[发明专利]在虚拟机中执行具有漏洞的文件时形成日志的系统和方法有效
| 申请号: | 201910586084.4 | 申请日: | 2019-07-01 |
| 公开(公告)号: | CN111382043B | 公开(公告)日: | 2023-10-13 |
| 发明(设计)人: | 阿列克谢·V·莫纳斯蒂尔斯基;米哈伊尔·A·帕夫尤什切克;弗拉季斯拉夫·V·皮恩提斯基;丹尼斯·V·阿尼金;德米特里·A·基尔萨诺夫 | 申请(专利权)人: | 卡巴斯基实验室股份制公司 |
| 主分类号: | G06F11/34 | 分类号: | G06F11/34;G06F9/455;G06F21/57 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 何月华 |
| 地址: | 俄罗斯*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 虚拟机 执行 具有 漏洞 文件 形成 日志 系统 方法 | ||
1.一种用于在虚拟机中执行具有漏洞的文件期间形成日志的方法,所述方法包括:
通过拦截器在打开所述文件时所创建的进程的线程的执行期间发现触发器的激活,其中,所述触发器描述一个或多个条件,所述一个或多个条件伴随与尝试利用所述文件的漏洞相关的事件;
通过所述拦截器分析在打开所述文件时所创建的所述进程的堆栈,并发现在所述事件之前的以调用地址和返回地址的序列形式的函数调用链;
通过所述拦截器分析发现的所述函数调用链是否满足所述触发器的与尝试利用所述漏洞相关的条件;以及
当满足所述触发器的与尝试利用所述文件的所述漏洞相关的所述条件时,通过所述拦截器将关于所述函数调用链的信息保存在日志中。
2.如权利要求1所述的方法,还包括:
将与所述触发器的所述条件的满足有关联的内存区域的转储保存在所述日志中。
3.如权利要求1所述的方法,其中,所述事件包括如下项中的至少一者:
在所述进程的所述线程的执行期间对API函数的调用;
从API函数的返回;
系统调用;
从系统调用的返回;以及
从操作系统接收通知。
4.如权利要求1所述的方法,其中,所述触发器描述一个或多个事件和伴随所述事件的条件,所述事件与尝试利用所述文件的所述漏洞相关:
从调用链生成利用面向返回编程(ROP)的事件;
通过在堆上执行而生成事件;
通过在堆栈上执行而生成事件;
改变所述堆栈;
更改描述操作系统中进程的权限和特权的数据结构;
通过从内存页面的首次执行生成的事件;以及
内存的动态分配和将对象放置在动态分配的所述内存中。
5.如权利要求1所述的方法,其中,打开所述文件包括如下项之一:
当所述文件为可执行的时,执行所述文件;以及
当所述文件为不可执行的时,由应用打开所述文件。
6.如权利要求1所述的方法,其中,安全模块执行如下项中的至少一者:
启动所述虚拟机;以及
从先前创建的虚拟机选择所述安全模块。
7.如权利要求1所述的方法,其中,所述触发器描述:真实事件,所述真实事件的发生激活所述触发器;以及所述触发器的伴随所述真实事件的所述条件,所述条件与尝试利用所述文件的所述漏洞相关。
8.一种用于在计算设备上的实例化的虚拟机中执行具有漏洞的文件期间形成日志的系统,所述系统包括:
至少一个处理器,所述至少一个处理器被配置为:
通过拦截器在打开所述文件时所创建的进程的线程的执行期间发现触发器的激活,其中,所述触发器描述一个或多个条件,所述一个或多个条件伴随与尝试利用所述文件的漏洞相关的事件;
通过所述拦截器分析在打开所述文件时所创建的所述进程的堆栈,并发现在所述事件之前的以调用地址和返回地址的序列形式的函数调用链;
通过所述拦截器分析发现的所述函数调用链是否满足所述触发器的与尝试利用所述漏洞相关的条件;以及
当满足所述触发器的与尝试利用所述文件的所述漏洞相关的所述条件时,通过所述拦截器将关于所述函数调用链的信息保存在日志中。
9.如权利要求8所述的系统,其中,所述处理器还被配置为:
将与所述触发器的所述条件的满足有关联的内存区域的转储保存在所述日志中。
10.如权利要求8所述的系统,其中,所述事件包括如下项中的至少一者:
在所述进程的所述线程的执行期间对API函数的调用;
从API函数的返回;
系统调用;
从系统调用的返回;以及
从操作系统接收通知。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于卡巴斯基实验室股份制公司,未经卡巴斯基实验室股份制公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910586084.4/1.html,转载请声明来源钻瓜专利网。
