[发明专利]一种恶意程序检测的方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种恶意程序检测的方法和 装置。

背景技术

MBR(MasterBootRecord，磁盘的主引导记录)是位于磁盘的0磁 头0磁道1扇区，有固定大小的一块存储区域，是计算机开机后访问磁 盘所读取的首个区域。MBR一般包含三个部分：主引导程序、磁盘分区 表、以及结束标志字。其中，主引导程序用来在计算机启动时检查分区 表是否正确，并且在系统硬件完成自检后将控制权交给磁盘上的系统引 导程序。MBR中的主引导程序具有相对于操作系统的独立性，这种独立 性体现在计算机的启动过程中：一般的计算启动过程是计算机通电后执 行自检，当确定以磁盘作为启动源后由基本输入输出系统将MBR读入内 存，控制权交给其中的主引导程序，由主引导程序检查分区表，找到活 动的分区，而后将控制权交给活动分区的系统引导程序，由系统引导程 序加载操作系统。整个过程中主引导程序的加载和操作系统的加载是两 个相对独立的过程，因此MBR中的主引导程序具有相对于操作系统的独 立性，即MBR中的主引导程序先于操作系统加载，并且不依赖、也不属 于操作系统。

有的恶意样本为了达到常驻系统的目的，常常需要将自己安装到系统 底层的部分。有的样本会修改系统的引导区部分(例如MBR)而达到在 操作系统之前启动，并感染操作系统的目的。

原有的此类样本的检测手段都是在样本执行完毕之后，调用系统的 API函数读取磁盘指定位置的数据，和未感染数据进行比较进行判断。但 由于操作系统已经被感染，木马可以篡改操作系统的磁盘读写函数，甚 至直接篡改更加底层的BIOS当中的读写支持函数，让安全软件无法获取 真实的磁盘数据。

因此，本领域技术人员迫切需要解决的问题之一在于，提出一种恶意 程序检测的方法和装置，降低主机感染的风险，降低恶意程序的误报率， 降低新型恶意程序的漏报率。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部 分地解决上述问题的一种恶意程序检测的方法和相应的一种恶意程序检 测的装置。

依据本发明的一个方面，提供了一种恶意程序检测的方法，包括：

启动虚拟机，在所述虚拟机中运行样本程序；

获取所述样本程序在虚拟机中执行指定操作的信息，所述执行指定操 作的信息包括所述执行指定操作的对象数据；

检测所述对象数据是否存在预置的恶意特征数据；

若检测到所述对象数据存在预置的恶意特征数据，则判定所述样本程 序为恶意程序。

可选地，所述的方法还包括：

检测所述对象数据是否存在预置的非恶意特征数据；

若检测到所述对象数据存在预置的非恶意特征数据，则判定所述样本 程序为非恶意程序。

可选地，所述指定操作包括样本程序在虚拟机内针对磁盘的写操作， 所述执行指定操作的对象数据为所述写操作对应的数据；所述执行指定 操作的信息还包括，写操作对应的磁盘扇区号，写操作对应的数据写入 的磁盘镜像文件的信息，写操作对应的数据在磁盘镜像文件中的位置信 息，以及，磁盘镜像文件索引；所述获取样本程序在虚拟机中执行指定 操作的信息的步骤包括：

获取所述写操作对应的磁盘扇区号；

获取所述写操作对应的数据；

将所述写操作对应的数据写入磁盘镜像文件，并记录所述写操作对应 的数据在磁盘镜像文件当中的位置信息；

将所述磁盘扇区号和位置信息写入所述磁盘镜像文件的索引。

可选地，所述检测对象数据是否存在预置的恶意特征数据的步骤在所 述样本程序在虚拟机中运行完毕后执行，具体包括：

针对指定的一个或多个扇区，判断在所述磁盘镜像文件的索引中是否 存对应的磁盘扇区号，若是，则依据所述磁盘扇区号和位置信息在磁盘 镜像文件中提取相应位置的写操作对应的数据，并存储至预设转储文件 中；

检测所述预设转储文件中的数据是否存在预置的恶意特征数据。

可选地，所述检测对应的数据是否存在预置的恶意特征数据的步骤还 包括：

读取所述磁盘镜像文件的索引到内存。

可选地，所述指定的一个或多个扇区为磁盘的主引导记录MBR相关 扇区。

根据本发明的另一方面，提供了一种恶意程序检测的装置，包括：