[发明专利]样本文件检测方法、装置、终端设备以及存储介质在审
| 申请号: | 202011557996.8 | 申请日: | 2020-12-23 |
| 公开(公告)号: | CN112560018A | 公开(公告)日: | 2021-03-26 |
| 发明(设计)人: | 罗曼 | 申请(专利权)人: | 苏州三六零智能安全科技有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 关向兰 |
| 地址: | 215000 江苏省苏州市苏州工业*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 样本 文件 检测 方法 装置 终端设备 以及 存储 介质 | ||
本发明公开一种样本文件检测方法,所述方法包括以下步骤:当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;根据所述运行状态信息,生成内存转储文件;对所述内存转储文件进行文本匹配,获得匹配结果;根据所述匹配结果,获得所述样本文件的检测结果。本发明还公开了一种样本文件检测装置、终端设备以及存储介质。由于,对内存转储文件进行文本匹配获得的匹配结果,并根据匹配结果,获得内存转储文件对应的样本文件的检测结果,不是根据样本文件运行的真实行为获得样本文件的检测结果,准确的确定样本文件中的恶意代码的病毒类型及家族属性。
技术领域
本发明涉及文件检测领域,特别涉及一种样本文件检测方法、装置、终端设备以及存储介质。
背景技术
随着恶意代码技术的发展,恶意代码的形态也发生了较大变化,传统的反病毒产品有时候并不能对新型的恶意代码的攻击进行防御。
相关技术中,公开了一种对样本文件的恶意代码检测方法,将样本文件投放在动态分析沙盒中运行,使用特征分析技术对样本文件的运行状态进行分析,获得分析结果,并根据所述分析结果,判断样本文件是否存在恶意代码。
由于样本文件中不同恶意代码在运行时可能存在一定共性,现有的通过对样本文件的真实行为进行分析时,难以确定样本文件中的恶意代码的病毒类型及家族属性。
发明内容
本发明的主要目的是提供一种样本文件检测方法、装置、终端设备以及存储介质,旨在解决现有技术中难以确定样本文件中的恶意代码的病毒类型及家族属性的技术问题。
为实现上述目的,本发明提出一种样本文件检测方法,所述方法包括以下步骤:
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
根据所述运行状态信息,生成内存转储文件;
对所述内存转储文件进行文本匹配,获得匹配结果;
根据所述匹配结果,获得所述样本文件的检测结果。
可选的,所述根据所述匹配结果,获得所述样本文件的检测结果的步骤之前,所述方法还包括:
对所述内存转储文件进行特征分析,获得内存分析日志;
根据所述匹配结果,获得所述样本文件的检测结果的步骤包括:
根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
可选的,所述当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤之前,所述方法还包括:
在接收到发送端发送的样本文件时,获取所述样本文件的文件类型;
将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中;
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤包括:
当样本文件在所述选定动态分析沙盒中运行时,获取所述样本文件在所述选定动态分析沙盒中的运行状态信息。
可选的,所述将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中的步骤包括:
根据所述文件类型,确定所述样本文件的运行环境;
在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;
将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述在接收到发送端发送的样本文件时,获取所述样本文件的文件类型的步骤包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州三六零智能安全科技有限公司,未经苏州三六零智能安全科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011557996.8/2.html,转载请声明来源钻瓜专利网。
- 上一篇:计算设备的卡槽遮挡装置
- 下一篇:图像识别模型的训练方法、装置、设备和介质
