| 发明名称 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 | ||
| 摘要 | 本发明公开了一种基于虚拟硬件环境的恶意代码自动分析方法及系统,属于网络安全技术领域,本发明通过在虚拟硬件环境之上构建恶意代码所需的运行环境,并通过操纵和控制虚拟CPU指令和各种虚拟硬件的访问操作,收集恶意代码各种操作信息,控制恶意代码的运行过程,分析所有的收集到的数据,动态显示虚拟系统状态信息和恶意代码运行信息。由于数据采集通过虚拟硬件实现,恶意代码无法感知自身是否运行在虚拟环境中,也无法分辨自身是否被跟踪,从而实现对恶意代码完全透明的分析。 | ||
| 申请公布号 | CN101645119A | 申请公布日期 | 2010.02.10 |
| 申请号 | CN200810117899.X | 申请日期 | 2008.08.07 |
| 申请人 | 中国科学院软件研究所 | 发明人 | 应凌云;苏璞睿;冯登国 |
| 分类号 | G06F21/00(2006.01)I;G06F11/36(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
| 代理机构 | 北京君尚知识产权代理事务所(普通合伙) | 代理人 | 余长江 |
| 主权项 | 1、一种基于虚拟硬件环境的恶意代码自动分析方法,其步骤包括:1)虚拟实现物理计算机所需的硬件设备,准备恶意代码运行环境相关的操作系统镜像;2)配置恶意代码分析环境和分析目标的参数;3)加载恶意代码运行所需的虚拟操作系统镜像,同时拦截操作系统内核模块的加载,将所有支持拦截的系统调用操作转换为虚拟系统对应的系统调用的指令起始地址;4)运行待分析的恶意代码,虚拟CPU在执行指令之前,判断即将执行的指令是否为转换过来的指令起始地址,是则暂停虚拟系统的运行,收集并记录该操作相关的访问数据后,再恢复虚拟系统的运行;5)分析所有的收集到的数据,动态显示虚拟系统状态信息和恶意代码运行信息,恶意代码退出,分析自动终止。 | ||
| 地址 | 100190北京市海淀区中关村南四街4号 | ||