一種可執行文件處理方法以及可執行文件監控方法
2023-06-09 05:14:21 3
一種可執行文件處理方法以及可執行文件監控方法
【專利摘要】本發明提供一種可執行文件查殺加速方法,該方法包括:收集可執行文件列表;根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件;根據所述列表和信息驗證所述白名單文件是否組建成功;客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果。本發明通過使用白名單,提高了殺毒軟體的查殺可執行文件的速度,達到文件監控對系統在執行文件的時候,對作業系統幹擾最小化。
【專利說明】一種可執行文件處理方法以及可執行文件監控方法
【技術領域】
[0001]本發明涉及網絡安全【技術領域】,尤其涉及一種可執行文件處理方法以及可執行文件監控方法。
【背景技術】
[0002]對於主機反病毒安全軟體來講,分成靜態防禦和動態防禦兩大基本技術,這兩個方面是對抗病毒傳播的基石。其中,動態防禦是保障用戶機器安全的一項重要技術,文件監控又是動態防禦體系中的重要組成部分。文件監控中,有一項重要功能就是當一個可執行文件在被系統執行的時候,應該首先辨別這個可執行文件是否是惡意程序,其中包括進程文件(exe)和動態連結庫文件(dll),處於安全性考慮,這個步驟一般是阻塞住可執行文件的執行流程,等待查殺完畢,如果不是病毒,則放行可執行文件並繼續執行。一般來講,用戶機器中病毒文件所佔有的比例是很小的。如果用戶不訪問惡意網站,或者本身作業系統沒有太多的漏洞,不會感染太多的病毒。所以在一般的用戶場景下,程序查殺的都是正常文件。
[0003]為了提高查殺效率,現有技術中,當文件監控攔截了執行動作後,文件監控查殺執行文件,然後將查殺結果寫入一個緩存,當下次這個文件再執行的時候,直接命中緩存,達到不重複查殺的目的。這樣使得文件監控查殺可執行文件,對系統的影響減小。然而這種方案必須建立在客戶機器上文件監控已經查殺了可執行文件的基礎上,因為如果用戶第一次安裝殺毒軟體,這個加速cache實際上必須等到用戶執行了相關文件之後才能建立。用戶首次啟動殺毒軟體的時候,文件監控還是會拖慢系統的執行速度。
【發明內容】
[0004](一)技術問題
[0005]本發明要解決的問題是:可執行文件在執行時候,提高殺毒軟體的查殺可執行文件的速度,達到文件監控對系統在執行文件的時候,對作業系統幹擾最小化。
[0006](二)技術方案
[0007]本發明提供一種可執行文件查殺加速方法,該方法包括:
[0008]收集可執行文件列表;
[0009]根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件;
[0010]根據所述列表和信息驗證所述白名單文件是否組建成功;
[0011]客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果。
[0012]可選的,根據所述列表採樣可執行文件的信息進一步包括:
[0013]一次性運行所述列表中的可執行文件,監控每個所述可執行文件在作業系統中加載到內存的內存區間數據;
[0014]將所有的內存區間數據進行合併;[0015]將合併後的內存區間數據與可執行文件進行映射,獲得可執行文件的文件區間、映射文件內容以及基本信息;
[0016]計算上述信息的hash值。
[0017]可選的,該方法還包括:
[0018]將可執行文件的文件區間、文件內容以及基本信息以key-value方式存儲到資料庫中,其中key為文件全內容hash值,value為映射文件內容hash值和文件區間數據。
[0019]可選的,收集可執行文件列表進一步包括:
[0020]統計出作業系統常用核心進程文件和動態連結庫文件;
[0021]收集與運行軟體相關的加載進程文件和其動態連結文件;
[0022]根據上述文件建立可執行文件列表。
[0023]可選的,根據所述列表和信息驗證所述白名單文件是否組建成功進一步包括:
