技術領域

本發(fā)明涉及信息安全領域，具體地說涉及一種惡意軟件的檢測方法及裝置。

背景技術：

現(xiàn)今，隨著信息化程度的提高及各種適用性技術的不斷推出，用戶進行各種與數(shù)字信息相關的活動也越發(fā)便利，而且不可否認的是，用戶與信息化、數(shù)字化的關聯(lián)也越發(fā)緊密。然而與此相隨，數(shù)字信息犯罪諸如攻擊(尤其是通過互聯(lián)網(wǎng))個人電腦、服務器、或者其他計算機化裝置的事件卻頻繁發(fā)生。顯然的是，目前地下數(shù)字經(jīng)濟已日益產(chǎn)業(yè)化、規(guī)?；移湎鄳姆缸镄袨橐苍节呺[蔽化，惡意軟件的攻擊手段得到了極大的發(fā)展。諸如由以前的單個文件發(fā)展為多模塊、多組件化的攻擊的形式，更甚至多數(shù)惡意軟件均具有較強的偽裝能力。

另外，隨著互聯(lián)網(wǎng)的飛速發(fā)展，整個互聯(lián)網(wǎng)已經(jīng)成為個人桌面系統(tǒng)的一個自然延展。自然，惡意軟件也充分利用這樣的技術便利性來為其惡意行為服務，這樣就出現(xiàn)了一些系列型的攻擊如木馬下載器等。

一般來講，計算機惡意軟件(包括病毒、蠕蟲、木馬、流氓軟件等)的查殺工具或軟件均是針對單個文件或某段內(nèi)存，利用事先準備好的特征碼進行匹配或比對。這種現(xiàn)有的查殺方法對于偽裝巧妙的惡意軟件而言可以輕松避開，更無法清除之。此外，現(xiàn)有的查殺工具或軟件識別出某一病毒文件后，但在面對惡意軟件的變形或多模塊、多組件的攻擊形式時，也往往只能發(fā)現(xiàn)、解決其表面上的問題，無法起到全面查殺、根治病毒的作用。這顯然不能滿足用戶對于信息安全的需求。

技術實現(xiàn)要素：

本發(fā)明的目的在于提供能夠解決以上問題的惡意軟件檢測機制。

為此，本發(fā)明針對上述這些惡意軟件的發(fā)展趨勢提出了一種利用溯源分析及關聯(lián)分析的惡意軟件檢測機制，利用該機制能夠?qū)Σ《緩母瓷先骊P聯(lián)，避免查殺不徹底或漏網(wǎng)，讓用戶的信息安全得到充分保障。

在第一方面，本發(fā)明提供一種惡意軟件的檢測方法，其包括：

記錄步驟，記錄系統(tǒng)中的載體之間的關系；

溯源步驟，當確定一載體為惡意軟件后，基于所述記錄步驟記錄的載體關系，追溯其根載體及原始根載體，并獲得與確定的作為惡意軟件的所述載體相關的所有載體的集合。

在第二方面，本發(fā)明還提供一種惡意軟件的檢測裝置，其包括：

記錄系統(tǒng)中的載體之間的關系的記錄模塊；

確定一個載體為惡意軟件的模塊；以及

溯源模塊，用于當確定一載體為惡意軟件后，基于所述記錄模塊記錄的載體關系，追溯其根載體及原始根載體，獲取與確定的作為惡意軟件的所述載體相關的所有載體的集合。

與現(xiàn)有技術相比，本發(fā)明通過上述機制能夠發(fā)現(xiàn)惡意軟件變形、偽裝或多組件、多模塊的協(xié)同，從根源上監(jiān)控并記錄惡意軟件的發(fā)展變化，在出現(xiàn)問題時，能夠及時、徹底地將惡意軟件連根拔起。在關注表象的同時更注重其實質(zhì)，從而為用戶系統(tǒng)的信息安全提供充分的保障。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為惡意軟件演變示意圖；

圖2為本發(fā)明的惡意軟件處理流程示意圖；

圖3為載體關系示意圖；

圖4為病毒實例的分析示意圖；

圖5為本發(fā)明的惡意軟件處理系統(tǒng)結構示意圖。

具體實施方式

為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚，以下結合附圖以及實施例對本發(fā)明的惡意軟件檢測機制進行詳細說明。應當理解，此處所描述的具體實施方式僅僅是用以解釋本發(fā)明的惡意軟件檢測機制的發(fā)明構思，并不用于限定本發(fā)明。

