如權利要求6所述的惡意代碼的行為檢測方法,其特征在于,所述計劃任務信息包括進程路徑及命令行,所述根據所述
8.一種惡意代碼的行為檢測裝置,其特征在于,所述惡意代碼的行為檢測裝置包括:
9.一種計算機可讀介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至7中任一項所述的惡意代碼的行為檢測方法。
10.一種電子設備,其特征在于,包括:
...【技術特征摘要】
1.一種惡意代碼的行為檢測方法,其特征在于,包括:
2.如權利要求1所述的惡意代碼的行為檢測方法,其特征在于,所述預定操作為對注冊表操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:
3.如權利要求2所述的惡意代碼的行為檢測方法,其特征在于,所述目標鍵值信息包括注冊表鍵值和注冊表鍵值類型,所述根據目標鍵值信息,確定所述樣本代碼是否為惡意代碼,具體包括:
4.如權利要求1所述的惡意代碼的行為檢測方法,其特征在于,所述預定操作為對文件系統操作,所述響應所述回調例程,確定所述樣本代碼是否為惡意代碼,具體包括:
5.如權利要求4所述的惡意代碼的行為檢測方法,其特征在于,所述根據所述目標文件,確定所述樣本代碼...
【專利技術屬性】
技術研發人員:李琦,孟文娟,
申請(專利權)人:三六零數字安全科技集團有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。