[发明专利]一种可疑代码分析方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种可疑代码分析方法及装置。 

背景技术

可疑代码行为分析环境在理论上是一种虚拟执行环境，而这一个虚拟执行环境的建立的理论依据就是虚拟机(virtual machine，VM)技术。 

传统的虚拟机技术，就是所谓的硬件级虚拟机，它的理论原理是对硬件进行虚拟化，向运行在其上的VM提供接口，每个VM上运行一个独立的GuestOS，每个GuestOS都认为自己独立运行在硬件之上。硬件级虚拟机的设计与实现都非常复杂，并且每一种虚拟机的具体实现方案都有所不同，比如：VmWare，Microsoft Virtual PC，但是它们的大体思路是一样的，就是对硬件进行虚拟化，其中最重要的部分是CPU虚拟化，内存虚拟化和设备虚拟化。 

但是硬件级虚拟机的设计与实现是非常困难的，涉及到的技术领域也非常广，因此到现在为止，能够实现硬件级虚拟机的只有少数几个大公司和几个研究机构；硬件级虚拟机对资源占用很大，原因之一是指令的执行依靠VMM的转化，第二是缺页中断需要VMM处理，第三是I/O操作也要VMM参与，此外CPU调度算法的优劣，I/O调度算法的优劣也是决定因素之一。 

为了解决硬件级虚拟机上述两个问题，另外一种被称作操作系统级虚拟机产生了。这种虚拟机对系统调用进行虚拟化，对运行其上的应用程序提供一个虚拟执行环境，并且提供相当程度的隔离。所有的操作系统VM都共享主机OS的内核组件，包括硬件抽象层，设备驱动，OS kernel(操作系统内核)和OS Executive，和系统启动所需的组件。每个新VM启动的操作系统环境和主机OS当时的环境是一致的。这样，VM启动的时延，初始化所需 要的资源都是很少的，VM在运行的时候对主机OS造成的负担也是很小的，因为它采用的是命名空间虚拟化技术。 

操作系统级的虚拟机的优势就是，设计与实现比较简单，运行时负担比较小，并且能够提供进程间的隔离，因此在许多方面都有应用。 

在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：由于操作系统级虚拟机是依赖操作系统的，所以有大部分操作系统内核是不能够被修改的，而系统某些程序或是组件是紧密依赖与这些内核结构的，所以操作系统级的虚拟机不能完全的提供虚拟化；由于不能完全提供虚拟化，直接利用现有的操作系统级虚拟机来分析可疑代码的行为是不合适的；利用这种理论实现的系统大部分只提到了如何将VM APP(指虚拟机中运行的进程)限制在VM中，而没有详细说明如何防止VM APP对主机系统的干扰。 

发明内容

本发明实施例提供一种可疑代码分析方法及装置，实现对可疑代码的行为采集与分析在虚拟执行环境中进行，并且提供良好的隔离效果，避免可疑代码对主机进程造成破坏。 

本发明实施例提供一种可疑代码分析方法，包括： 

创建代码虚拟执行环境，所述代码虚拟执行环境创建主机系统的常用进程；启动可疑代码，所述可疑代码对主机系统进行操作；将可疑代码对主机系统的常用进程的操作重定向到所述代码虚拟执行环境创建的进程； 

将可疑代码对主机系统的文件系统或注册表的操作重定向到所述代码虚拟执行环境创建的虚拟的文件系统或虚拟的注册表； 

记录可疑代码运行时的行为特征并保存为日志文件； 

将所述日志文件通过命名管道发送至所述主机系统进行分析，所述命名管道对于所述代码虚拟执行环境中的可疑代码是不可见的。 

本发明实施例提供一种可疑代码分析装置，包括： 

虚拟执行环境创建模块，用于创建代码虚拟执行环境，所述代码虚拟执行环境创建主机系统的常用进程；可疑代码启动模块，用于启动可疑代码，所述可疑代码对主机系统进行操作； 

重定向模块，用于将可疑代码对主机系统的常用进程的操作重定向到所述代码虚拟执行环境创建的进程，将可疑代码对主机系统的文件系统或注册表的操作重定向到所述代码虚拟执行环境创建的虚拟的文件系统或虚拟的注册表； 

行为记录模块，用于记录可疑代码运行时的行为特征并保存为日志文件； 

管道通信模块，用于将所述日志文件通过命名管道发送至所述主机系统进行分析，所述命名管道对于所述代码虚拟执行环境中的可疑代码是不可见的。