[发明专利]一种基于硬件模拟器的恶意代码在线分析方法及系统

权利要求书

1.一种基于硬件模拟器的恶意代码在线分析方法，包括如下步骤：

1)用户通过浏览器提交待分析恶意代码样本；

2)响应服务器响应用户的提交请求，存储待分析恶意代码样本，启动应用服务器；

3)启动后的应用服务器将样本运行参数组织为配置文件；

4)应用服务器按照配置文件将待分析恶意代码样本发送到对应的镜像系统中，然后在硬件模拟器中加载镜像系统并在镜像系统中运行恶意代码样本；

5)样本运行结束后应用服务器生成样本分析报告，并向响应服务器发送完成信号。

2.根据权利要求1所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，在步骤2)中，所述被启动的应用服务器采用负载平衡方法选出。

3.根据权利要求2所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，所述负载平衡方法的步骤为：

a)查找运行样本数最小的应用服务器；

b)将a)步骤找到的应用服务器的样本数与应用服务器的运行阈值比较；

c)应用服务器的样本数小于运行阈值时启动该应用服务器。

4.根据权利要求1所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，所述的样本运行参数由用户提交或按缺省值进行配置。

5.根据权利要求1所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，所述样本分析报告包括恶意代码调用的系统API信息，启动的进程和线程信息，和加载的模块信息。

6.根据权利要求5所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，所述恶意代码调用系统API的信息包括API的调用时间、传入参数、传出参数和返回值。

7.根据权利要求5所述的基于硬件模拟器的恶意代码在线分析方法，其特征在于，所述加载的模块信息包括模块的创建与销毁信息。

8.一种恶意代码在线分析系统，其特征在于，包括响应服务器，数据库服务器，文件服务器和至少一台应用服务器，所述应用服务器上包括硬件模拟器；响应服务器响应用户提交待分析恶意代码样本的请求；数据库服务器存储待分析恶意代码样本的运行参数；文件服务器存储待分析恶意代码样本，应用服务器中的硬件模拟器运行待分析恶意代码样本并进行分析。

9.根据权利要求8所述的恶意代码在线分析系统，其特征在于，所述应用服务器上包括数据库操作模块、通信模块、文件操作模块、操作员模块和样本启动模块，数据库操作模块从数据库服务器中读取和更新待分析恶意代码样本，文件操作模块从文件服务器中读取样本运行参数和上传样本分析报告；通信模块接收和反馈响应服务器的信号，并将样本运行参数和待分析恶意代码样本发送到操作员模块上；操作员模块控制硬件模拟器的启动、运行和结束，样本启动模块启动待分析恶意代码样本并按照样本运行参数为样本模拟运行环境。

10.根据权利要求9所述的恶意代码在线分析系统，其特征在于，所述样本启动模块运行于硬件模拟器加载的镜像系统中。