[发明专利]一种恶意程序检测的方法和装置

权利要求书

1.一种恶意程序检测的方法，包括：

预先定义已知的针对硬盘的主引导记录MBR的病毒的特征码；所述特征码包括预置的恶意特征数据和预置的非恶意特征数据；

启动虚拟机，在所述虚拟机中运行样本程序；

获取所述样本程序在虚拟机中执行指定操作的信息，所述执行指定操作的信息包括所述执行指定操作的对象数据；

所述指定操作包括样本程序在虚拟机内针对磁盘的写操作，所述执行指定操作的对象数据为所述写操作对应的数据；所述执行指定操作的信息还包括，写操作对应的磁盘扇区号，写操作对应的数据写入的磁盘镜像文件的信息，写操作对应的数据在磁盘镜像文件中的位置信息，以及，磁盘镜像文件索引；所述获取样本程序在虚拟机中执行指定操作的信息的步骤包括：

获取所述写操作对应的磁盘扇区号；

获取所述写操作对应的数据；

将所述写操作对应的数据写入磁盘镜像文件，并记录所述写操作对应的数据在磁盘镜像文件当中的位置信息；

将所述磁盘扇区号和位置信息写入所述磁盘镜像文件的索引；

检测所述对象数据是否存在预置的恶意特征数据；

所述检测对象数据是否存在预置的恶意特征数据的步骤在所述样本程序在虚拟机中运行完毕后执行，具体包括：

针对指定的一个或多个扇区，判断在所述磁盘镜像文件的索引中是否存对应的磁盘扇区号，若是，则依据所述磁盘扇区号和位置信息在磁盘镜像文件中提取相应位置的写操作对应的数据，并存储至预设转储文件中；

检测所述预设转储文件中的数据是否存在预置的恶意特征数据；

若检测到所述对象数据存在预置的恶意特征数据，则判定所述样本程序为恶意程序。

2.如权利要求1所述的方法，还包括：

检测所述对象数据是否存在预置的非恶意特征数据；

若检测到所述对象数据存在预置的非恶意特征数据，则判定所述样本程序为非恶意程序。

3.如权利要求1所述的方法，所述检测对象数据是否存在预置的恶意特征数据的步骤还包括：

读取所述磁盘镜像文件的索引到内存。

4.如权利要求1所述的方法，所述指定的一个或多个扇区为磁盘的主引导记录MBR相关扇区。

5.一种恶意程序检测的装置，包括：

样本程序运行模块，用于在虚拟机中运行样本程序；预先定义已知的针对硬盘的主引导记录MBR的病毒的特征码；所述特征码包括预置的恶意特征数据和预置的非恶意特征数据；

获取模块，用于获取所述样本程序在虚拟机中执行指定操作的信息，所述执行指定操作的信息包括所述执行指定操作的对象数据；

所述指定操作包括样本程序在虚拟机内针对磁盘的写操作，所述执行指定操作的对象数据为所述写操作对应的数据；所述执行指定操作的信息还包括，写操作对应的磁盘扇区号，写操作对应的数据写入的磁盘镜像文件的信息，写操作对应的数据在磁盘镜像文件中的位置信息，以及，磁盘镜像文件索引；所述获取模块包括：

磁盘扇区号获取子模块，用于获取所述写操作对应的磁盘扇区号；

数据子模块，用于获取所述写操作对应的数据；

记录子模块，用于将所述写操作对应的数据写入磁盘镜像文件，并记录所述写操作对应的数据在磁盘镜像文件当中的位置信息；

写入子模块，用于将所述磁盘扇区号和位置信息写入所述磁盘镜像文件的索引；

恶意特征检测模块，用于检测所述对象数据是否存在预置的恶意特征数据；

所述检测模块在所述样本程序在虚拟机中运行完毕后调用，所述恶意特征检测模块具体包括：

判断子模块，用于针对指定的一个或多个扇区，判断在所述磁盘镜像文件的索引中是否存对应的磁盘扇区号；若存在，则调用提取子模块；

提取子模块，用于依据所述磁盘扇区号和位置信息在磁盘镜像文件中提取相应位置的写操作对应的数据，并存储至预设转储文件中；

数据检测子模块，用于检测所述预设转储文件中的数据是否存在预置的恶意特征数据；

恶意程序判定模块，用于若检测到所述对象数据存在预置的恶意特征数据，则判定所述样本程序为恶意程序。