[发明专利]一种基于沙箱的恶意行为分析方法在审
| 申请号: | 201911048798.6 | 申请日: | 2019-10-31 |
| 公开(公告)号: | CN112749387A | 公开(公告)日: | 2021-05-04 |
| 发明(设计)人: | 郑轶;傅涛;王力;王路路;许骏杰 | 申请(专利权)人: | 博智安全科技股份有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 210012 江苏省南*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 恶意 行为 分析 方法 | ||
【权利要求书】:
1.一种基于沙箱的恶意行为分析方法,其特征在于包括以下步骤:
步骤1:提交需要动态检测的文件至沙箱,启动一个虚拟机,上传分析脚本和待检测文件至虚拟机中的代理程序;
步骤2: 虚拟机中的代理程序根据文件类型选择执行的模块,向恶意软件进程注入Hook系统调用库,对网络流量抓包,模拟用户点击操作行为;
步骤3: 保存虚拟机中软件运行的动态行为原始监控结果,与恶意行为特征进行匹配,计算软件恶意行为分值;
步骤4: 综合分析静态和动态行为检测结果进行恶意软件推断。
2.根据权利要求1所述的一种基于沙箱的恶意行为分析方法,其特征在于:所述步骤2中虚拟机中的代理程序根据文件类型选择执行的模块,通过向运行的软件进程注入的方式Hook系统调用,自动模拟人工操作,产生软件操作行为,软件运行过程中调用系统函数时会跳转到劫持的函数,完成相应处理后再正常执行原函数,能够监控运行过程中产生的文件创建、删除、进程创建、进程衍生等行为,注册表中键值的添加、修改、禁用行为。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于博智安全科技股份有限公司,未经博智安全科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911048798.6/1.html,转载请声明来源钻瓜专利网。
