[发明专利]病毒检测方法、装置、存储介质及计算机设备

权利要求书

1.一种病毒检测方法，其特征在于，应用于宿主机的虚拟机，所述方法包括以下步骤：

获取终端的待检测文件；

运行所述待检测文件；

在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；

获取所述联网行为相应的信息；

将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示；

在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，包括：拦截所述待检测文件调用的安全验证函数；获取针对所述安全验证函数预设的验证通过数据；截获所述待检测文件调用的数据传输函数；对待发送数据进行解析；在解析结果表明所述待发送数据是满足预设协议要求的数据，获取并执行所述预设协议的数据包；

和/或，

在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，包括：在待检测文件运行期间产生下载行为时，拦截所述下载行为调用的下载请求队列函数；获取针对所述下载请求队列函数预设的模拟下载ID；获取包含所述模拟下载ID的广播消息，所述广播消息用于通知所述待检测文件本次下载已完成；拦截所述待检测文件调用的下载内容查询函数；获取针对所述下载内容查询函数预设的光标对象，所述光标对象包括用于指示所述待检测文件获取预设文件的信息。

2.根据权利要求1所述的方法，其特征在于，在运行所述待检测文件之前，所述方法还包括：

响应禁网指令，切断所述虚拟机的网络连接。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取待检测文件运行的目标进程；

向所述目标进程注入拦截程序，所述拦截程序用于拦截所述目标进程产生联网行为时调用的特定函数，并将所述特定函数重新定向为相应模拟响应数据。

4.根据权利要求3所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，包括：

监听到所述目标进程调用特定函数；

通过所述拦截程序，拦截所述特定函数；获取重新定向的模拟响应数据，并将所述模拟响应数据反馈至所述目标进程。

5.根据权利要求1所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，包括：

监听到所述待检测文件调用应用程序编程接口；

拦截所述待检测文件通过所述应用程序编程接口调用的特定函数。

6.根据权利要求1所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，包括：

在待检测文件运行期间进行统一资源定位符URL地址访问，发起相应的域名解析请求；拦截发起所述域名解析请求调用的地址获取函数；

获取所述地址获取函数对应的模拟IP地址。

7.根据权利要求1所述的方法，其特征在于，截获所述待检测文件调用的数据传输函数，包括：

截获所述待检测文件调用的创建链路函数以及数据发送函数；

获取待发送数据，并创建文件描述符与所述待发送数据的对应关系；

所述对待发送数据进行解析，包括：

截获所述待检测文件调用的数据接收函数；

根据当前文件描述符查询创建的对应关系，得到与所述当前文件描述符对应的当前待发送数据；

对所述当前待发送数据进行解析；

所述待发送数据是满足预设协议要求的数据具体为：

所述当前待发送数据是满足预设协议要求的数据。