[发明专利]一种基于虚拟化行为分析技术的恶意代码检测方法及装置

权利要求书

1.一种基于虚拟化行为分析技术的恶意代码检测装置，其特征在于，包括本地主机和虚拟机，其中，所述本地主机设置有可视化模块、虚拟机控制模块和数据分析模块，所述可视化模块用于将待测可执行文件从本地主机传送至虚拟机、控制所述虚拟机控制模块启动虚拟机以及从所述数据分析模块获取分析报告；所述虚拟机控制模块用于对虚拟机进行控制；所述数据分析模块用于分析所述虚拟机传送的监控日志文件和将分析结果生成分析报告；所述虚拟机设置有监控控制模块和行为监控及网络流量捕获模块，所述监控控制模块用于调用所述行为监控及网络流量捕获模块对待测执行文件进行进程、注册表、文件、驱动加载和网络行为的监控并将各种行为记录在监控日志文件中。

2.如权利要求1所示的恶意代码检测装置，其特征在于，所述行为监控及网络流量捕获模块包括进程获取模块、进程监控模块、文件监控模块、注册表监控模块、驱动监控模块、网络流量捕获模块和日志记录模块。

3.如权利要求2所示的恶意代码检测装置，其特征在于，所述注册表监控模块采用注册表回调函数对注册表行为进行监控，所述进程监控模块、文件监控模块和驱动监控模块采用SSDT Hook技术对进程、文件和驱动加载行为进行监控，以及网络流量捕获模块使用TDI层IRP Hook实现对网络行为的监控。

4.如权利要求3所示的恶意代码检测装置，其特征在于，注册表行为包括创建、修改或删除注册表项和/或注册表键值，进程行为包括进程的创建和终止行为，以及文件行为包括文件的创建、覆盖和删除行为。

5.如权利要求2所示的恶意代码检测装置，其特征在于，所述日志记录模块通过驱动程序直接写文件的操作将检测到的恶意代码行为记录下来。

6.如权利要求1所示的恶意代码检测装置，其特征在于，所述虚拟机控制模块包括虚拟机设置、虚拟机基本操作和监控过程控制三个部分，其中，所述虚拟机设置包括类型选择、Host设置和Guest设置；所述虚拟机基本操作包括开启、关闭、挂起和还原；以及所述监控过程控制包括传送文件、启动监控和提取结果。

7.如权利要求1或6所示的恶意代码检测装置，其特征在于，所述虚拟机控制模块基于VIX API实现对虚拟机的控制。

8.如权利要求1所示的恶意代码检测装置，其特征在于，所述监控控制模块的工作过程为：服务创建、驱动加载、运行待测可执行文件一段时间和卸载驱动。

9.一种基于虚拟化行为分析技术的恶意代码检测方法，其特征在于，包括以下步骤：

S1、提供如权利要求1至8中任一项所述的恶意代码检测装置；

S2、通过本地主机的可视化模块将待测可执行文件传入本地主机；

S3、通过可视化模块控制虚拟机控制模块来启动虚拟机；

S4、通过虚拟机控制模块将待测可执行文件传入虚拟机；

S5、在虚拟机通过监控控制模块启动行为监控及网络流量捕获模块；

S6、在虚拟机内运行待测可执行文件，通过行为监控及网络流量捕获模块对待测可执行文件运行过程中的进程、注册表、文件、驱动加载和网络行为进行监控，同时将各种行为记录在监控日志文件中；

S7、虚拟机将监控日志文件传到本地主机的数据分析模块，由数据分析模块对日志文件进行分析，并将分析结果生成分析报告；

S8、通过本地主机的可视化模块将分析报告呈现给用户。