[发明专利]虚拟机系统的反检测系统

说明书

技术领域

本发明涉及计算机安全技术领域，具体涉及虚拟机系统的反检测系统。

背景技术

随着计算机技术的发展和计算机应用的普及，计算机应用逐渐渗透到人们生产生活的各个领域，在很大程度上提高了生产效率，以及为人们生活的方方面面带来了非常多的便利。然而伴随着计算机设备被广泛地使用，计算机恶意程序也出现了前所未有的快速发展趋势，每天都会有数量众多的计算机恶意程序被编写出来，并通过网络，移动存储等方式进行传播，由于大部分计算机恶意程序都具有一定的传染性和破坏性，受到计算机恶意程序感染的计算机设备轻则正常的运行受到不同程度影响，重则甚至会导致计算机系统崩溃，或者机密数据资料泄漏，导致重大的经济损失。

计算机恶意程序给用户带来的巨大损失的同时，用户防治恶意程序的意识也在不断提高，为了达到防治计算机恶意程序的目的，首先的一个前提是需要对计算机恶意程序有相对深入的了解，包括对各种计算机恶意程序进行分析以获知其特征，例如通过对恶意程序的文件信息，恶意程序运行时产生的文件或数据，以及恶意程序对计算机系统进行的操作行为等等进行分析来获取恶意程序的特征，而且为了获得更准确的分析结果，对每一例恶意程序进行分析时往往需要搭建全新的计算机软硬件环境。但在很多时候这种分析恶意程序的实验是具有未知程度的破坏性的，如果搭建的真实计算机软硬件环境来进行这种实验性的分析，势必会浪费很大的人力物力，而且在计算机恶意程序数量巨大且高速增长的今天，这种分析方式甚至是难以实现的，此时，虚拟的运行环境成为了进行恶意程序实验性分析更好的选择。

虚拟的运行环境是指利用真实计算机软硬件设备模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，由于虚拟的运行环境具有可重用性高，还原迅速等特点，使得虚拟的运行环境成为进行上述实验性分析恶意程序工作的很好的选择。但是随着病毒编写者对虚拟的运行环境的重视和研究，出现了针对虚拟运行环境进行检测进而在虚拟的运行环境中隐藏自身特征的新型恶意程序，从而避免被计算机安全软件发现。但是，从计算机安全软件的角度而言，这无疑是对安全检测工作带来了障碍。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的虚拟机系统的反检测系统。

依据本发明，提供了一种虚拟机系统的反检测系统，包括虚拟机系统的反检测装置、虚拟机系统以及真实系统，其中：

在所述真实系统运行环境中启动所述虚拟机系统后，启动所述虚拟机系统的反检测装置，以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改；

所述虚拟机系统的反检测装置包括：

特征信息获取单元，用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息；

特征信息修改单元，用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值；

特征信息返回单元，用于当接收到查询当前虚拟机系统中的特征信息的请求时，返回修改后的取值，使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。

可选的，所述特征信息包括以下特征信息中的一种或任意几种的组合：

虚拟系统与真实系统之间的通讯指令返回值；

虚拟系统中的注册表配置信息；

虚拟系统中的代表性文件；

虚拟系统中的进程信息；

特定程序在虚拟系统与真实系统中的运行时间差值；

虚拟系统中的网络设备控制MAC地址信息；

虚拟系统中的网卡信息；

虚拟系统中的系统设备信息。

可选的，所述特征信息修改单元包括：

第一修改子单元，用于在真实系统运行环境中对所述虚拟系统与真实系统之间的通讯指令返回值的取值进行修改；

第二修改子单元，用于在虚拟机系统中对所述虚拟系统中的注册表配置信息、代表性文件、进程信息、运行时间差值、网卡信息、系统设备信息中的一种或任意多种的取值进行修改。

可选的，所述虚拟系统与真实系统之间的通讯指令返回值包括：后门IN指令的返回值；

所述特征信息修改单元具体用于：

将所述虚拟机系统中IN指令的返回值的取值修改为特定类型的异常信息。

可选的，所述虚拟系统与真实系统之间的通讯指令返回值包括：终端描述符表IDT基址；

所述特征信息修改单元具体用于：