[发明专利]一种快速检测和防范恶意软件的方法和系统

权利要求书

1.一种快速检测和防范恶意软件的方法，其特征在于，由以下步骤组成：

步骤101，感知新程序的运行，该新程序是指新产生的且未经检测的程序；

步骤102，挂起新程序，暂不运行新程序，准备对其进行检测；

步骤103，构建容器环境，包括新程序、新程序依赖的库、系统所有的文件类型；

步骤104，启动容器环境，并在容器环境中运行新程序；

步骤105，新程序在容器环境中结束后，检查容器环境中的文件有没有损坏的；

如果容器环境中没有文件损坏，认为新程序非恶意软件，执行步骤106，系统继续运行之前挂起的新程序；

如果容器环境中有文件损坏，判定为恶意软件，执行步骤107，系统禁止新程序运行；

步骤108，停止并释放容器环境；

所述步骤103，构建容器环境是使用docker技术构建容器环境，步骤如下：

步骤301，构建了一个docker容器；

步骤302，启动docker容器，docker容器中运行新程序；

步骤303，系统向docker查询文件状态；

步骤304，如果docker对查询请求未作出回应，说明docker陷入崩溃状态，其内部系统文件受到了新程序的破坏；

步骤305，系统判定新程序是勒索软件，禁止其执行；

步骤306，停止和删除docker；

步骤307，如果docker能做出响应，且报告有文件被破坏，则判定新程序是勒索软件，转到步骤305；

步骤308，docker报告文件无损坏，说明新程序不是勒索软件，系统可以继续之前挂起的运行新程序；并执行步骤306，停止和清理docker。

2.一种快速检测和防范恶意软件的方法，其特征在于，由以下步骤组成：

步骤101，感知新程序的运行，该新程序是指新产生的且未经检测的程序；

步骤102，挂起新程序，暂不运行新程序，准备对其进行检测；

步骤103，构建容器环境，包括新程序、新程序依赖的库、系统所有的文件类型；步骤104，启动容器环境，并在容器环境中运行新程序；

步骤105，新程序在容器环境中结束后，检查容器环境中的文件有没有损坏的；

如果容器环境中没有文件损坏，认为新程序非恶意软件，执行步骤106，系统继续运行之前挂起的新程序；

如果容器环境中有文件损坏，判定为恶意软件，执行步骤107，系统禁止新程序运行；

步骤108，停止并释放容器环境；

所述步骤103，构建容器环境是使用docker技术构建容器环境，步骤如下：

步骤401，为新程序创建一个新目录，将新程序、新程序依赖的库和系统所有的文件类型，拷贝到该目录中；

步骤402，chroot到新目录中，并执行新程序；

步骤403，系统检查新目录下的文件是否有损坏；

步骤404，如果有文件损坏，说明新程序是勒索软件；

步骤405，系统禁止新程序执行；

步骤406，删除新目录；

步骤407，如果文件无损坏，说明新程序不是勒索软件，系统可以继续之前挂起的运行新程序；并执行步骤406，删除新目录清理无效数据。

3.一种快速检测和防范恶意软件的方法，其特征在于，由以下步骤组成：

步骤201，启动容器环境，并在容器环境中运行新程序；

步骤202，等待1秒后，检查容器环境中新程序是否运行结束；

步骤203，如果容器环境中新程序仍在运行，则判断是否已经达到等待时限；如果没到达到等待时间，则返回步骤202，继续等待程序结束；

步骤204，容器环境中新程序结束，或累计达到等待时限，则检测容器环境中的文件有没有损坏的；

如果容器环境中有文件损坏，执行步骤206，系统禁止新程序运行；并执行步骤207，停止并释放容器环境；

如果容器环境中没有文件损坏，执行步骤205，系统继续运行之前挂起的新程序；

步骤208，调快容器环境的等待时限；

步骤209和210，循环检查容器环境中的文件有没有损坏的，新程序有没有结束；

如果检查到容器环境中没有文件损坏，且新程序已结束，说明新程序不是恶意软件；则执行步骤207，停止并释放容器环境；系统可放心地继续执行新程序；

如果检查到容器环境中有文件损坏，说明新程序是恶意软件；

步骤211，系统终止新程序的运行；并执行步骤207，停止并释放容器环境；

所述恶意软件是潜伏型勒索软件。