[发明专利]一种API日志监控方法及装置

说明书

技术领域

本发明涉及计算机的反病毒领域，特别是指一种API日志监控方法及装置。

背景技术

在反病毒领域，计算机产生的样本增量都是海量的，目前已有的样本自动分析可以归为两类：

1.静态自动分析：通过反汇编代码分析、样本静态内容比对以及一系统启发式规则对比来给样本定性。这种静态自动分析的技术的优点是：快速，吞量高，可以应对每日的海量样本，并给出结果；缺点是：精准度一般，无法给出样本的恶意行为，对加密处理过的样本存在较多的误报和漏报。

2.动态自动分析：通过动态执行样本，并记录样本运行过程中的动态行为，并对该动态行为进行分析，以样本进行定性。这种动态自动分析的技术的优点是：精准度高，可以明确指出样本恶意行为并可以精确对样本进行定性；缺点是：低速，吞吐量低，若想应对海量样本，需要大量硬件资源投入。

由于病毒行为本身是病毒样本区别于正常文件的最本质的属性，也是病毒家族分类的根本依据，而样本的动态分析可以精确地指出其产生的各种恶意行为，因此具有很高的精确度，且有很强的事后检索能力，可以实现精确定位一个病毒家族的一组样本。

目前已有的样本的动态分析方法的步骤包括如下：

1.在特殊的监控环境下执行病毒样本；

2.记录病毒对文件、注册表的修改和访问；

3.记录进程、线程创建信息并跟踪；

4.记录病毒及其衍生进程、线程产生的API(Windows系统接口函数)流日志，并根据系统已知文件或者文件路径过滤系统文件产生的API流日志，排除干扰；

5.记录产生的网络通信记录；

6.利用已有规则对上述2、3和4步骤中的产生的结果进行分析，并给出最终结果。

其中，该方法中，利用系统已知文件名或者文件路径过滤存在以下缺点：

1.有潜在的风险，将与系统文件同名的病毒的API流日志漏掉；

2.针对替换系统文件的病毒手法，会将病毒的API流日志漏掉；

3.针对感染型病毒，感染系统文件后的病毒的API流日志漏掉；

4.针对文件映像指向系统正常文件，但内存内容为病毒的内容的API流日志漏掉；

5.针对将系统文件名改名并调用的病毒手法，会产生大量的垃圾信息。

发明内容

本发明要解决的技术问题是提供一种API日志监控方法及装置，可以精确判断API所属模块的安全性，并精确过滤掉无关的模块产生的API流记录，避免漏掉关键API流日志，从而使得到的API流日志更加全面，精确。

为解决上述技术问题，本发明的实施例提供一种API日志监控方法，包括：

确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信；

获得所述目标样本运行过程中产生的每一条API日志，若所述API日志所属的模块可信，则不记录所述API日志，否则，记录。

其中，所述确定目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块是否可信的步骤包括：

生成一可信文件列表；

获得所述目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块对应的系统文件以及所述模块对应的系统文件的标识；

若在所述可信文件列表中匹配到所述对应的系统文件的标识，则将所述对应的系统文件对应的模块标记为可信，否则，标记为不可信。

其中，所述生成一可信文件列表的步骤包括：

获得系统磁盘中每个系统文件的唯一标识；

将所述标识记录在一动态库文件中；

根据所述动态库文件，生成一可信文件列表。

其中，所述获得系统磁盘中每个系统文件的唯一标识的步骤包括：

对所述每个系统文件进行Hash运算，将得到的Hash值作为所述每个系统文件的唯一标识；其中，所述Hash值包括：对所述系统文件全文进行校验得到的第一校验值以及对所述系统文件的头部分进行校验得到的第二校验值；

所述动态库文件包括：顺序存储的所述每个系统文件的Hash值形成的序列。

其中，所述根据所述动态库文件，生成一可信文件列表的步骤包括：

从所述动态库文件的每个系统文件的Hash值形成的序列中，动态申请多个所述系统文件的Hash值，形成所述可信文件列表。

其中，所述获得所述目标样本运行过程中产生的所有进程中的模块以及后续动态加载的模块对应的系统文件，以及所述对应的系统文件的标识的步骤包括：