[发明专利]反病毒虚拟机硬件加速系统

说明书

技术领域

本发明涉及计算机安全领域，特别涉及反病毒虚拟机硬件加速技术。

背景技术

反病毒虚拟机是现代反病毒引擎的重要组成部分，对于经过加密变形的多形性病毒，虚拟机可将病毒解密还原，进而进行特征码扫描来对抗加密变形；对于目前常见的病毒进行加壳以对抗特征码扫描的手段，虚拟机可完成自动解密或脱壳处理。

由于反病毒虚拟机需要对病毒代码进行一定步数的虚拟执行，因此是反病毒引擎中对资源消耗较重的部分，反病毒引擎虚拟执行代码的速度会直接影响反病毒引擎的性能，因此大部分反病毒引擎在实现反病毒虚拟机时，不得不在虚拟机虚拟执行代码的兼容性和速度之间做出选择，以在不过度影响反病毒引擎性能的前提下，对抗一部分加密变形和加壳处理的病毒。

现有计算机反病毒引擎中的反病毒虚拟机均通过运行在计算机上的CPU来实现，这种方式带来的问题是，计算机上的CPU资源不可能全部分配给反病毒虚拟机使用，如果对所有的x86体系结构CPU指令进行虚拟执行，则反病毒虚拟机虚拟执行的速度很低，严重影响了反病毒引擎的性能；如果只对病毒常用的一部分x86体系结构CPU指令进行虚拟执行，则容易被病毒利用不能被虚拟执行的x86指令。同时，脱壳处理所需的虚拟执行步数和兼容性要求都高于解密还原，现有的通过虚拟机进行自动脱壳的方式在效率和兼容性上都不能满足需求。

发明内容

本发明提供了一种反病毒虚拟机硬件加速系统，解决了以软件解释执行方式仿真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低，兼容性差的问题。

本发明提供了一种反病毒虚拟机硬件加速系统，包含嵌入式CPU、ROM、RAM和复位电路；

所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速，通过由计算机上的反病毒引擎控制的复位电路进行复位，并向ROM发送执行系统引导信号； 

所述的ROM根据所述执行系统引导信号执行系统引导，建立反病毒虚拟机工作的内存环境，实现反病毒虚拟机功能，并检测RAM的指定地址中是否有反病毒虚拟机启动标识，当检测到反病毒虚拟机启动标识时，启动反病毒虚拟机，并使用反病毒虚拟机访问RAM，对病毒体进行解密或脱壳，解密或脱壳完毕后，向RAM的指定地址中写入反病毒虚拟机结束标识。

所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识和反病毒虚拟机结束标识。

所述的复位电路用于接收计算机上的反病毒引擎在指定时间内未检测到述的RAM中的反病毒虚拟机结束标识时产生的复位信号，对嵌入式CPU进行硬件复位。

所述的系统安装在PCI或PCI Express板卡上，通过PCI或PCI Express总线与计算机上的反病毒引擎进行交互。

所述的系统中，所述的ROM包括固化在ROM上的固件，所述固件执行系统引导，建立反病毒虚拟机工作的内存环境，实现反病毒虚拟机功能，并检测RAM的指定地址中是否有反病毒虚拟机启动标识，当检测到反病毒虚拟机启动标识时，启动反病毒虚拟机，并使用反病毒虚拟机访问RAM，对病毒体进行解密或脱壳，解密或脱壳完毕后，向RAM的指定地址中写入反病毒虚拟机结束标识。

所述的系统中，所述的嵌入式CPU是x86体系结构嵌入式CPU、非x86体系结构嵌入式CPU或非x86体系结构嵌入式MCU。

如果所述的嵌入式CPU是x86体系结构嵌入式CPU，则ROM和RAM通过南桥芯片和北桥芯片连接；

如果所述的嵌入式CPU是非x86体系结构嵌入式CPU或MCU，且内部集成有内存控制器，则ROM和RAM直接连接；

如果所述的嵌入式CPU是非x86体系结构嵌入式MCU，且所述非x86体系结构嵌入式MCU的内部集成了大容量ROM，则所述非x86体系结构嵌入式MCU不外接ROM。

所述的系统中，所述的RAM包含主内存和共享RAM。

所述的系统中，所述的嵌入式CPU和ROM通过共享RAM与计算机上的反病毒引擎进行交互。

所述的系统中，所述的共享RAM通过PCI或PCI Express总线与计算机上的反病毒引擎进行数据交互。