[发明专利]一种程序检测方法及装置

权利要求书

1.一种程序检测方法，其特征在于，所述方法应用于ARM虚拟机，所述方法包括：

加载可执行程序，并获取所述可执行程序中的ARM指令；

根据所述可执行程序中的ARM指令，访问所述ARM虚拟机中的虚拟数据系统，并记录访问所述虚拟数据系统的行为参数；

根据所述访问所述虚拟数据系统的行为参数，确定所述可执行程序的是否为恶意程序。

2.如权利要求1所述的方法，其特征在于，所述根据所述可执行程序中的ARM指令，访问所述ARM虚拟机中的虚拟数据系统，并记录访问所述虚拟数据系统的行为参数之前，还包括：

根据所述可执行程序中的ARM指令，获取执行所述虚拟数据系统所需的访问内存和/或寄存器数据。

3.如权利要求1所述的方法，其特征在于，所述根据所述访问所述虚拟数据系统的行为参数，确定所述可执行程序的是否为恶意程序包括：

判断所述访问所述虚拟数据系统的行为参数是否存在于预置的恶意行为序列中；

若所述访问所述虚拟数据系统的行为参数存在于所述预置的恶意行为序列中，则确定所述可执行程序为恶意程序。

4.如权利要求1所述的方法，其特征在于，所述根据所述访问所述虚拟数据系统的行为参数，确定所述可执行程序的是否为恶意程序之前，还包括：

获取访问所述ARM虚拟机中的虚拟数据系统的时长；

判断访问所述ARM虚拟机中的虚拟数据系统的时长是否小于预设阈值；

若访问所述ARM虚拟机中的虚拟数据系统的时长小于预设阈值，则确定所述ARM指令执行成功。

5.如权利要求1所述的方法，其特征在于，所述ARM虚拟机包括指令翻译器，所述获取所述可执行程序中的ARM指令包括：

读取所述可执行程序中的字符数据，通过所述指令翻译器将所述字符数据翻译成ARM指令。

6.如权利要求1-5任意一项所述的方法，其特征在于，所述虚拟数据系统包括虚拟进程、虚拟文件系统以及虚拟设备。

7.一种程序检测装置，其特征在于，所述装置包括：

信息加载模块，用于加载可执行程序，并获取所述可执行程序中的ARM指令；

信息记录模块，用于根据所述可执行程序中的ARM指令，访问所述ARM虚拟机中的虚拟数据系统，并记录访问所述虚拟数据系统的行为参数；

信息确定模块，用于根据所述访问所述虚拟数据系统的行为参数，确定所述可执行程序的是否为恶意程序。

8.如权利要求7所述的装置，其特征在于，所述装置还包括：

数据获取模块，用于根据所述可执行程序中的ARM指令，获取执行所述虚拟数据系统所需的访问内存和/或寄存器数据。

9.如权利要求7所述的装置，其特征在于，所述信息确定模块包括：

信息判断单元，用于判断所述访问所述虚拟数据系统的行为参数是否存在于预置的恶意行为序列中；

信息确定单元，用于若所述访问所述虚拟数据系统的行为参数存在于所述预置的恶意行为序列中，则确定所述可执行程序为恶意程序。

10.如权利要求7所述的装置，其特征在于，

所述信息记录模块，还用于获取访问所述ARM虚拟机中的虚拟数据系统的时长；判断访问所述ARM虚拟机中的虚拟数据系统的时长是否小于预设阈值；若访问所述ARM虚拟机中的虚拟数据系统的时长小于预设阈值，则确定所述 ARM指令执行成功。

11.如权利要求7所述的装置，其特征在于，所述ARM虚拟机包括指令翻译器，所述信息加载模块具体用于：

读取所述可执行程序中的字符数据，通过所述指令翻译器将所述字符数据翻译成ARM指令。

12.如权利要求7-11任意一项所述的装置，其特征在于，所述虚拟数据系统包括虚拟进程、虚拟文件系统以及虚拟设备。

13.一种程序检测装置，其特征在于，所述装置包括接口电路、存储器以及处理器，其中，存储器中存储一组程序代码，且处理器用于调用存储器中存储的程序代码，用于执行以下操作：

加载可执行程序，并获取所述可执行程序中的ARM指令；

根据所述可执行程序中的ARM指令，访问所述ARM虚拟机中的虚拟数据系统，并记录访问所述虚拟数据系统的行为参数；

根据所述访问所述虚拟数据系统的行为参数，确定所述可执行程序的是否为恶意程序。