[发明专利]在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法

说明书

本发明提供了在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法。公开了用于生成用于进行文件的防病毒扫描的日志的系统和方法。所公开的技术包括在虚拟机中打开文件，这引起在虚拟机的(虚拟)处理器中执行客户端进程和线程。该技术包括在执行第一线程期间识别涉及虚拟机的客户端物理存储页面的改变的事件。该技术基于对日志的分析确定改变的客户端物理存储页面以及识别何时发生控制向改变的客户端物理存储页面的转移。用于被安全应用程序分析的形成的日志包括指示在线程执行期间在改变的客户端物理存储页面中发生的事件的信息、和正执行该线程的虚拟处理器的上下文数据。

技术领域

本发明总体涉及用于识别恶意文件的解决方案，以及更具体地涉及形成用于进行文件的防病毒扫描的日志的系统和方法。

背景技术

目前，恶意软件(诸如计算机病毒、特洛伊(Trojan)木马、因特网蠕虫)的量日益增加，旨在既对用户的数据又对感染有恶意软件的电子设备的用户造成危害。该危害可以通过损害或移除用户文件、未经授权将用户的计算设备的资源用于加密货币的“开采”、盗用用户的电子机密数据(例如，通信、图像、登录名、密码、银行卡信息)和其它行动来引起。此外，恶意软件不断改变，这是因为恶意软件的创造者依靠甚至更新的对抗安全应用程序的攻击和防御机制。使用各种机制，诸如恶意代码的模糊处理(换言之，例如，将原始文本或可执行程序代码置于保留其功能但抵抗分析的形式、理解工作算法、以及在反编译期间的修改)或模拟抵抗机制的使用(例如，恶意软件被赋予识别其何时在模拟器中正被执行的功能，且不显现其恶意活动)。

此外，恶意软件经常不立刻显示其恶意活动，而是执行大量的API函数调用(大约百万次的调用)、巨大量的周期(大约十亿次迭代)，以及在被发起之后紧接的特定时间量(例如，使用“Sleep()”函数的1小时)期间停止工作。用户的计算设备现今具有高性能和多核处理器(也具有多处理器系统)，从而用户可以不注意或重视多核之一的加载状态。此外，在设备已被开启达多于1小时之后，用户正常地使用该设备。因此，如果已发起恶意软件，则对于该恶意软件来说无需立刻显示其活动。

为了对付上述方法，安全应用程序(诸如防病毒应用程序)的制造者为了文件的安全执行而采用使用孤立环境形式的虚拟机的技术。经常，这类虚拟机被称为沙盒。管理程序(这类虚拟机在该管理程序的控制下运行)包含用于拦截由其中执行的应用程序所调用的功能的机制。

应当注意，安全应用程序采用各种方法来检测恶意软件，例如，诸如签名和/或启发式分析的技术。如果在分析过程中还未确定文件的危害性(例如，如果该文件不具有可信软件制造商的数字签名)，则可以通过安全应用程序移交该文件，用以在前文提及的虚拟机中分析该文件的行为。然后在虚拟机中执行转移的文件，在其执行过程中拦截该文件的活动以及被针对各个函数的调用所执行的事件，以及所拦截的事件和活动被保存在日志中且随后由安全应用程序或计算机安全方面的专家来分析。

因此，已知的用于拦截和聚集事件和活动的系统分两步工作。在第一步骤中，采集信息，以及在第二步骤中，分析信息。

已知的系统和方法的一个缺点在于，它们在文件的执行过程中不影响执行过程。例如，由正被分析的文件(或由已打开正被分析的文件的应用程序)发起的进程可能已停止其执行达1小时或通过利用保存的密码访问文件而攻击特定电子邮件客户端或报信者(用于交换消息的程序)。但是随着在虚拟机中缺少受攻击的程序，将不识别文件的有害行为。这是因为，还未找到具有密码的所需文件，恶意文件自身将终止其执行且将不显现其恶意活动。

发明内容

因此，本文中公开了一种用于通过形成用于进行文件的防病毒扫描的日志来识别恶意文件的系统和方法。所描述的本发明的系统和方法使得可以在分析文件的危害性期间影响虚拟机中的文件的执行过程。