[0024]計算所述列表中任一文件的全內容hash,根據所述全內容hash在所述資料庫中查找先關文件內存區間數據;
[0025]根據內存區間數據,計算相關區間的內存映射數據hash ;
[0026]將所述內存映射hash與資料庫中相應的hash進行比較,以判斷所述內存映射hash是否完整。
[0027]可選的,根據所述列表和信息驗證所述白名單文件是否組建成功還包括:
[0028]任取一個白名單文件;
[0029]根據所述白名單文件中的區間計算所有黑文件的hash值;
[0030]判斷所述hash值是否命中資料庫中的hash值;
[0031]如果命中,則調整區間,重新計算所有黑文件的hash值,如果沒有,則判斷白名單文件正常;
[0032]當判斷所述內存映射hash完整並且白名單文件正常時,則驗證所述白名單文件組建成功。
[0033]可選的,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果進一步包括:
[0034]文件監控裝置監控可執行文件的運行;
[0035]當監控到可執行文件運行後,檢查本地緩存中是否有所述文件;
[0036]如果有,則直接利用本地緩存中的結果,如果沒有,則檢查是否在所述驗證組建成功的白名單文件中,如果是,則將相關的結果寫入本地緩存中,如果否,則中止可執行文件的運行流程並進行查殺。
[0037]本發明還提供一種可執行文件查殺加速裝置,該裝置包括:
[0038]收集單元,用於收集可執行文件列表;
[0039]採樣單元,用於根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件;
[0040]驗證單元,用於根據所述列表和信息驗證所述白名單文件是否組建成功;
[0041]其中所述組建成功的白名單文件應用於查找引擎以直接獲取一正在執行文件的查殺結果。
[0042]可選的,所述採樣單元進一步包括:[0043]監控子單元,用於在一次性運行所述列表中的可執行文件時監控每個所述可執行文件在作業系統中加載到內存的內存區間數據;
[0044]採樣子單元,用於根據所述內存區間數據採樣可執行文件的信息。
[0045]可選的,所述採樣子單元進一步包括:
[0046]合併單元,用於將所有的內存區間數據進行合併;
[0047]映射單元,用於將合併後的內存區間數據與可執行文件進行映射,並獲得可執行文件的文件區間、文件內容以及基本信息。
[0048]可選的,該裝置還包括存儲單元,用於將可執行文件的文件區間、文件內容以及基本信息以key-value方式存儲到資料庫中,其中key為文件全內容hash, value為內存映射數據hash和內存區間數據,所述內存映射數據是內存區間數據映射到文件上的數據。
[0049]可選的,所述收集單元進一步包括:
[0050]統計單元,用於統計出作業系統常用核心進程文件和動態連結庫文件;
[0051]收集子單元,用於收集與運行軟體相關的加載進程文件和其動態連結文件;
[0052]列表產生單元,用於根據上述文件建立可執行文件列表。
[0053](三)技術效果
[0054]本發明通過使用自動生成的白名單,提高了殺毒軟體的查殺可執行文件的速度,達到文件監控對系統在執行文件的時候,對作業系統幹擾最小化。
【專利附圖】
【附圖說明】
[0055]圖1表示本發明中可執行文件查殺加速方法的流程圖;
[0056]圖2表示本發明中自動產生白名單文件的流程圖;
[0057]圖3表示本發明中執行文件查殺時的流程圖;
[0058]圖4表示本發明中可執行文件查殺加速裝置的結構圖;
[0059]圖5表示本發明中可執行文件查殺加速裝置的詳細結構圖。
【具體實施方式】
[0060]本發明提供一種可執行文件查殺加速方法,如圖1所示,該方法包括:
[0061]收集可執行文件列表(SI);
[0062]根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件(S2);
[0063]根據所述列表和信息驗證所述白名單文件是否組建成功(S3);
[0064]客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果(S4)。