圖1為惡意軟件演變示意圖。如圖1所示，惡意軟件初始時表現(xiàn)為原始根載體M，具有較強的偽裝能力，并且能在用戶系統(tǒng)中運行而產(chǎn)生或釋放(但不僅僅限于這兩種關系，后文會有詳細的描述)至少一個或多個子載體C11...C1n，所產(chǎn)生或釋放的至少一個子載體Cij又分別可以作為根載體而產(chǎn)生或釋放一個或多個子載體，依次類推。其中，i，j，k，n均為大于等于1的正整數(shù)。

對于一些惡意軟件而言，由于其原始根載體M本身具有較強的隱蔽性、偽裝性，現(xiàn)有的計算機惡意軟件查殺工具或軟件很難發(fā)現(xiàn)其為病毒的本質(zhì)。

此外，惡意軟件的原始根載體M本身也可構成為安全的文件，因而其可不受查殺工具或軟件的限制。一旦在系統(tǒng)中運行，原始根載體M將產(chǎn)生、釋放或下載一個或多個安全的或不安全的載體。

查殺工具或軟件可能發(fā)現(xiàn)其中某一個或幾個載體，如Cij為不安全的文件，即相應殺除Cij本身。但顯然，其忽視了這一原始根載體M及其產(chǎn)生、釋放或下載的其他各載體，從而給惡意軟件留有了或潛伏或繼續(xù)侵襲的余地。這也正是惡意軟件偽裝/變形技術多樣化的寫照。

圖2為本發(fā)明的惡意軟件處理流程示意圖。

如圖2所示，在步驟200中，自系統(tǒng)運行之初，即對系統(tǒng)中存在的各種載體進行監(jiān)控，并記錄載體間可能出現(xiàn)/存在的各種關系，諸如，當一載體M釋放/創(chuàng)建載體C11后，即相應記錄二者之間的創(chuàng)建關系。

當步驟202中發(fā)現(xiàn)某一載體，如Cij為病毒文件后，于步驟204中進行溯源分析，其根據(jù)記錄的載體之間的關系向上追溯其各級根載體直至找到原始根載體M。

至此，本發(fā)明的溯源分析機制結束。對于單線繁衍的惡意軟件而言，通過這種追溯根源的方式，即能夠獲得與Cij相關的全部載體的集合R。流程直接轉(zhuǎn)入步驟210而結束。

但對于多線繁衍的惡意軟件而言，其產(chǎn)生/釋放的載體可能有多個和/或多級分支。此時單靠溯源分析機制，可能無法找出其相關的全部載體。因此，本發(fā)明進一步提出與溯源分析機制相應的關聯(lián)分析機制。

在步驟206中，針對多線繁衍的惡意軟件，基于原始根載體M，進行關聯(lián)分析，其利用步驟200中的載體關系記錄，開始向下關聯(lián)查找由原始根載體M直接/間接釋放的所有子載體。此時，我們便能于步驟210中得到該系統(tǒng)中與發(fā)病病毒載體Cij相關聯(lián)的所有載體的集合R，即如圖1所示的(M，C11...，C1n，...,Ci1，Cik)。

由此，當用戶系統(tǒng)中某個載體被確認為病毒文件后，本發(fā)明所做的不僅是針對該病毒文件本身，而且還能進一步查找并過濾與該病毒文件關聯(lián)的所有文件。這樣，即便惡意軟件千變?nèi)f化，也能追根溯源并關聯(lián)到其所有的變形或組件，從而從根本上保障了用戶的信息安全、徹底杜絕了惡意軟件通過偽裝或變形躲避查殺的企圖。

這里，惡意軟件的載體可以是系統(tǒng)中運行的文件、進程、線程，注冊表，網(wǎng)址等所有內(nèi)容。

在一個例子中，本發(fā)明在找到與該病毒文件關聯(lián)的所有文件之后，除了立即對集合中的所有載體進行殺除的方式之外，還可進一步進行過濾操作。

在步驟208，過濾上述找到的集合R中的各載體M，C11...Cik，放行已知的正常軟件。由此，于步驟210中得到均為惡意軟件的載體的集合。

過濾的優(yōu)勢在于，當集合中某些載體為安全的或有益的文件時，可以通過過濾的方式得以保存。諸如，某一載體本身為安全載體或者其與系統(tǒng)的運行密切相關，此時若貿(mào)然進行刪除操作，容易引起正常程序中斷或系統(tǒng)崩潰。因此，通過過濾操作可以使本發(fā)明的優(yōu)勢得以進一步的體現(xiàn)。

