(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113672918A(43)申请公布日2021.11.19(21)申请号202110893571.2(22)申请日2021.08.04(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人吕经祥童志明(74)专利代理机构北京科衡知识产权代理有限公司11928代理人王淑静(51)Int.Cl.G06F21/56(2013.01)G06F21/53(2013.01)权利要求书2页说明书8页附图3页(54)发明名称恶意代码检测方法、装置、存储介质及电子设备(57)摘要本发明一个或多个实施例公开了一种恶意代码检测方法、装置、存储介质及电子设备，其中，恶意代码检测方法包括：在沙箱中执行目标程序；对所述目标程序在执行过程中的行为进行监控；响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的进程；在用户本地获取所述环境信息，并将获取到的所述环境信息上传至所述沙箱；恢复执行挂起的所述进程；根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码，本发明实施例能够有效检测出恶意代码。CN113672918ACN113672918A权利要求书1/2页1.一种恶意代码检测方法，其特征在于，包括：在沙箱中执行目标程序；对所述目标程序在执行过程中的行为进行监控；响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的进程；在用户本地获取所述环境信息，并将获取到的所述环境信息上传至所述沙箱；恢复执行挂起的所述进程；根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。2.根据权利要求1所述的方法，其特征在于，所述环境信息至少包括以下一种信息：注册表信息、文件信息以及环境变量。3.根据权利要求1所述的方法，其特征在于，响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的进程，包括：响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的所有进程以及各进程下的线程。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在沙箱中执行目标程序之后，记录所述目标程序的开始执行的时间；响应于根据所述开始执行的时间确定所述目标程序执行的时长超过预设时长，停止执行所述目标程序，并发出告警提示消息。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在挂起所述目标程序之后，若未在用户本地获取到所述环境信息，恢复执行挂起的所述进程。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：在沙箱中执行目标程序之前，获取上传至所述沙箱的所述目标程序的可执行程序代码；发出提示消息，其中，所述提示消息用于提示是否以当前模式执行所述目标程序、所述当前模式对应的时间消耗以及资源消耗情况。7.根据权利要求1至6任一项所述的方法，其特征在于，根据所述目标程序执行过程中的行为，判断所述目标程序是否是恶意程序，包括：在所述目标程序执行结束或停止执行之后，根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。8.一种恶意代码检测装置，其特征在于，包括：执行模块，被配置为在沙箱中执行目标程序；监控模块，被配置为对所述目标程序在执行过程中的行为进行监控；挂起模块，被配置为响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的进程；上传模块，被配置为在用户本地获取所述环境信息，并将获取到的所述环境信息上传至所述沙箱；恢复执行模块，被配置为恢复执行挂起的所述进程；2CN113672918A权利要求书2/2页判断模块，被配置为根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。9.根据权利要求8所述的装置，其特征在于，所述环境信息至少包括以下一种信息：注册表信息、文件信息以及环境变量。10.根据权利要求8所述的装置，其特征在于，所述挂起模块被配置为：响应于监控到所述目标程序执行访问环境信息的行为，挂起所述目标程序创建的所有进程以及各进程下的线程。11.根据权利要求9所述的装置，其特征在于，所述装置还包括：记录模块，被配置为在沙箱中执行目标程序之后，记录所述目标程序的开始执行的时间；告警模块，被配置为响应于根据所述开始执行的时间确定所述目标程序执行的时长超过预设时长，停止执行所述目标程序，并发出告警提示消息。12.根据权利要求9所述的装置，其特征在于，所述装置还包括：执行模块，被配置为在挂起所述目标程序之后，若未在用户本地获取到所述环境信息，恢复执行挂起的所述进程。13.根据权利要求9所述的装置，其特征在于，所述装置还包括：在沙箱中执行目标