[0065]通過上述方案,可以達到在攔截可執行文件的過程中,殺毒軟體通過自動生成的白名單直接獲取白名單中列出的可執行文件的查殺結果,從而佔用較少的處理資源,也不需要中止可執行文件的運行,對作業系統的影響最小。
[0066]經過統計發現,文件監控的可執行動作攔截,大部分都是攔截了作業系統的核心文件,同時這些核心文件都會在作業系統中,當進程啟動的時候被反覆加載很多遍。而且一個作業系統中,大部分的文件都是正常文件,病毒和惡意文件佔有的比例很小。因而上述可執行文件應包括與作業系統相關的核心進程文件和其動態連結文件,即在一次性運行指定的可執行文件前,應收集或者統計與作業系統相關的核心進程文件和其動態連結文件,並形成核心進程文件和其動態連結文件的文件列表。
[0067]文件監控的可執行動作攔截,還攔截了相當部分的常用軟體,因而可執行文件還應包括一些常用軟體。根據一段時間的統計,例如(3個月,半年等等),統計出相關軟體的相關版本信息,同時通過運行相關軟體,統計出相關軟體的一般加載進程文件(exe)和動態連結庫文件(dll)的列表。
[0068]將這些列表匯總,統計出相關的文件,以此作為白名單文件的基礎數據。
[0069]因而,收集可執行文件列表可進一步包括:
[0070]統計出作業系統常用核心進程文件和動態連結庫文件;
[0071]收集與運行軟體相關的加載進程文件和其動態連結文件;
[0072]根據上述文件建立可執行文件列表。
[0073]可選的,如圖2所示,根據所述列表採樣可執行文件的信息進一步包括:
[0074]一次性運行所述列表中的可執行文件,監控每個所述可執行文件在作業系統中加載到內存的內存區間數據(S21);
[0075]根據所述內存區間數據採樣可執行文件的信息(S22,S223, S24)。
[0076]在作業系統中一次運行這些相關軟體時,可運用現有的集群,然後通過自己的內存採樣程序採樣在首次啟動這個執行文件的時候的內存區間數據。內存採樣程序,功能就是監控指定的可執行文件在作業系統執行可執行文件的時候,加載文件到內存中的內容。因為作業系統不可能將可執行文件中所有的內容都加載到內存中,所以是部分加載。通過利用內存採樣程序了減少白名單計算量,而且由於內存區間數據是作業系統已經預先加載到內存中,基本上不會有磁碟10。
[0077]可執行文件在作業系統首次加載部分一般都是不相同的,我們針對這個部分做hash,生成白名單一般就可以了。
[0078]因而,如圖2所示:根據所述內存區間數據採樣可執行文件的信息可進一步包括:
[0079]將所有的內存區間數據進行合併(S22);
[0080]將合併後的內存區間數據與可執行文件進行映射,獲得可執行文件的文件區間、映射文件內容以及基本信息(S23);
[0081]計算上述信息的hash值(S24)。
[0082]將計算出的hash唯一校驗數據以Key-value方式組織進入資料庫。其中Key是文件全內容hash,或者用戶的安裝目錄等等。Value是根據映射文件內容計算出來的hash數值和文件區間數據,對生成的白名單進行驗證,以測試白名單文件是否正常。
[0083]根據所述列表和信息驗證所述白名單文件是否組建成功進一步包括:
[0084]計算所述列表中任一文件的全內容hash,根據所述全內容hash在所述資料庫中查找先關文件內存區間數據;
[0085]根據內存區間數據,計算相關區間的內存映射數據hash ;
[0086]將所述內存映射hash與資料庫中相應的hash進行比較,以判斷所述內存映射hash是否完整。
[0087]當判斷所述內存映射hash完整並且白名單文件正常時,則驗證所述白名單文件組建成功。[0088]也可利用黑文件對生成的白名單進行測試,以測試白名單文件是否正常,具體程序流程如下:
[0089]根據所述列表和信息驗證所述白名單文件是否組建成功還可包括:
[0090]任取一個白名單文件;
[0091]根據所述白名單文件中的區間計算所有黑文件的hash值;
[0092]判斷所述hash值是否命中資料庫中的hash值;
[0093]如果命中,則調整區間,重新計算所有黑文件的hash值,如果沒有,則判斷白名單文件正常;
