[发明专利]在隔离的环境中检测阻止分析的恶意文件的方法

说明书

本发明涉及在隔离的环境中检测阻止分析的恶意文件的方法，并公开了用于将文件识别为恶意的系统和方法。一种示例性方法包括：拦截在用户的计算设备处接收的分析用文件；在用于安全执行的环境中打开所述分析用文件；生成存储在所述用于安全执行的环境中打开所述分析用文件期间发生的一部分信息的日志；分析所述日志以从所述部分信息识别第一组安全相关事件；当在所述计算设备上打开所述分析用文件时，跟踪第二组安全相关事件；将所述第二组安全相关事件与所述第一组安全相关事件相比较以识别差异；以及响应于识别所述差异，将正在分析的所述文件识别为恶意的。

技术领域

本发明涉及识别恶意文件，且更具体地涉及在隔离的环境中识别阻止分析的恶意文件的方法和系统。

背景技术

目前，恶意软件(诸如计算机病毒、特洛伊(Trojan)木马、因特网蠕虫)的数量日益增长，该恶意软件设计成既对用户数据、又对感染有恶意软件的电子设备的实际用户造成危害。该危害可以通过损坏或删除用户文件、使用用户的计算设备的资源来“挖掘”加密货币、窃取电子机密用户数据(通信、图像、登录名、密码、银行卡数据)和其它动作来引起。此外，恶意软件不断改变，这是因为恶意软件的创作者采取新的攻击和防御安全应用的机制。使用各种机制，诸如混淆恶意代码(换言之，将原始文本或可执行程序代码变化为保留其功能但阻碍分析的形式、理解工作算法、以及在反编译期间的修改)或用于阻止仿真的机制的使用(例如，恶意软件被赋予识别其在仿真器中运行的功能，且该恶意软件不显示其恶意活动)。

此外，恶意软件经常不立刻显示其恶意活动，而是执行大量(百万级)的API函数的调用、巨大的循环(十亿级的迭代)，在启动之后立即停止工作一段时间(例如，使用“Sleep()”函数的1小时)。目前的用户计算设备具有高性能多核处理器(也具有多处理器系统)，从而用户可能不注意或重视多核中的一者的工作负荷。此外，在已开启设备后，用户通常使用该设备1小时以上。因此，如果恶意软件已启动，则对于该恶意软件来说无需立刻显示其活动。

为了防御所述技术，安全应用(诸如防病毒应用)的制造商为了文件的安全执行而采用使用隔离环境形式的虚拟机的技术。经常，这类虚拟机被称为沙箱(Sandbox)。在这类虚拟机的控制下运行的管理程序包含用于拦截在虚拟机中执行的应用所调用的函数的机制。

应当注意，安全应用采用各种方法来限定恶意软件，例如，诸如签名分析和/或启发式分析的技术。如果在分析过程中未针对文件确定恶意性，则可以通过安全应用将该文件移交到前文提及的虚拟机以分析其行为(例如，如果该文件不具有可信软件制造商的数字签名)。然后在虚拟机中执行移交的文件，以及在其执行过程中拦截由其不同函数调用所进行的该文件的动作和事件，将所拦截的事件和动作保存在日志中且之后由安全应用或信息安全方面的专家分析。

因此，已知的用于拦截和聚集事件和动作的系统分两个步骤工作。在第一步骤中，采集信息；在第二步骤中，分析信息。

然而，如果根据文件在虚拟机中的执行结果而未将该文件识别为恶意的，则这并不总是意味着该文件是安全的。例如，如果从被分析的文件(或从打开被分析的文件所用的应用)启动的进程已停止其执行达1小时或通过使用保存的密码访问文件而攻击任何邮件客户端或聊天工具(用于交换消息的程序)，但被攻击的程序不在虚拟机中，则该文件的行为的恶意性将不被显现(因为还未找到具有密码的所需文件，恶意文件自身将结束其执行且不显现恶意活动)。

本发明使得能够通过使用虚拟机中的文件执行的分析的已经可用的结果之后来简化将文件识别为恶意的过程。

发明内容

本发明描述了在隔离的环境中识别恶意文件的系统和方法。

本发明的技术效果是扩展工具库，该工具库设计成在隔离的环境中识别阻止分析的恶意文件。