[发明专利]创建防病毒记录的系统和方法有效
| 申请号: | 201811332077.3 | 申请日: | 2018-11-09 |
| 公开(公告)号: | CN110119619B | 公开(公告)日: | 2023-08-04 |
| 发明(设计)人: | 谢尔盖·V·戈尔德契克;谢尔盖·V·索尔达托夫;康斯坦丁·V·萨普罗诺夫 | 申请(专利权)人: | 卡巴斯基实验室股份制公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F9/455 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 黄志华;何月华 |
| 地址: | 俄罗斯*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 创建 病毒 记录 系统 方法 | ||
1.一种创建防病毒记录的方法,所述方法包括:
针对是否存在恶意行为,通过防止针对性攻击的保护器使用一个或多个行为规则分析文件的API函数调用的日志;
当识别出与API函数调用的日志的记录相对应的行为规则时,通过所述防止针对性攻击的保护器确定所述文件为恶意的;
通过所述防止针对性攻击的保护器提取API函数调用的与识别出的所述行为规则相关联的一条或多条记录;
通过所述防止针对性攻击的保护器确定所述API函数调用的至少一条提取的记录是否能够由计算设备的保护器进行注册;
当所述API函数调用的所述至少一条提取的记录能够由所述计算设备的保护器进行注册时,通过所述防止针对性攻击的保护器创建用于所述计算设备的保护器的防病毒记录,其中,创建的所述防病毒记录至少包括所述API函数调用的所提取的记录;以及
当所述计算设备的保护器不支持所述API函数调用的所述至少一条提取的记录的注册时,向所述计算设备的保护器添加对所述API函数调用的不被支持的记录的注册的支持。
2.根据权利要求1所述的方法,还包括:
在添加所述支持之后,创建用于所述计算设备的保护器的所述防病毒记录,其中,创建的所述防病毒记录包括所述API函数调用的所提取的记录。
3.根据权利要求1所述的方法,还包括:
当所述计算设备的保护器不支持所述API函数调用的所述至少一条提取的记录的注册时,在所述API函数调用的被支持的记录与所述行为规则中包含的API函数调用的所有记录的数量相比的百分比大于预定的阈值时,创建用于所述计算设备的保护器的所述防病毒记录,创建的所述防病毒记录仅包括所述API函数调用的所述被支持的记录。
4.根据权利要求1所述的方法,其中,在所述防止针对性攻击的保护器上对所述文件的所述分析包括以下中的至少一项:使用信誉服务的检查、使用雅拉规则的检查、或者专家分析。
5.根据权利要求1所述的方法,其中,所述防止针对性攻击的保护器包括沙箱,并通过执行由所述文件启动的进程来填充API函数调用的所述日志,所述文件在所述沙箱中。
6.根据权利要求5所述的方法,其中,所述沙箱如以下项中的至少一者实现:在虚拟机上实现、基于文件系统和寄存器的部分虚拟化实现、以及基于所述文件系统和寄存器的访问规则实现。
7.一种用于创建防病毒记录的系统,包括:
至少一个处理器,所述至少一个处理器被配置为:
针对是否存在恶意行为,通过防止针对性攻击的保护器使用一个或多个行为规则分析文件的API函数调用的日志;
当识别出与API函数调用的日志的记录相对应的行为规则时,确定所述文件为恶意的;
提取API函数调用的与识别出的所述行为规则相关联的一条或多条记录;
确定所述API函数调用的至少一条提取的记录是否能够由计算设备的保护器进行注册;
当所述API函数调用的所述至少一条提取的记录能够由所述计算设备的保护器进行注册时,创建用于所述计算设备的保护器的防病毒记录,其中,创建的所述防病毒记录至少包括所述API函数调用的所提取的记录;以及
当所述计算设备的保护器不支持所述API函数调用的所述至少一条提取的记录的注册时,向所述计算设备的保护器添加对所述API函数调用的不被支持的记录的注册的支持。
8.根据权利要求7所述的系统,还包括:
在添加所述支持之后,创建用于所述计算设备的保护器的所述防病毒记录,其中,创建的所述防病毒记录包括所述API函数调用的所提取的记录。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于卡巴斯基实验室股份制公司,未经卡巴斯基实验室股份制公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811332077.3/1.html,转载请声明来源钻瓜专利网。