[0094]總之,正常白名單文件必須滿足:
[0095]1.不能和惡意文件向衝突,就是惡意文件不能進入這個白名單;
[0096]2.收集有限的文件,根據熱度淘汰相關;
[0097]3.必須可升級。
[0098]將生成的上述白名單公布給客戶端,客戶端在首次啟動的時候,利用所述白名單進行可執行的監控,如圖3所示,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果(S4)進一步包括:
[0099]文件監控裝置監控可執行文件的運行(S41);
[0100]當監控到可執行文件運行後,檢查本地緩存中是否有所述文件(S42);
[0101]如果有,則直接利用本地緩存中的結果(S43),如果沒有,則檢查是否在所述驗證組建成功的白名單文件中(S44),如果是,則將相關的結果寫入本地緩存中(S45),如果否,則中止可執行文件的運行流程並進行查殺(S46)。
[0102]本發明還提供一種可執行文件查殺加速裝置,如圖4所示,該裝置包括:
[0103]收集單元(1),用於收集可執行文件列表;
[0104]採樣單元(2),用於根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件;
[0105]驗證單元(3 ),用於根據所述列表和信息驗證所述白名單文件是否組建成功;
[0106]其中所述組建成功的白名單文件應用於查找引擎以直接獲取一正在執行文件的查殺結果。
[0107]如圖5所示,所述採樣單元可進一步包括:
[0108]監控子單元(21),用於在一次性運行所述列表中的可執行文件時監控每個所述可執行文件在作業系統中加載到內存的內存區間數據;
[0109]採樣子單元(22),用於根據所述內存區間數據採樣可執行文件的信息。
[0110]所述採樣子單元(22 )可進一步包括:
[0111]合併單元(221),用於將所有的內存區間數據進行合併;
[0112]映射單元(222),用於將合併後的內存區間數據與可執行文件進行映射,並獲得可執行文件的文件區間、文件內容以及基本信息。
[0113]所述收集單元(I)進一步包括:
[0114]統計單元(11),用於統計出作業系統常用核心進程文件和動態連結庫文件;
[0115]收集子單元(12),用於收集與運行軟體相關的加載進程文件和其動態連結文件;
[0116]列表產生單元(13),用於根據上述文件建立可執行文件列表。[0117]該裝置還包括存儲單元(4),用於將可執行文件的文件區間、文件內容以及基本信息以key-value方式存儲到資料庫中,其中key為文件全內容hash, value為內存映射數據hash和內存區間數據,所述內存映射數據是內存區間數據映射到文件上的數據。
[0118]總之本發明可加速可執行文件在執行時候殺毒軟體的查殺可執行文件查殺速度,達到文件監控對系統在執行文件的時候對作業系統幹擾最小化。
[0119]以上實施方式僅用於說明本發明,而並非對本發明的限制,有關【技術領域】的普通技術人員,在不脫離本發明的精神和範圍的情況下,還可以做出各種變化和變型,因此所有等同的技術方案也屬於本發明的範疇,本發明的專利保護範圍應由權利要求限定。
【權利要求】
1.一種可執行文件查殺加速方法,其特徵在於,該方法包括: 收集可執行文件列表; 根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件; 根據所述列表和信息驗證所述白名單文件是否組建成功; 客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果O
2.如權利要求1所述的可執行文件查殺加速方法,其特徵還在於,根據所述列表採樣可執行文件的信息進一步包括: 一次性運行所述列表中的可執行文件,監控每個所述可執行文件在作業系統中加載到內存的內存區間數據; 根據所述內存區間數據採樣可執行文件的信息。
