买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:北京安天网络安全技术有限公司
摘要:本发明实施例公开一种对进程进行监视分析的方法、装置、电子设备及存储介质,涉及计算机安全技术领域,便于提高对样本的分析效率。所述对进程进行监视分析的方法,包括:监视样本进程在当前操作系统中的加载;监视到第一样本进程在当前操作系统中加载时,为第一样本进程创建第一虚拟运行环境;监视到第二样本进程在当前操作系统中加载时,为第二样本进程创建第二虚拟运行环境,其中,所述第二虚拟运行环境与所述第一虚拟运行环境相隔离。本发明适用于对样本进程的操作行为进行分析。
主权项:1.一种对进程进行监视分析的方法,其特征在于,包括:监视样本进程在当前操作系统中的加载;监视到第一样本进程在当前操作系统中加载时,为第一样本进程创建第一虚拟运行环境;监视到第二样本进程在当前操作系统中加载时,为第二样本进程创建第二虚拟运行环境,其中,所述第二虚拟运行环境与所述第一虚拟运行环境相隔离;所述监视样本进程在当前操作系统中的加载,包括:监视样本进程在同一个虚拟机中的当前操作系统中的加载;或者,监视样本进程在直接运行在物理设备上的当前操作系统中的加载;所述为第一样本进程创建第一虚拟运行环境,包括:为第一样本进程创建第一公共资源及第一样本进程运行时的变量;所述为第二样本进程创建第二虚拟运行环境,包括:为第二样本进程创建第二公共资源及第二样本进程运行时的变量;其中,公共资源包括文件系统、注册表、缓存区和用户目录;所述为第一样本进程创建第一公共资源,包括:创建第一文件系统,通过内存虚拟出一个内存硬盘来创建文件系统,或,直接在一个物理硬盘下的某个固定目录下创建文件系统;创建第一注册表,自定义一个数据库以树形结构放在内存中,或,直接利用文本文件进行记录,用完后删除;创建第一用户目录,在监视到第一样本进程在当前操作系统中加载时,根据样本进程ID,自动创建相应的整套用户目录;所述样本进程运行时的变量包括:进程运行时所用到的PATH,进程启动时需要用到的运行时库、线程堆栈默认大小、PEB、TEB、访问令牌、互斥体、临界、原子、各种向量表;样本进程运行时的变量的创建包括:通过在样本和操作系统环境之间插入一个中间层,将环境变量做一道翻译或替换,以使样本误以为所提供的环境变量就是操作系统本身的环境变量;在为第一样本进程创建第一虚拟运行环境之后,所述方法还包括:将第一样本进程的操作对象重定向到第一虚拟运行环境;在为第二样本进程创建第二虚拟运行环境之后,所述方法还包括:将第二样本进程的操作对象重定向到第二虚拟运行环境;在将第一样本进程的操作对象重定向到第一虚拟运行环境之后,所述方法还包括:对第一样本进程的运行过程进行记录和分析,以形成关于第一样本进程的运行监视日志;在将第二样本进程的操作对象重定向到第二虚拟运行环境之后,所述方法还包括:对第二样本进程的运行过程进行记录和分析,以形成关于第二样本进程的运行监视日志;在将第二样本进程的操作对象重定向到第二虚拟运行环境之后,所述方法还包括:输出第一样本进程和第二样本进程的运行监视日志;所述将第一样本进程的操作对象重定向到第一虚拟运行环境,或者,将第二样本进程的操作对象重定向到第二虚拟运行环境包括:在应用层通过APC方式注入对每个进程所调用的API进行HOOK;通过CRT方式注入对每个进程所调用的API进行HOOK,对样本进程操作的对象进行重定向,使其指向预先所构建的虚拟运行环境,所述对象包括:文件路径、注册表及环境变量;替换系统调用的DLL,对样本进程操作的对象进行重定向,使其指向预先所构建的虚拟运行环境;和,所述将第一样本进程的操作对象重定向到第一虚拟运行环境,或者,将第二样本进程的操作对象重定向到第二虚拟运行环境还包括:修改操作系统内核,穿过PatchGuard的防护,加入预先设置的功能代码;其中,PatchGuard是WindowsVista的内核保护系统;挂钩操作系统内核API,穿过PatchGuard的防护,使得样本在运行期间通过预先设置的钩子函数指向预先所构建的虚拟运行环境;通过编写的过滤驱动,将样本进程的操作重定向到所构建的虚拟运行环境。
全文数据:
权利要求:
百度查询: 北京安天网络安全技术有限公司 对进程进行监视分析的方法、装置、电子设备及存储介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。