针对应用软件检测安装捆绑行为的方法及装置制造方法及图纸

本发明专利技术公开了一种针对应用软件检测安装捆绑行为的方法及装置，本发明专利技术实施例设置快速分析引擎及动态沙箱引擎，其中，动态沙箱引擎采用虚拟机环境对应用软件其中的多个样本运行分析，根据运行分析结果确定是否有安装捆绑行为，如果有，则确认应用软件有安装捆绑行为；如果没有，再由所述快速分析引擎对应用软件进行查壳处理及获取到其中的无壳样本及所有样本释放的中间文件，进行应用程序编程接口(API)的扫描，根据扫描结果确定应用软件是否有安装捆绑行为。这样，本发明专利技术实施例提供的方法及装置只针对应用软件的安装捆绑行为的检测，保证检测的准确度及完成度，使得检测结果准确。

Method and Device for Installation Binding Behavior Detection of Application Software

The invention discloses a method and device for detecting installation bundling behavior of application software. The embodiment of the invention sets up a fast analysis engine and a dynamic sandbox engine, in which the dynamic sandbox engine uses virtual machine environment to analyze the operation of multiple samples of application software, and determines whether there is installation or not according to the results of operation analysis. Binding behavior, if any, confirms that the application software has installation and binding behavior; if not, the application software is shell-searched by the rapid analysis engine, and the shell-free samples and intermediate files released from all samples are obtained. The application program interface (API) is scanned and the application is determined according to the scanning results. Does the software have installation bundling behavior? In this way, the method and device provided by the embodiment of the present invention only aim at the detection of the installation and binding behavior of the application software, so as to ensure the accuracy and completeness of the detection and make the detection result accurate.