3.如權利要求2所述的可執行文件查殺加速方法,其特徵還在於,根據所述內存區間數據採樣可執行文件的信息進一步包括: 將所有的內存區間數據進行合併; 將合併後的內存區間數據與可執行文件進行映射,獲得可執行文件的文件區間、映射文件內容以及基本信息。·
4.如權利要求3所述的可執行文件查殺加速方法,其特徵還在於,該方法還包括: 將可執行文件的文件區間、文件內容以及基本信息以key-value方式存儲到資料庫中,其中key為文件全內容hash值,value為映射文件內容hash值和文件區間數據。
5.如權利要求1至4任一項所述的可執行文件查殺加速方法,其特徵還在於,收集可執行文件列表進一步包括: 統計出作業系統常用核心進程文件和動態連結庫文件; 收集與運行軟體相關的加載進程文件和其動態連結文件; 根據上述文件建立可執行文件列表。
6.如權利要求4所述的可執行文件查殺加速方法,其特徵還在於,根據所述列表和信息驗證所述白名單文件是否組建成功進一步包括: 計算所述列表中任一文件的全內容hash,根據所述全內容hash在所述資料庫中查找先關文件內存區間數據; 根據內存區間數據,計算相關區間的內存映射數據hash ; 將所述內存映射hash與資料庫中相應的hash進行比較,以判斷所述內存映射hash是否完整。
7.如權利要求4或6所述的可執行文件查殺加速方法,其特徵還在於,根據所述列表和信息驗證所述白名單文件是否組建成功還包括: 任取一個白名單文件; 根據所述白名單文件中的區間計算所有黑文件的hash值; 判斷所述hash值是否命中資料庫中的hash值; 如果命中,則調整區間,重新計算所有黑文件的hash值,如果沒有,則判斷白名單文件正常; 當判斷所述內存映射hash完整並且白名單文件正常時,則驗證所述白名單文件組建成功。
8.如權利要求1所述的可執行文件查殺加速方法,其特徵還在於,所述客戶端查找引擎利用所述組建成功的白名單文件直接獲取一正在執行文件的查殺結果進一步包括: 文件監控裝置監控可執行文件的運行; 當監控到可執行文件運行後,檢查本地緩存中是否有所述文件; 如果有,則直接利用本地緩存中的結果,如果沒有,則檢查是否在所述驗證組建成功的白名單文件中,如果是,則將相關的結果寫入本地緩存中,如果否,則中止可執行文件的運行流程並進行查殺。
9.一種可執行文件查殺加速裝置,其特徵在於,該裝置包括: 收集單元,用於收集可執行文件列表; 採樣單元,用於根據所述列表採樣可執行文件的信息,並利用所述信息建立白名單文件; 驗證單元,用於根據所述列表和信息驗證所述白名單文件是否組建成功; 其中所述組建成功的白名單文件應用於查找引擎以直接獲取一正在執行文件的查殺結果。
10.如權利要求9所述的可執行文件查殺加速裝置,其特徵還在於,所述採樣單元進一步包括: 監控子單元,用於在一次性運行所述列表中的可執行文件時監控每個所述可執行文件在作業系統中加載到內存的內存區間數據; 採樣子單元,用於根據所述內存區間數據採樣可執行文件的信息。
11.如權利要求10所述的可執行文件查殺加速裝置,其特徵還在於,所述採樣子單元進一步包括: 合併單元,用於將所有的內存區間數據進行合併; 映射單元,用於將合併後的內存區間數據與可執行文件進行映射,並獲得可執行文件的文件區間、文件內容以及基本信息。
12.如權利要求9-11任一項所述的可執行文件查殺加速裝置,其特徵還在於,該裝置還包括存儲單元,用於將可執行文件的文件區間、文件內容以及基本信息以key-value方式存儲到資料庫中,其中key為文件全內容hash,value為內存映射數據hash和內存區間數據,所述內存映射數據是內存區間數據映射到文件上的數據。
13.如權利要求9至11任一項所述的可執行文件查殺加速裝置,其特徵還在於,所述收集單元進一步包括: 統計單元,用於統計出作業系統常用核心進程文件和動態連結庫文件; 收集子單元,用於收集與運行軟體相關的加載進程文件和其動態連結文件; 列表產生單元,用於根據上述文件建立可執行文件列表。
【文檔編號】G06F21/56GK103824018SQ201210468022
【公開日】2014年5月28日 申請日期:2012年11月19日 優先權日:2012年11月19日
【發明者】郭禕斌 申請人:騰訊科技(深圳)有限公司