[发明专利]病毒检测方法及装置

说明书

技术领域

本发明涉及计算机领域，还涉及虚拟化技术，尤其涉及一种病毒检测方法及装置。

背景技术

随着计算机技术的不断发展，病毒已经不再局限于exe形式的可执行文件中，在html（Hypertext Markup Language，超文本标记语言）、pdf（Portable Document Format，可移植文档格式）、swf（Shock wave Flash，动画设计软件的文件格式）等格式的文档中都可能存在。由于病毒格式复杂且有一定的动态特性，因此对病毒的检测方式逐渐由传统的特征码技术转向虚拟执行技术。

由于病毒的触发依赖于特定的软件版本，例如某些病毒只能作用于Internet Explorer6浏览器或特定的Adobe Reader（pdf阅读器）版本，对该版本的软件打补丁或更新版本后，此类病毒就不再触发。同时，由于无法对客户端的操作系统版本和应用软件版本进行假设，因此为了分析病毒在不同软件版本中的运行行为，通常会在虚拟机中安装不同版本的应用软件，比如浏览器、Adobe Reader等。但这种检测方式存在以下问题：相同软件的不同版本可能不能并存，且大量不同版本的软件也可能会互相干扰。

发明内容

鉴于此，有必要提供一种病毒检测方法及装置，以解决同一虚拟机不能针对不同版本的应用软件进行病毒检测的问题。

本发明实施例公开了一种病毒检测方法，包括以下步骤：

识别待检测文件的文件类型；

根据所述文件类型，调用所述文件类型对应的虚拟机系统镜像文件和/或所述待检测文件对应的应用程序版本的增量快照；

利用虚拟机软件加载所述虚拟机系统镜像文件和/或增量快照，生成虚拟机实例，并在虚拟机实例上运行所述待检测文件；

检测所述虚拟机实例的运行状态，分析所述待检测文件是否包含病毒。

优选地，所述应用程序版本的增量快照包括所述应用程序至少一个版本对应的增量快照。

优选地，所述利用虚拟机软件加载所述虚拟机系统镜像文件和增量快照，生成虚拟机实例，并在虚拟机实例上运行所述待检测文件，包括：

在虚拟机软件上运行调用的所述虚拟机系统镜像文件；

基于运行的所述虚拟机系统镜像文件，加载所述增量快照，生成包含所述增量快照映射的应用程序版本的虚拟机实例；

利用所述虚拟机实例，打开所述待检测文件。

优选地，所述识别待检测文件的文件类型，之前还包括：

配置各操作系统分别对应的所述虚拟机系统镜像文件，根据配置的所述虚拟机系统镜像文件，利用虚拟机软件生成虚拟机实例，并在所述虚拟机系统镜像文件对应的虚拟机实例上安装预设版本的应用程序，生成增量快照并存储。

优选地，所述分析所述待检测文件是否包含病毒，包括：

分析所述待检测文件所包含的病毒的恶意行为，以及所述病毒发作所需的操作系统和/或所述病毒发作所需的应用程序版本。

本发明实施例还公开一种病毒检测装置，包括：

类型识别模块，用于识别待检测文件的文件类型；

虚拟机镜像和增量快照调用模块，用于根据所述文件类型，调用所述文件类型对应的虚拟机系统镜像文件和/或所述待检测文件对应的应用程序版本的增量快照；

虚拟运行模块，用于利用虚拟机软件加载所述虚拟机系统镜像文件和/或增量快照，生成虚拟机实例，并在虚拟机实例上运行所述待检测文件；

病毒检测模块，用于检测所述虚拟机实例的运行状态，分析所述待检测文件是否包含病毒。

优选地，所述应用程序版本的增量快照包括所述应用程序至少一个版本对应的增量快照。

优选地，所述虚拟运行模块还用于：

在虚拟机软件上运行调用的所述虚拟机系统镜像文件；

基于运行的所述虚拟机系统镜像文件，加载所述增量快照，生成包含所述增量快照映射的应用程序版本的虚拟机实例；

利用所述虚拟机实例，打开所述待检测文件。

优选地，所述病毒检测装置还包括：

增量快照配置模块，用于配置各操作系统分别对应的所述虚拟机系统镜像文件，根据配置的所述虚拟机系统镜像文件，利用虚拟机软件生成虚拟机实例，并在所述虚拟机系统镜像文件对应的虚拟机实例上安装预设版本的应用程序，生成增量快照并存储。

优选地，所述病毒检测模块还用于：

分析所述待检测文件所包含的病毒的恶意行为，以及所述病毒发作所需的操作系统和/或所述病毒发作所需的应用程序版本。