過濾操作可以是通過白名單或數(shù)字簽名的方式進行安全載體的放行，也可以是基于人工分析后預定義的安全載體集合R’對安全載體進行放行。

本發(fā)明中，針對載體進行監(jiān)控并記錄載體之間的關系的方式可以是任意的已知方式，諸如以記錄表單或集合的形式分別記錄各原始根載體及其繁衍的各級載體。

在此，為便于理解記錄載體關系的方式及其相應的溯源、關聯(lián)分析機制，優(yōu)選的，以有向邊構建的載體關系為示例進行說明，但應明了這并非對本發(fā)明的限制。

圖3為載體關系示意圖。如圖3所示，在載體I創(chuàng)建了載體J之后，建立有向邊(I，J)來表示I，J之間的有向載體關系，其中：I指向J。這樣從操作系統(tǒng)開始運行起，我們就能構建出一張載體的載體關系有向圖。

其后，相應于有向邊形式的載體關系記錄，按照以下方式進行溯源分析及關聯(lián)分析：

1、某一個載體J被確認為惡意軟件或惡意軟件載體；

2、溯源及關聯(lián)：

a)將J加入集合R

b)對集合R中的每一個載體J，遍歷所有已記錄的載體關系(I，J)和(J，I)(如果有的話)

c)當I不在R中，則將載體I加入集合R

d)循環(huán)b)，直到?jīng)]有新的J。

3、過濾并放行R中的已知安全載體(例如，通過預先定義的白名單或數(shù)字簽名或人工分析定義的安全載體集合R’等手段進行過濾并放行)。

4、集合R中均為惡意載體，刪除或清除集合R中的惡意載體。

在一個例子中，過濾并放行R中的已知安全載體的操作可以在上述溯源分析的c)步驟中先行進行，即：

在c)中，當I不在如已知的預定義的安全載體集合R’內(nèi)且I不在R中，則將載體I加入集合R。

如此，在經(jīng)過溯源和/或關聯(lián)分析后，其集合R中包含的載體即均為惡意軟件等。

需要指出的是，上述的循環(huán)流程中，因載體關系是基于具有指向特性的有向邊構建的，因而，當以J為基礎循環(huán)遍歷載體關系(I，J)或(J，I)，即由J尋找I時，前者是依據(jù)指向關系反向?qū)ふ?，后者則是正向?qū)ふ?。這種循環(huán)遍歷的方式是由有向邊的特性(I指向J)決定的。

此外，優(yōu)選的，為抓住病毒入侵系統(tǒng)的入口或源頭，以便后續(xù)統(tǒng)計分析惡意軟件入侵的手段及特點，可以在最后得到的惡意載體集合R及各載體關系(I，J)組成的有向圖中計算相關有向圖結點的入度，入度為零的一個或多個結點載體就是相關感染或攻擊的根源，即原始根載體。由此，可以在包含所有載體的集合R中尋找到并突出原始根載體，也就是惡意軟件進入系統(tǒng)的入口，為根絕病毒、屏蔽惡意軟件提供技術支持。

相應的，本發(fā)明還可以具有一顯示手段，如顯示模塊等，其可根據(jù)用戶的需求，向用戶展現(xiàn)與感染載體有關的載體關系圖(如有向圖)，并可向用戶展現(xiàn)獲得的集合R中的所有載體，尤其是原始根載體。載體的展現(xiàn)可以包括載體名稱、路徑、大小、創(chuàng)建時間、修改記錄、載體本身等。由此，通過顯示手段可以以感觀的形式向用戶表述感染載體及病毒發(fā)展歷程，并能為惡意軟件的分析及查殺提供便利。

應理解的是，當以記錄表單、集合等其他方式記錄載體關系時，前述的針對有向邊進行的循環(huán)流程并不是必須的溯源及關聯(lián)手段，而是可以根據(jù)各記錄方式本身的特性/優(yōu)點相應調(diào)整或設置恰當?shù)乃菰醇瓣P聯(lián)手段。也就是說，當發(fā)現(xiàn)某一載體為病毒文件后，只要能追溯其根源和/或能關聯(lián)所有其直接或間接繁衍的載體即應被認為屬于本發(fā)明的溯源分析及關聯(lián)分析機制的范疇之內(nèi)。

