【摘要】 本发明公开了一种基于虚拟硬件环境的恶意代码自动分析方法及系统,属于网络安全 技术领域,本发明通过在虚拟硬件环境之上构建恶意代码所需的运行环境,并通过操纵和 控制虚拟CPU指令和各种虚拟硬件的访问操作,收集恶意代码各种操作信息,控制恶意代 码的运行过程,分析所有的收集到的数据,动态显示虚拟系统状态信息和恶意代码运行信 息。由于数据采集通过虚拟硬件实现,恶意代码无法感知自身是否运行在虚拟环境中,也 无法分辨自身是否被跟踪,从而实现对恶意代码完全透明的分析。 【专利类型】发明申请 【申请人】中国科学院软件研究所 【申请人类型】科研单位 【申请人地址】100190北京市海淀区中关村南四街4号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810117899.X 【申请日】2008-08-07 【申请年份】2008 【公开公告号】CN101645119A 【公开公告日】2010-02-10 【公开公告年份】2010 【授权公告号】CN101645119B 【授权公告日】2012-05-23 【授权公告年份】2012.0 【发明人】应凌云; 苏璞睿; 冯登国 【主权项内容】 1、一种基于虚拟硬件环境的恶意代码自动分析方法,其步骤包括: 1)虚拟实现物理计算机所需的硬件设备,准备恶意代码运行环境相关的操作系统镜 像; 2)配置恶意代码分析环境和分析目标的参数; 3)加载恶意代码运行所需的虚拟操作系统镜像,同时拦截操作系统内核模块的加载, 将所有支持拦截的系统调用操作转换为虚拟系统对应的系统调用的指令起始地址; 4)运行待分析的恶意代码,虚拟CPU在执行指令之前,判断即将执行的指令是否为转 换过来的指令起始地址,是则暂停虚拟系统的运行,收集并记录该操作相关的访问数据后, 再恢复虚拟系统的运行; 5)分析所有的收集到的数据,动态显示虚拟系统状态信息和恶意代码运行信息,恶意 代码退出,分析自动终止。 【当前权利人】中国科学院软件研究所 【当前专利权人地址】北京市海淀区中关村南四街4号 【统一社会信用代码】121000004000123696 【被引证次数】TRUE 【家族被引证次数】TRUE
