[发明专利]恶意程序的对抗方法及装置、存储介质、计算机设备

权利要求书

1.一种恶意程序的对抗方法，其特征在于，包括：

利用垃圾指令扫描引擎对目标程序进行扫描，对所述目标程序的垃圾指令作出垃圾指令标记，其中，所述垃圾指令扫描引擎根据预先建立的垃圾指令特征库对所述目标程序进行特征扫描，所述垃圾指令与所述目标程序的执行目的无关的指令；

利用虚拟机加载目标程序，其中，所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记；

按照所述垃圾指令标记寻找所述目标程序的垃圾指令，并对所述垃圾指令打补丁，清除所述目标程序的垃圾指令，以提升所述目标程序的执行速度，其中，清除所述垃圾指令，不影响所述目标程序的执行结果；

获取并执行样本程序；对样本程序产生的执行记录中执行等待的行为进行提取，将与执行等待的行为相关的桩函数作为需要调整的桩函数；其中，需要调整的桩函数至少包括与获取系统时间行为相关的桩函数和/或线程等待桩函数；

获取需要调整的桩函数，其中，桩函数与执行时间相关；

按照预设参数调整规则，设置虚拟机中的桩函数的参数，以使目标程序在虚拟机中调用桩函数时减少等待时间；

在所述虚拟机中执行清除垃圾指令后的目标程序。

2.根据权利要求1所述的方法，其特征在于，所述垃圾指令为与所述目标程序执行目的无关且删除后不影响执行结果的指令。

3.根据权利要求1所述的方法，其特征在于，所述利用垃圾指令扫描引擎对所述目标程序进行扫描之前，所述方法还包括：

通过垃圾指令专家系统对样本程序进行垃圾指令特征识别，并依据识别出的垃圾指令特征建立所述垃圾指令特征库。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述在所述虚拟机中执行清除垃圾指令后的目标程序之后，所述方法还包括：

记录所述清除垃圾指令后的目标程序执行时所调用的所述虚拟机中的桩函数；

根据所述目标程序对所述桩函数的调用顺序，确定所述目标程序的执行序列。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

解析所述目标程序的执行序列，得到所述目标程序的执行特征；

将所述目标程序的执行特征与预设执行特征库中包含的恶意执行特征和/或安全执行特征进行比对，对所述目标程序进行病毒分析。

6.一种恶意程序的对抗装置，其特征在于，包括：

标记模块，用于利用虚拟机加载目标程序之前，利用垃圾指令扫描引擎对目标程序进行扫描，对目标程序的垃圾指令作出垃圾指令标记，其中，垃圾指令扫描引擎根据预先建立的垃圾指令特征库对目标程序进行特征扫描，所述垃圾指令与所述目标程序的执行目的无关的指令；

程序加载模块，用于利用虚拟机加载目标程序，其中，所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记，以提升所述目标程序的执行速度，其中，清除所述垃圾指令，不影响所述目标程序的执行结果；

垃圾指令清除模块，用于按照所述垃圾指令标记寻找所述目标程序的垃圾指令，并对所述垃圾指令打补丁，清除所述目标程序的垃圾指令；获取并执行样本程序；对样本程序产生的执行记录中执行等待的行为进行提取，将与执行等待的行为相关的桩函数作为需要调整的桩函数；其中，需要调整的桩函数至少包括与获取系统时间行为相关的桩函数和/或线程等待桩函数；获取需要调整的桩函数，其中，桩函数与执行时间相关；按照预设参数调整规则，设置虚拟机中的桩函数的参数，以使目标程序在虚拟机中调用桩函数时减少等待时间；

程序执行模块，用于在所述虚拟机中执行清除垃圾指令后的目标程序。

7.根据权利要求6所述的装置，其特征在于，所述垃圾指令为与所述目标程序执行目的无关且删除后不影响执行结果的指令。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

特征库建立模块，用于利用垃圾指令扫描引擎对所述目标程序进行扫描之前，通过垃圾指令专家系统对样本程序进行垃圾指令特征识别，并依据识别出的垃圾指令特征建立所述垃圾指令特征库。