圖4為病毒實例的分析示意圖。結合圖4，利用一病毒實例對本發(fā)明的惡意軟件檢測機制做一整體解釋說明。

如圖4所示，文件012.exe作為原始根載體在執(zhí)行以后，會在磁盤上寫入2個文件，即其一級子載體：sys.exe、host.exe：

C:\Documents and Settings\...\Temp\sys.exe

C:\Documents and Settings\...\Temp\host.exe

在012.exe進程結束的時候會啟動進程sys.exe，sys.exe又寫入以下7個文件(即，二級子載體，以此類推)：tmp1.tmp、tmp2.tmp、tmp1.CAB、tmp2.CAB、vngwpa61.d11、vngwpa61.sys、fn00321.log。其中前4個文件圖示為(*.tmp)×2、(*.CAB)×2，下同。具體為：

C:\Documents and Settings\...\Temp\tmp1.tmp

C:\Documents and Settings\...\Temp\tmp2.tmp

C:\Documents and Settings\...\Temp\tmp1.CAB

C:\Documents and Settings\...\Temp\tmp2.CAB

C:\WINDOWS\system32\vngwpa61.d11

C:\WINDOWS\system32\...\vngwpa61.sys

C:\WINDOWS\fn00321.log

之后通過rund1132.exe激活vngwpa61.d11，vngwpa61.d11會釋放文件ogzpitcxuwee.tj。隨后sys.exe啟動host.exe，host.exe又寫入以下3個文件：tmp3.tmp、tmp4.tmp、11778-7686：

C:\Documents and Settings\...\Temp\tmp3.tmp

C:\Documents and Settings\...\Temp\tmp4.tmp

C:\WINDOWS\system32\-11778-7686

其中tmp3.tmp是一個PE文件，host.exe啟動4.tmp進程，4.tmp又會寫入以下7個文件：b791.d11、2b1.d11、uninsta11、f91.bmp、1b1.job、91b1.exe、1b601.txt，具體為：

C:\WINDOWS\system32\b791.d11

C:\WINDOWS\system32\2b1.d11

C:\Documents and Settings\...\Temp\f4km0\_uninstall

C:\WINDOWS\f91.bmp

C:\WINDOWS\Tasks\1b1.job

C:\WINDOWS\91b1.exe

C:\WINDOWS\1b601.txt

之后2b1.d11、b791.d11又被激活，寫入以下多個文件：(*.dat)×3、10178-8676、51ce、(*.dat)×7、以及79e71.exe。其中10178-8676、51ce圖示為(*.)×2，具體為：

C:\Documents and Settings\...\Content.IE5\index.dat

C:\Documents and Settings\...\Cookies\index.dat

C:\Documents and Settings\...\History.IE5\index.dat

C:\WINDOWS\system32\-10178-8676

C:\WINDOWS\system32\51ce

C:\Documents and Settings\...\Cookies\index.dat

C:\Documents and Settings\Felix\...\History.IE5\index.dat

C:\Documents and Settings\...\t\r1701.dat

C:\Documents and Settings\...\t\b1701.dat

C:\Documents and Settings\...\t\k1701.dat

C:\Documents and Settings\...\t\a1701.dat

C:\Documents and Settings\...\t\p1701.dat

C:\WINDOWS\system32\79e71.exe

系統(tǒng)記錄上述載體之間的關聯(lián)關系。按照有向邊的方式記錄上述載體之間的寫入關系為：(012.exe，sys.exe)、(012.exe，host.exe)......(b791.d11，79e71.exe)。

之后，在被012.exe病毒感染的系統(tǒng)上安裝了查殺工具，如瑞星殺毒軟件下載版2008V20.40.30，然后進行全盤病毒掃描，瑞星殺毒軟件檢測出：vngwpa61.d11、vngwpa61.sys為惡意軟件，其病毒名分別為：

Trojan.Win32.Undef.bfd、Trojan.Win32.Undef.bfd。

此時，利用上述記錄的載體關系，由vngwpa61.d11、vngwpa61.sys分別進行溯源分析，追蹤vngwpa61.d11、vngwpa61.sys的根載體，得到sys.exe，將其加入集合R中后，進一步追蹤sys.exe的根載體得到012.exe，將其加入集合R中后。再進一步追蹤012.exe的根載體，但并未發(fā)現(xiàn)新的根載體，由此確定012.exe為原始根載體。

在找到原始根載體012.exe后，結合已記錄的載體之間的關系，關聯(lián)分析查找由原始根載體012.exe而產(chǎn)生、釋放或下載的所有子載體，找到sys.exe，host.exe，因sys.exe已位于集合R內(nèi)，因此將host.exe加入R中。此后，由sys.exe，host.exe作為根載體繼續(xù)向下關聯(lián)二者產(chǎn)生的所有子載體。如此循環(huán)，直至沒有新的載體被發(fā)現(xiàn)。

