发明名称 |
一种检测恶意程序的方法、装置及虚拟机 |
摘要 |
本申请提供了一种检测恶意程序的方法、装置及虚拟机,以解决现有技术无法检测出变形的恶意程序的问题。所述方法包括:设置虚拟内存;读取主引导记录MBR并保存到所述虚拟内存;模拟执行虚拟内存中主引导记录MBR中的每一条指令,并在执行完每一条指令后检测所述虚拟内存是否被修改,如果被修改,则发现恶意程序;否则,继续模拟执行下一条指令,直到主引导记录MBR的所有指令模拟执行完毕。本申请可以无视任何特征码变换技术,只要实际运行中发生了这个行为即可被检测出来。 |
申请公布号 |
CN103617391A |
申请公布日期 |
2014.03.05 |
申请号 |
CN201310594976.1 |
申请日期 |
2011.09.14 |
申请人 |
北京奇虎科技有限公司;奇智软件(北京)有限公司 |
发明人 |
邵坚磊;谭合力 |
分类号 |
G06F21/56(2013.01)I;G06F9/455(2006.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京润泽恒知识产权代理有限公司 11319 |
代理人 |
苏培华 |
主权项 |
一种检测恶意程序的方法,其特征在于,包括:设置虚拟内存;读取主引导记录MBR并保存到所述虚拟内存;模拟执行虚拟内存中主引导记录MBR中的每一条指令,并在执行完每一条指令后检测所述虚拟内存是否被修改,如果被修改,则发现恶意程序;否则,继续模拟执行下一条指令,直到主引导记录MBR的所有指令模拟执行完毕。 |
地址 |
100088 北京市西城区新街口外大街28号D座112室(德胜园区) |