[发明专利]用于提高应用仿真加速的效率的系统和方法

说明书

优先权声明

本申请要求于2012年12月25日提交的2012156445号俄罗斯联邦专利申请的优先权，通过援引的方式并入本文。

技术领域

本发明总地涉及信息处理和安全技术，并且，更具体地，涉及受到功能分析的软件代码的自动的选择性仿真。

背景技术

如今的程序，包括恶意程序，其结构是以下指令的复杂集合：迁移、过程调用、循环等。应注意的是由于高级编程语言的日益普及以及计算机设备和操作系统的复杂，可执行文件的复杂性持续增加。恶意应用可实施若干具体动作，诸如：盗窃密码和其他机密用户数据、连接计算机到机器人网络（bot network）以实行拒绝服务（DoS）攻击或发送垃圾邮件、干扰系统的正常运行以通过许诺恢复可操作性来从用户敲诈钱财（例如勒索软件）、以及从用户的观点看来是负面的和不良的其他动作。

用于核查潜在恶意程序的已知方法之一是基于作为反病毒应用的一部分所应用的仿真器的使用来分析程序行为。存在各种程序仿真的方法。在一个方法中，仿真器经编程以通过创建处理器的寄存器、存储器和处理器指令集的虚拟拷贝来模仿实际处理器、存储器和其他设备。这样，程序指令不在实际处理器上、而是在其虚拟表示上执行，其中系统API函数调用被拦截在仿真器中并被模仿，例如，所期望的回复被发送回所仿真的应用。

在仿真期间，处理器指令的执行一般由指令的动态转译所实行。动态转译涉及将指令从初始集合（即要被仿真的原始指令）转译成要使用仿真器来执行的指令的专用集合。下文使用一个指令的转译作为示例来讨论动态转译：

初始指令：

mov eax,[edi]

所转译的伪代码涉及下列步骤的集合：

1.读取edi

2.以在第一操作中所接收的地址读取存储器

3.在第二操作中将从存储器所读取的值写到eax

另外，这种伪代码的每个步骤将包含一定数目的机器指令；结果，一个初始指令当被转译时，造成处理器中的数十个或甚至数百个指令的执行。应注意的是，一旦被转译，则代码不需要在另一个执行处再次被转译，这是因为代码转译操作已经执行过。考虑到多数代码在循环内执行，动态二进制转译是公知的和普遍存在的技术。

为反制程序代码仿真，恶意程序的创造者使用各种方法，其倾向于利用仿真进程的限制以及对反病毒解决方案中的仿真器的设计的限制。这些方法之一涉及添加大量指令到程序代码，其不承载恶意组件但需要过多的时间用于仿真。考虑到为程序代码仿真所分配的时间受到限制以避免用户不满（该时间通常可以是数秒）的事实，在恶意代码的执行之前仿真进程可能停止。

用于反制这种方法的技术之一在7,603,713号美国专利中描述，其公开通过援引的方式并入本文。其操作包括在实际处理器上、而不是在利用动态二进制转译的仿真器中执行若干指令，从而显著加速未知应用的仿真。

虽然该方法对降低执行大量指令所需的时间可以相当有益，但仍有某些缺点。一个这种缺点与以下的事实有关，即例如当异常时，例如不得不响应API函数调用，则使用实际处理器的指令的所加速的执行停止。考虑到仿真加速器需要初始化，其倾向于是消耗资源的进程，因此在某些在不得不将执行返回到通常的仿真器之前加速器仅执行几个指令的情况下，加速器可能仅得到边际收益，或甚至产生相反效果。

因此，存在着对提高仿真加速的效率的有效解决方案的需求。

发明内容

本发明的一个方面针对用于利用包括计算硬件和数据存储的计算机系统来仿真处于调查之下的软件代码的方法，所述计算硬件包括至少一个处理器。根据该方法，执行虚拟执行环境，在虚拟执行环境中处于调查之下的软件代码的第一部分被仿真并且其中在该第一部分的仿真期间表示一系列虚拟处理状态。作为示例，虚拟执行环境可利用动态二进制转译。

执行软件代码的第二部分而不用对其进行仿真。例如，可在至少一个处理器上执行第二部分而不用动态二进制转译。

在不用进行仿真地执行软件代码的第二部分之前，根据在软件代码的第二部分前的系列虚拟处理状态之一来初始化计算硬件。针对软件代码的第二部分的不用进行仿真的执行来确定效率的测度。基于效率的测度与效率标准的比较来确定软件代码的第二部分的不用进行仿真的执行的适宜性。这些动作由处于程序控制之下操作的计算硬件所实行。