由此，經(jīng)過上述溯源分析及關聯(lián)分析后，我們得到與病毒載體vngwpa61.d11、vngwpa61.sys相關聯(lián)的所有載體的集合R，如圖4所示。利用白名單等手段進行過濾后，放行已知的確定為安全文件的載體，從而得到以下文件，并認為所有這些文件存在安全問題，應予以刪除：如012.exe、tmp1.tmp、tmp2.tmp、vngwpa61.d11、ogzpitcxuwee.tj、vngwpa61.sys、fn00321.log、11778-8676、index.dat等。

由上述示例即可以看出本發(fā)明相對于現(xiàn)有查殺工具或軟件的優(yōu)點。此外，本發(fā)明進一步的優(yōu)勢還可以在下述的說明中得以體現(xiàn)。

如圖4中劃叉的圖標所示，載體sys.exe，host.exe在釋放/寫入多個載體后，被其它載體做了刪除操作。同樣隨系統(tǒng)運行被刪除的還可能有圖4中其它劃叉的載體，如3.tmp等。也就是說，該惡意軟件在繁衍出后代之后，做出了自殺行為，造成此時用戶系統(tǒng)中并不存在sys.exe，host.exe等被刪除的載體的情況。這也是某些新型惡意軟件躲避查殺的另一種手段。

然而，盡管這種病毒技術的手段高超，但利用本發(fā)明提出的溯源分析及關聯(lián)分析機制同樣能夠識破并捕獲其所有的相關載體。

如前文所述，本發(fā)明自系統(tǒng)運行之初即已記錄載體之間的關系。特別的，這些載體的關系可以是以下各種關系的至少一種(但不僅限于這些關系)：

1、文件創(chuàng)建關系。例如，惡意代碼可以通過在磁盤上寫入另外一個文件的方式把新的惡意代碼載體寫入主機中去。

2、進程線程創(chuàng)建關系。例如，惡意代碼在寫入其它病毒后可能會以創(chuàng)建進程的形式使之運行起來。

3、模塊的加載關系。例如，惡意代碼可能加載其它惡意代碼載體模塊到其它進程來進一步控制系統(tǒng)。

4、注冊表寫入關系。例如，惡意代碼可能通過寫入某些注冊表項來使某些惡意代碼載體在操作系統(tǒng)啟動的時候被激活。

5、其它通訊關系。例如，惡意代碼可能通過其它方式與其它惡意代碼載體進行通訊，等等。

對于具有自殺行為的惡意軟件，本發(fā)明通過記錄上述至少一種的載體關系，可以繞開其載體本身，而關注于其載體間的諸如創(chuàng)建、調(diào)用、加載等等的各種關系或其各種可能出現(xiàn)的關系組合。由此，即便此時這些載體于系統(tǒng)中不存在(已被刪除)，因本發(fā)明不需關心載體本身的存在與否，故而同樣可以基于上述記錄的一種或多種載體關系利用溯源分析機制找出其各根載體以及原始根載體，也同樣可以利用關聯(lián)分析機制找出其繁衍的各子載體。

應理解的是，雖然以上列舉了本發(fā)明可適用的各種載體和載體關系，但是本發(fā)明不應限于此，它同樣適用于未來可能發(fā)展出的其它載體和/或載體關系。

應理解的是，本發(fā)明的上述各具體實施例中涉及的各處理流程可以構建為相應的裝置或模塊。

圖5為本發(fā)明的惡意軟件處理系統(tǒng)結構示意圖。如圖5所示，惡意軟件處理系統(tǒng)500包括記錄模塊502，用于記錄載體之間的關系；溯源模塊504，用于追溯分析載體的根載體直至原始根載體；關聯(lián)模塊506，用于關聯(lián)分析載體的各級子載體；過濾模塊508，用于通過白名單等的方式放行已知的安全載體；顯示模塊510，用于向用戶顯示載體關系(如有向圖)、集合R、原始根載體等內(nèi)容。上述各模塊之間的關聯(lián)方式也可以是本發(fā)明具體實施例部分的任意一種方式。

顯而易見，在此描述的本發(fā)明可以有許多變化，這種變化不能認為偏離本發(fā)明的精神和范圍。因此，所有對本領域技術人員顯而易見的改變，都包括在本權利要求書的涵蓋范圍之內(nèi)。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成，該程序可以存儲于一計算機可讀存儲介質(zhì)中，存儲介質(zhì)可以包括：只讀存儲器(ROM，Read Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁盤或光盤等。

