恶意代码的检测方法、系统及相关装置

摘要

本发明公开了一种恶意代码的检测方法、系统及相关装置，用以解决现有技术中检测效率低、占用资源较多的问题。该方法包括：在宿主机的虚拟机监视器中监控指令的执行情况，所述指令是该宿主机的虚拟机中执行程序代码时产生的读写请求被下发至虚拟机监视器时，转义生成的；根据所述指令的执行情况，获得所述程序代码的执行特征；将获得的所述执行特征与预先存储的已知恶意代码的执行特征进行比对，在比对结果相符时确定所述程序代码为恶意代码。提高了检测效率，节约了在各虚拟机中重复安装杀毒软件所占用的宿主机的存储资源、以及各虚拟机分别运行杀毒软件所占用的宿主机的处理资源。

主权项

一种恶意代码的检测方法，其特征在于，包括：在宿主机的虚拟机监视器中监控指令的执行情况，所述指令是该宿主机的虚拟机中执行程序代码时产生的读写请求被下发至虚拟机监视器时，转义后生成的，转义操作将所述虚拟机对虚拟硬件设备的访问转换成所述虚拟机监视器对真正物理硬件设备的访问；根据所述指令的执行情况，获得所述程序代码的执行特征，所述执行特征包括以下任意一个、或多个的组合：所述指令在所述虚拟机监视器中的行为特征、或所述指令访问物理硬件的行为特征；所述指令访问物理硬件的行为特征包括以下任意一个、或多个的组合：访问存储空间超过第一设定阈值的持续时间、占用CPU比例超过第二设定阈值的持续时间、或是否读写设定范围的输入输出接口；将获得的所述执行特征与预先存储的已知恶意代码的执行特征进行比对，在比对结果相符时确定所述程序代码为恶意代码。