[发明专利]一种基于虚拟机动态执行的恶意软件检测分析方法与装置

说明书

技术领域

本发明涉及软件安全领域，具体而言，涉及一种基于虚拟机动态执行的恶意软件检测分析方法与装置。

背景技术

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马等的程序。对恶意软件的检测和恶意软件攻防技术一直是热门话题。

对于静态检测技术，恶意软件可以通过改变攻击代码(加壳、修改源代码等方式)来逃避静态恶意代码检测工具的检测，因此静态恶意软件检测存在一定的局限性。

如何解决上述问题，是本领域技术人员关注的重点。

发明内容

有鉴于此，本发明的目的在于提供一种基于虚拟机动态执行的恶意软件检测分析方法，以解决现有技术中恶意程序绕过静态检测从而无法判断该恶意软件的危害性的问题。

有鉴于此，本发明的另一目的在于提供一种基于虚拟机动态执行的恶意软件检测分析装置，以解决现有技术中恶意程序绕过静态检测从而无法判断该恶意软件的危害性的问题。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提出一种基于虚拟机动态执行的恶意软件检测分析方法，所述基于虚拟机动态执行的恶意软件检测分析方法包括：

加载并动态执行待检测软件；

记录所述待检测软件在动态执行状态下的日志；

对所述日志进行行为分析，并获取分析后的行为结果；

对所述分析后的行为结果进行展现。

第二方面，本发明实施例还提出一种基于虚拟机动态执行的恶意软件检测分析装置，所述基于虚拟机动态执行的恶意软件检测分析装置包括：

动态执行单元，用于加载并动态执行待检测软件；

日志记录单元，用于记录所述待检测软件在动态执行状态下的日志；

行为分析单元，用于对所述日志进行行为分析，并获取分析后的行为结果；

展现单元，用于对所述分析后的行为结果进行展现。

相对现有技术，本发明具有以下有益效果：

本发明提供的了一种基于虚拟机动态执行的恶意软件检测分析方法与装置，首先通过虚拟机加载并动态执行待检测软件，然后记录待检测软件在动态执行状态下的日志，再对日志进行行为分析，并获取分析后的行为结果，最后对分析后的行为结果进行展现，从而使工作人员能够了解到该待检测软件的恶意程度。由于待检测软件可能在恶意代码上做过特定修改，所以能够绕过静态检测。但是，待检测软件无论怎样修改代码以绕过静态检测，其程序功能是不变的，即其行为链保持不变，其所调用的底层函数也是不变的，所以通过虚拟机能够执行该待检测软件，并记录详细行为，并对各种行为进行分析，从而实现了判断该待检测软件的危害性的效果。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明的一个实施例提供的虚拟机的结构框图。

图2示出了本发明的一个实施例提供的基于虚拟机动态执行的恶意软件检测分析方法的流程示意图。

图3示出了图2中步骤S102的子步骤流程示意图。

图4示出了本发明的另一个实施例提供的基于虚拟机动态执行的恶意软件检测分析装置的模块示意图。

图5示出了本发明的另一个实施例提供的日志记录单元的模块示意图。

图标：10-虚拟机；12-存储器；13-存储控制器；14-处理器；100-基于虚拟机动态执行的恶意软件检测分析装置；110-动态执行单元；120-日志记录单元；121-检测模块；122-记录模块；130-行为分析单元；140-展现单元。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。