本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。

以上對本發(fā)明所提供的一種惡意軟件的檢測方法及裝置進行了詳細介紹，對于本領域的一般技術人員，依據(jù)本發(fā)明實施例的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應理解為對本發(fā)明的限制。

本發(fā)明公開了A1、一種惡意軟件的檢測方法，包括以下步驟：

記錄步驟，記錄系統(tǒng)中的載體之間的關系；

溯源步驟，當確定一載體為惡意軟件后，基于所述記錄步驟記錄的載體關系，追溯其根載體及原始根載體，并獲得與確定作為惡意軟件的所述載體相關的所有載體的集合。

A2、上述A1的方法，還包括：

基于所述原始根載體獲取其各子載體的關聯(lián)步驟。

A3、上述A1的方法中，所述載體為系統(tǒng)中運行的文件，進程，線程，注冊表和網(wǎng)址中的一個或多個。

A4、上述A1的方法中，所述的載體關系為以下至少一種：文件創(chuàng)建關系，進程線程創(chuàng)建關系，模塊的加載關系，注冊表寫入關系和其它通訊關系。

A5、上述A1-A4之一的方法，還包括：

過濾集合內(nèi)的所有載體，并放行其中的安全載體的過濾步驟。

A6、上述A5的方法中，所述過濾步驟是基于白名單、數(shù)字簽名或人工分析后預定義的安全載體集合進行放行。

A7、上述A6的方法中，所述過濾步驟在獲得與確定的作為惡意軟件的所述載體相關的所有載體的集合之前進行。

A8、上述A1或A2的方法中，所述載體之間的關系的記錄為有向圖，記錄表或數(shù)據(jù)集合。

A9、上述A8的方法，包括：計算所述有向圖的結點的入度的步驟，其中入度為零的一個或多個結點的載體為所述原始根載體。

A10、上述A1的方法中，所述溯源步驟包括：a)將作為惡意軟件的載體加入集合；b)對集合中的每一個載體，尋找已記錄的載體關系；c)當載體關系中的另一載體不在集合中，則將載體加入集合；d)重復b)步驟，直到各載體關系中的載體均在集合中。

A11、上述A1的方法，還包括：顯示與確定作為惡意軟件的所述載體相關的載體、和/或所述載體之間的關系的步驟。

本發(fā)明還公開了B12、一種惡意軟件的檢測裝置，包括：

記錄系統(tǒng)中的載體之間的關系的記錄模塊；

確定一個載體為惡意軟件的模塊；以及

溯源模塊，用于當確定一載體為惡意軟件后，基于所述記錄模塊記錄的載體關系，追溯其根載體及原始根載體，獲取與確定的作為惡意軟件的所述載體相關的所有載體的集合。

B13、上述B12的裝置，還包括：

基于所述原始根載體獲取其各子載體的關聯(lián)模塊。

B14、上述B12的裝置，所述載體為系統(tǒng)中運行的各種載體，包括：進程，線程，注冊表和/或網(wǎng)址。

B15、上述B12的裝置中，所述的載體關系為以下全部或至少一種：文件創(chuàng)建關系，進程線程創(chuàng)建關系，模塊的加載關系，注冊表寫入關系和其它通訊關系。

B16、上述B12-B15之一的裝置，還包括：

過濾集合內(nèi)的所有載體并放行其中的安全載體的過濾模塊。

B17、上述B16的裝置中，所述過濾模塊是基于白名單、數(shù)字簽名或人工分析后預定義的安全載體集合進行放行。

B18、上述B17的裝置中，所述過濾模塊在獲得與確定的作為惡意軟件的所述載體相關的所有載體的集合之前進行。

B19、上述B12或B13的裝置中，所述載體之間關系的記錄為有向圖，記錄表或數(shù)據(jù)集合。

B20、上述B19的裝置，還包括，計算所述有向圖的結點的入度，將入度為零的一個或多個結點的載體定為所述原始根載體的模塊。

B21、上述B12的裝置中，所述溯源模塊以下述方式工作：a)將作為惡意軟件的載體加入集合；b)對集合中的每一個載體，尋找已記錄的載體關系；c)當載體關系中的另一載體不在集合中，則將載體加入集合；d)重復b)，直到各載體關系中的載體均在集合中。

B22、上述B12的裝置，還包括，顯示與確定作為惡意軟件的所述載體相關的載體、和/或所述載體之間的關系的模塊。