【技术实现步骤摘要】
针对应用软件检测安装捆绑行为的方法及装置
本专利技术涉及计算机
，特别涉及一种针对应用软件检测安装捆绑行为的方法及装置。
技术介绍
为了防止在本地计算机运行应用软件时不被非法侵害，在本地计算机中可以安装杀毒软件，诸如，欧艾斯设备设施管理服务有限公司(ISS)提供的黑冰计算机防火墙(BlackICEPCProtection)、迈克菲公司提供的防毒杀毒软件(McAfeeVirusScan)以及360公司提供的360安全卫士等。其中，ISSBlackICEPCProtection集成有非常强大的检测和分析引擎，可以识别200多种入侵技巧，进行全面网络检测及计算机系统防护，能即时监测网络端口和协议，拦截所有可疑的网络入侵。McfeeVirusScan提供完整的值得信赖的桌面环境的反病毒解决方案，能准确有效地清除软盘、互联网下载文件、电子邮件和各种压缩文件中可能存在病毒，其具有的功能有内存、文件和引导区病毒的检查和清除，实时扫描技术可以在后台监视操作系统的文件操作，在磁盘访问、文件复制、文件创建、文件改名、程序执行及系统启动时检查捆绑软件，进一步通过“有害程序控制功能”实现将不受欢迎的应用软件设置为有害应用软件，从而预先阻止捆绑安装。360安全卫士具有查杀木马、清理插件、修复漏洞、计算机体检、计算机救援、保护隐私、计算机专家、清理垃圾及清理痕迹等多种功能。目前，针对应用软件检测安装捆绑行为可以采用上述所述的杀毒软件进行，捆绑安装软件行为指的是，在应用软件安装过程中，会安装一些其他的与应用软件执行无依赖关系的软件，这种行为称为捆绑安装行为。所述杀毒软件一般应用安全黑盒检测方法对应用软件的安装捆绑行为进行检测，具体过程为：步骤一，杀毒软件在目标计算机上建立网络代理，拦截计算机在运行软件时收发的数据，作为网络代理，杀毒软件安装在非目标计算机的另一计算机上，具有存储、拦截、修改和网络的安全套接层(SSL)的中介功能；步骤二，对计算机当前运行应用软件的文件系统进行快照，以对应用软件在安全分析过程期间创建了哪些文件；步骤三，根据快照，杀毒软件将对应的应用软件进行安装，可以通过官方市场下载安装，也可以通过其他的安装途径，该安装的应用软件可能为加密过的；步骤四，对安装的经过加密的应用软件进行解密，用以使得后续分析过程能进行；步骤五，再次对计算机当前运行应用软件的文件系统进行快照，从而获取在安装对应的应用软件过程中，增加了哪些文件；步骤六，采用分析引擎对安装的应用软件及增加的文件进行分析，从而确定应用软件在运行过程中是否存在安装捆绑行为。可以看出，针对应用软件检测安装捆绑行为采用的是已有的杀毒软件，这会存在很多缺陷：缺陷一，已有的杀毒软件更多是面向计算机中应用软件的安全性，而对于检测较为浅层，仅仅是通过分析引擎进行已安装应用软件的扫描及对比等方式进行，检测力度较低，检测的准确度及完成度都较差；缺陷二，目前采用的是动态检测方式，这个动态检测过程依赖于对计算机系统的完全模拟或虚拟化技术来实现，但是在模拟过程中，对于检测应用软件的触发行为不彻底，或者对应用软件的子程序分析不足，导致检测结果不准确；缺陷三，静态检测方法缺乏，已有的杀毒软件对应用软件的静态分析针对的是安全性，而对特定行为，例如安装捆绑行为则缺乏静态分析；缺陷四，缺乏有针对性的检测流程，已有的杀毒软件都只是针对应用程序分别进行动态或静态分析，然后获取杀毒结果，这样都存在静态分析或动态分析的各种问题，其效果对于应用的安装捆绑行为检测分析效果不好。综上，目前缺乏只针对应用软件安装捆绑行为的检测方案，无法保证检测的准确度及完成度，从而导致检测结果不准确。
技术实现思路
本专利技术的一个实施例提供了一种针对应用软件检测安装捆绑行为的方法，该方法能够只针对应用软件安装捆绑行为的检测，保证检测的准确度及完成度，使得检测结果准确。本专利技术另一个实施例提供了一种针对应用软件检测安装捆绑行为的装置，该装置能够只针对应用软件安装捆绑行为的检测，保证检测的准确度及完成度，使得检测结果准确。本专利技术实施例是这样实现的：一种针对应用软件检测安装捆绑行为的方法，设置快速分析引擎及动态沙箱引擎，该方法还包括：A、所述动态沙箱引擎构造虚拟机环境对应用软件其中的多个样本运行分析，根据运行分析结果确定是否有安装捆绑行为，如果有，则确定应用软件有安装捆绑行为，否则，执行步骤B；B、所述快速分析引擎在对应用软件进行查壳处理之后，采用设置的应用程序编程接口API规则库对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描，当其中的API符合设置的API规则库中设置的API规则时，确认有应用软件的安装捆绑行为；否则，确定应用软件没有安装捆绑行为。步骤B所述快速分析引擎在对应用软件进行查壳处理是在步骤A执行的，或者在步骤B执行额。所述快速分析引擎进行查壳处理为：扫描应用软件是否加壳，并指出加壳的类型。所述对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描的过程为：将所设置的API规则库中的API组合对应的API特征分别与得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行匹配，如果成功匹配，则确认有应用软件的安装捆绑行为。所述API规则库更新。步骤A所述动态沙箱引擎构造虚拟机环境的过程为：设置中央处理虚拟机及各客户端虚拟机，其中，中央处理虚拟机对应用软件其中的多个样本进行分配，分配给各个客户端虚拟机执行，获取各个客户端得到的运行分析结果；客户端虚拟机接受中央处理虚拟机的分配，运行得到的样本后得到运行分析结果，发送给中央处理虚拟机处理。一种针对应用软件检测安装捆绑行为的装置，所述装置包括：设置引擎单元、应用软件获取单元、静态分析单元及动态分析单元，其中，设置引擎单元，用于设置快速分析引擎及动态沙箱引擎；应用软件获取单元，用于获取运行在计算机上的应用软件，发送给动态分析单元；动态分析单元，用于所述动态沙箱引擎构造虚拟机环境对应用软件其中的多个样本运行分析，根据运行分析结果确定是否有安装捆绑行为，如果是，则确认应用软件存在捆绑安装行为；否则，将所述动态沙箱引擎确认应用软件不存在捆绑安装行为发送给静态分析单元；静态分析单元，用于所述快速分析引擎对应用软件进行查壳处理，得到应用软件中的无壳样本及所有样本的释放中间文件，在所述动态沙箱引擎确认应用软件不存在捆绑安装行为时，由所述快速分析引擎采用设置的API规则库对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描，当其中的API符合设置的API规则库中设置的API规则时，确认有应用软件的安装捆绑行为；否则，确认应用软件不存在捆绑安装行为。所述设置引擎单元，还用于设置的快速分析引擎还设置API规则库，所述API规则库中包括API组合及对应的API特征，且所述API规则库动态更新。所述动态分析单元，还用于所述动态沙箱引擎构造虚拟机环境对应用软件其中的多个样本运行分析过程中，所述虚拟机环境为：设置中央处理虚拟机及各客户端虚拟机，其中，中央处理虚拟机，用于对应用软件其中的多个样本进行分配，分配给各个客户端虚拟机执行，获取各个客户端得到的运行分析结果等；客户端虚拟机，用于接受中央处理虚拟机的分配，运行得到的本文档来自技高网...

