[发明专利]文件行为分析方法及装置

权利要求书

1.一种文件行为分析方法，其特征在于，包括：

获取样本文件的操作记录信息，所述操作记录信息包括以下至少之一：所述样本文件运行期间的应用程序编程接口API调用记录，所述样本文件运行前后的文件快照，其中，所述样本文件是待分析的文件，所述文件快照是所述样本文件所处系统中的文件的快照；

根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息，以分析所述样本文件的行为。

2.根据权利要求1所述的方法，其特征在于，根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息包括：

根据所述API调用记录确定所述样本文件操作的所述一个或多个文件；

根据对所述样本文件运行前后的文件快照的比对确定所述一个或多个文件的文件信息变化；

根据所述文件信息变化获取所述样本文件对所述一个或多个文件进行操作的操作行为信息。

3.根据权利要求1或2所述的方法，其特征在于，

所述API调用记录包括以下至少之一：API参数，API返回值，API组合，API流；和/或

所述操作行为信息包括以下至少之一：操作类型，文件类型，文件路径，感染顺序，感染方式，感染标记，其中，所述操作类型包括以下至少之一：读取操作、修改操作、比较操作。

4.根据权利要求2所述的方法，其特征在于，所述文件信息变化包括以下至少之一：文件路径变化，文件哈希变化，文件日期变化，文件大小变化，可执行文件节信息变化，可执行文件的入口点信息变化，可执行文件资源信息变化，文件内容变化，压缩包文件的文件列表变化，所包含文件的文件信息变化。

5.根据权利要求1所述的方法，其特征在于，获取所述样本文件的操作记录信息之前，所述方法还包括：在所述系统中放置探针文件，其中，所述探针文件是模拟用户存放的用户文件，用于试探所述样本文件的操作行为,所述系统中的文件包括所述探针文件和/或系统文件。

6.根据权利要求5所述的方法，其特征在于，所述探针文件包括以下至少之一：可执行文件，批处理文件，脚本文件，文本标记语言文件，压缩文件，办公文档文件。

7.根据权利要求1、2、4、5或6所述的方法，其特征在于，根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息之后，所述方法还包括：根据所述操作行为信息确定所述样本文件是否为病毒。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：在确定所述样本文件是病毒的情况下，识别所述样本文件的感染方式，并根据所述感染方式确定所述样本文件的查杀方式和/或反推出所述一个或多个文件的修复还原方式。

9.一种文件行为分析装置，其特征在于，包括：

获取模块，用于获取样本文件的操作记录信息，所述操作记录信息包括以下至少之一：所述样本文件运行期间的应用程序编程接口API调用记录，所述样本文件运行前后的文件快照，其中，所述样本文件是待分析的文件，所述文件快照是所述样本文件所处系统中的文件的快照；

分析模块，用于根据所述操作记录信息获取所述样本文件对所述系统中的文件中的一个或多个文件进行操作的操作行为信息，以分析所述样本文件的行为。

10.根据权利要求9所述的装置，其特征在于，所述分析模块还用于根据所述API调用记录确定所述样本文件操作的所述一个或多个文件，根据对所述样本文件运行前后的文件快照的比对确定所述一个或多个文件的文件信息变化，根据所述文件信息变化获取所述样本文件对所述一个或多个文件进行操作的操作行为信息。

11.根据权利要求9所述的装置，其特征在于，所述装置还包括探针模块，用于在所述系统中放置探针文件，其中，所述探针文件是模拟用户存放的用户文件，用于试探所述样本文件的操作行为,所述系统中的文件包括所述探针文件和/或系统文件。

12.根据权利要求9至11中任一项所述的装置，其特征在于，所述装置还包括确定模块，用于根据所述操作行为信息确定所述样本文件是否为病毒。

13.根据权利要求12所述的装置，其特征在于，所述装置还包括修复模块，用于在确定所述样本文件是病毒的情况下，识别所述样本文件的感染方式，并根据所述感染方式确定所述样本文件的查杀方式和/或反推出所述一个或多个文件的修复还原方式。