一种基于虚拟机动态执行的恶意软件检测分析方法与装置制造方法及图纸

本发明专利技术实施例提出一种基于虚拟机动态执行的恶意软件检测分析方法与装置，涉及软件安全领域。首先通过虚拟机加载并动态执行待检测软件，然后记录待检测软件在动态执行状态下的日志，再对日志进行行为分析，并获取分析后的行为结果，最后对分析后的行为结果进行展现。本发明专利技术提供的基于虚拟机动态执行的恶意软件检测分析方法与装置具有防止对软件进行静态检测漏报情况出现的优点。

A method and device for detection and analysis of malware based on virtual machine dynamic execution

An embodiment of the invention provides a method and device for detecting and analyzing malware based on the dynamic execution of a virtual machine, which involves the field of software security. First, load and execute the software to be detected dynamically by virtual machine, then record the log of the detected software in the dynamic execution state, analyze the log behavior, and get the result after analysis. Finally, the result of the analysis is displayed. The invention provides a malware detection and analysis method and device based on virtual machine dynamic execution, which has the advantages of preventing the static detection of software from missing reports.

【技术实现步骤摘要】
一种基于虚拟机动态执行的恶意软件检测分析方法与装置
本专利技术涉及软件安全领域，具体而言，涉及一种基于虚拟机动态执行的恶意软件检测分析方法与装置。
技术介绍
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马等的程序。对恶意软件的检测和恶意软件攻防技术一直是热门话题。对于静态检测技术，恶意软件可以通过改变攻击代码(加壳、修改源代码等方式)来逃避静态恶意代码检测工具的检测，因此静态恶意软件检测存在一定的局限性。如何解决上述问题，是本领域技术人员关注的重点。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种基于虚拟机动态执行的恶意软件检测分析方法，以解决现有技术中恶意程序绕过静态检测从而无法判断该恶意软件的危害性的问题。有鉴于此，本专利技术的另一目的在于提供一种基于虚拟机动态执行的恶意软件检测分析装置，以解决现有技术中恶意程序绕过静态检测从而无法判断该恶意软件的危害性的问题。为了实现上述目的，本专利技术实施例采用的技术方案如下：第一方面，本专利技术实施例提出一种基于虚拟机动态执行的恶意软件检测分析方法，所述基于虚拟机动态执行的恶意软件检测分析方法包括：加载并动态执行待检测软件；记录所述待检测软件在动态执行状态下的日志；对所述日志进行行为分析，并获取分析后的行为结果；对所述分析后的行为结果进行展现。第二方面，本专利技术实施例还提出一种基于虚拟机动态执行的恶意软件检测分析装置，所述基于虚拟机动态执行的恶意软件检测分析装置包括：动态执行单元，用于加载并动态执行待检测软件；日志记录单元，用于记录所述待检测软件在动态执行状态下的日志；行为分析单元，用于对所述日志进行行为分析，并获取分析后的行为结果；展现单元，用于对所述分析后的行为结果进行展现。相对现有技术，本专利技术具有以下有益效果：本专利技术提供的了一种基于虚拟机动态执行的恶意软件检测分析方法与装置，首先通过虚拟机加载并动态执行待检测软件，然后记录待检测软件在动态执行状态下的日志，再对日志进行行为分析，并获取分析后的行为结果，最后对分析后的行为结果进行展现，从而使工作人员能够了解到该待检测软件的恶意程度。由于待检测软件可能在恶意代码上做过特定修改，所以能够绕过静态检测。但是，待检测软件无论怎样修改代码以绕过静态检测，其程序功能是不变的，即其行为链保持不变，其所调用的底层函数也是不变的，所以通过虚拟机能够执行该待检测软件，并记录详细行为，并对各种行为进行分析，从而实现了判断该待检测软件的危害性的效果。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1示出了本专利技术的一个实施例提供的虚拟机的结构框图。图2示出了本专利技术的一个实施例提供的基于虚拟机动态执行的恶意软件检测分析方法的流程示意图。图3示出了图2中步骤S102的子步骤流程示意图。图4示出了本专利技术的另一个实施例提供的基于虚拟机动态执行的恶意软件检测分析装置的模块示意图。图5示出了本专利技术的另一个实施例提供的日志记录单元的模块示意图。图标：10-虚拟机；12-存储器；13-存储控制器；14-处理器；100-基于虚拟机动态执行的恶意软件检测分析装置；110-动态执行单元；120-日志记录单元；121-检测模块；122-记录模块；130-行为分析单元；140-展现单元。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，还需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术中的具体含义。下面结合附图，对本专利技术的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。如图1所示，是本专利技术提供的虚拟机10的功能模块示意图。该虚拟机10包括基于虚拟机动态执行的恶意软件检测分析装置100、存储器12、存储控制器13以及处理器14。所述存储器12、存储控制器13、处理器14各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述基于虚拟机动态执行的恶意软件检测分析装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器12中或固化在所述虚拟机10的操作系统(operatingsystem，OS)中的软件功能模块。所述处理器14用于执行存储器12中存储的可执行模块，例如所述障碍物距离判定图像生成装置包括的软件功能模块或计算机程序。其中，存储器12可以是，但不限于，随机存取存储器(RandomAccessMemory，RAM)，只读存储器(ReadOnlyMemory，ROM)，可编程只读存储器(ProgrammableRead-OnlyMemory，PROM)，可擦除只读存储器(ErasableProgrammableRead-OnlyMemory，EPROM)，电可擦除只读存储器(ElectricErasableProgrammableRead-OnlyMemory，EEPROM)等。其中，存储器12用于存储程序，所述处理器14在接收到执行指令后，执行所述程序，前述本专利技术实施例任一实施例揭示的流过程定义的服务器200所执行的方法可以应用于处理器14中，或者由处理器14实现。处理器14可能是一种集成电路芯片，具有信号的处理能力。上述的处理器14可以是通用处理器，包括中央处理器(CentralProcessingUnit，简称CPU)、网络处理器(NetworkProcessor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本文档来自技高网...

【技术保护点】
一种基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述基于虚拟机动态执行的恶意软件检测分析方法包括：加载并动态执行待检测软件；记录所述待检测软件在动态执行状态下的日志；对所述日志进行行为分析，并获取分析后的行为结果；对所述分析后的行为结果进行展现。

【技术特征摘要】
1.一种基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述基于虚拟机动态执行的恶意软件检测分析方法包括：加载并动态执行待检测软件；记录所述待检测软件在动态执行状态下的日志；对所述日志进行行为分析，并获取分析后的行为结果；对所述分析后的行为结果进行展现。2.如权利要求1所述的基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述记录所述待检测软件在动态执行状态下的日志的步骤包括：检测在所述待检测软件在动态执行状态下所运行的所有的函数与函数参数；记录所述函数与函数参数。3.如权利要求2所述的基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述函数至少包括CreateFileW、WinExec、CreateProcessInternalW、CreateRemoteThread。4.如权利要求1所述的基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述行为包括进程行为、注册表行为、网络行为、文件行为以及可疑行为，所述进程行为用于对进程进行分析，所述注册表行为用于对注册表进行分析，所述网络行为用于对网络进行分析，所述文件行为用于对文件进行分析，所述可疑行为用于罗列出特殊的行为。5.如权利要求4所述的基于虚拟机动态执行的恶意软件检测分析方法，其特征在于，所述进程行为、注册表行为、网络行为以及文件行为均通过对相关的函数进行分析。6.一种基于虚拟机动态执行的恶意...

【专利技术属性】
技术研发人员：吴栋，范渊，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33