【技术保护点】
1.一种针对应用软件检测安装捆绑行为的方法，其特征在于，设置快速分析引擎及动态沙箱引擎，该方法还包括：A、所述动态沙箱引擎构造虚拟机环境对应用软件其中的多个样本运行分析，根据运行分析结果确定是否有安装捆绑行为，如果有，则确定应用软件有安装捆绑行为，否则，执行步骤B；B、所述快速分析引擎在对应用软件进行查壳处理之后，采用设置的应用程序编程接口API规则库对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描，当其中的API符合设置的API规则库中设置的API规则时，确认有应用软件的安装捆绑行为；否则，确定应用软件没有安装捆绑行为。

【技术特征摘要】
1.一种针对应用软件检测安装捆绑行为的方法，其特征在于，设置快速分析引擎及动态沙箱引擎，该方法还包括：A、所述动态沙箱引擎构造虚拟机环境对应用软件其中的多个样本运行分析，根据运行分析结果确定是否有安装捆绑行为，如果有，则确定应用软件有安装捆绑行为，否则，执行步骤B；B、所述快速分析引擎在对应用软件进行查壳处理之后，采用设置的应用程序编程接口API规则库对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描，当其中的API符合设置的API规则库中设置的API规则时，确认有应用软件的安装捆绑行为；否则，确定应用软件没有安装捆绑行为。2.如权利要求1所述的方法，其特征在于，步骤B所述快速分析引擎在对应用软件进行查壳处理是在步骤A执行的，或者在步骤B执行额。3.如权利要求1或2所述的方法，其特征在于，所述快速分析引擎进行查壳处理为：扫描应用软件是否加壳，并指出加壳的类型。4.如权利要求1所述的方法，其特征在于，所述对得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行扫描的过程为：将所设置的API规则库中的API组合对应的API特征分别与得到应用软件中的无壳样本的API及所有样本的释放中间文件的API进行匹配，如果成功匹配，则确认有应用软件的安装捆绑行为。5.如权利要求1或4所述的方法，其特征在于，所述API规则库更新。6.如权利要求1所述的方法，其特征在于，步骤A所述动态沙箱引擎构造虚拟机环境的过程为：设置中央处理虚拟机及各客户端虚拟机，其中，中央处理虚拟机对应用软件其中的多个样本进行分配，分配给各个客户端虚拟机执行，获取各个客户端得到的运行分析结果；客户端虚拟机接受中央处理虚拟机的分配，运行得到的样本后得到运行分析结果，发送给中央处理虚拟机处理。7.一种针对应用软件检测安装捆绑行为的...

【专利技术属性】
技术研发人员：袁静，李政，赵淳璐，范乐君，吴志敏，喻梁文，王琦，王晖，颜靖华，赵怀瑾，李蒙阳，王智勇，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京,11