【摘要】 本发明实施例提供一种可疑代码分析方法,包括创建代码虚拟执行环境,所述代码虚拟执行环境创建主机系统的常用进程;将可疑代码对主机系统的常用进程的操作重定向到所述代码虚拟执行环境创建的进程;将可疑代码对主机系统的文件系统或注册表的操作重定向到所述代码虚拟执行环境创建的虚拟的文件系统或虚拟的注册表;记录可疑代码运行时的行为特征并保存为日志文件;将所述日志文件通过命名管道发送至所述主机系统进行分析,所述命名管道对于所述代码虚拟执行环境中的可疑代码是不可见的。本发明实施例还提供一种可疑代码分析装置,本发明实施例可避免可疑代码对主机系统的进程造成影响。 【专利类型】发明申请 【申请人】成都市华为赛门铁克科技有限公司 【申请人类型】企业 【申请人地址】611731 四川省成都市高新区西部园区清水河片区 【申请人地区】中国 【申请人城市】成都市 【申请人区县】郫都区 【申请号】CN200810216474.4 【申请日】2008-10-10 【申请年份】2008 【公开公告号】CN101727348A 【公开公告日】2010-06-09 【公开公告年份】2010 【授权公告号】CN101727348B 【授权公告日】2013-02-13 【授权公告年份】2013.0 【IPC分类号】G06F9/455; G06F21/22; G06F21/55 【发明人】张小松; 陈厅; 顾凌志; 杨玉奇; 杜欢; 白皓文 【主权项内容】一种可疑代码分析方法,包括:创建代码虚拟执行环境,所述代码虚拟执行环境创建主机系统的常用进程;将可疑代码对主机系统的常用进程的操作重定向到所述代码虚拟执行环境创建的进程;将可疑代码对主机系统的文件系统或注册表的操作重定向到所述代码虚拟执行环境创建的虚拟的文件系统或虚拟的注册表;记录可疑代码运行时的行为特征并保存为日志文件;将所述日志文件通过命名管道发送至所述主机系统进行分析,所述命名管道对于所述代码虚拟执行环境中的可疑代码是不可见的。 【当前权利人】成都华为技术有限公司 【当前专利权人地址】四川省成都市高新区(西区)西源大道1899号 【被引证次数】5 【被自引次数】2.0 【被他引次数】3.0 【家族引证次数】4.0 【家族被引证次数】5
