[发明专利]病毒检测方法、装置、存储介质及计算机设备

说明书

本发明公开了一种本实施例提供的病毒检测方法、装置、存储介质及计算机设备，将待检测文件导入虚拟机运行期间，在待检测文件产生联网行为时，本实施例将拦截该联网行为相应的网络请求，使得该网络请求无法发送至真实服务器，而是直接获取预存的相应模拟响应数据，避免了待检测文件中的恶意软件，通过网络攻击宿主机及其外网的其他设备，同时，也保证了待检测文件能够运行完毕，得到待检测文件能够产生的所有联网行为的信息，进而提高待检测文件病毒检测的准确性及检测效率。

技术领域

本发明涉及样本检测领域，尤其涉及一种病毒检测方法、装置、存储介质及计算机设备。

背景技术

近年来，随着计算机网络技术的快速发展，恶意软件的种类越来越多，依赖于反病毒软件的病毒库更新的传统病毒检测方式，已经无法满足病毒检测需求，现有的计算机系统在进行恶意软件的分析时，往往是利用虚拟机技术实现，以提高病毒分析过程的安全性及硬件资源的节约性。

具体的，由病毒收集工具通过网络将待检测文件(如各种已知或未知病毒程序代码)上传到服务器(记为宿主机)，由宿主机中的虚拟机运行待检测文件，得到待检测文件的病毒检测结果，不需要计算机系统运行待检测文件，极大降低了计算机系统受恶意软件的危害，节约了计算机系统的硬件资源。

然而，在虚拟机运行待检测文件过程中，通常是通过NAT(Network AddressTranslation，网络地址转换)方式与宿主机联网，并通过宿主机网络访问外网，若待检测文件中存在恶意软件，如图1所示的场景流程示意图，该恶意软件很容易通过网络攻击宿主机，甚至会通过宿主机的网络，访问外网以攻击其他服务器或终端，造成很大安全隐患；而且，在联网失败时，往往会导致待检测文件中断或崩溃，使得本次病毒检测失败，降低了待检测文件的病毒检测可靠性和效率。

发明内容

有鉴于此，本发明提供了一种病毒检测方法、装置、存储介质及计算机设备，通过拦截待检测文件产生联网行为时发起的网络请求，无需访问真实服务器，直接获取模拟响应数据，保证待检测文件运行完毕，提高了病毒检测可靠性及效率，且避免了恶意软件通过网络攻击宿主机及其外网的其他设备。

为实现上述目的，本发明提供了一种病毒检测方法，应用于宿主机的虚拟机，所述方法包括以下步骤：

获取终端的待检测文件；

运行所述待检测文件；

在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；

获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；

获取所述联网行为相应的信息；

将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。

本发明还提供了一种病毒检测装置，应用于宿主机的虚拟机，所述装置包括：

待检测文件获取模块，用于获取终端的待检测文件；

运行模块，用于运行所述待检测文件；

网络请求拦截模块，用于在所述待检测文件运行期间产生联网行为时，

拦截所述联网行为相应的网络请求；

模拟响应数据获取模块，用于获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；

联网行为信息获取模块，用于获取所述联网行为相应的信息；

联网行为信息发送模块，用于将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。