[发明专利]通过解释器执行代码的系统和方法

说明书

本发明涉及通过解释器执行代码的系统和方法。一种示例性方法包括：通过所述解释器在模拟的计算机环境中执行所述程序代码的指令；当通过所述解释器检测到所述程序代码的与未知对象相关联的指令时，通过所述解释器停止所述程序代码的指令的进一步执行，所述解释器缺少对于所述未知对象的解释规则；通过所述解释器获得辅助代码，所述辅助代码的执行结果对应于所述未知对象的执行结果，其中，所述辅助代码包含已知对象，所述解释器具有对于所述已知对象的解释规则；通过所述解释器执行所述辅助代码的指令；以及在完成所述辅助代码的执行之后，通过所述解释器恢复所述程序代码的指令的执行。

技术领域

本发明总体涉及解释器的领域，以及更具体地涉及用于通过解释器执行程序代码的系统和方法。

背景技术

模拟器越来越多地被防病毒应用程序用于针对恶意功能的存在分析计算机程序代码。通常采用这类方法来分析以脚本编程语言编写的代码。通常，模拟器包括语法分析器(解析器)和解释器。该语法分析器将被分析的程序代码转换为中间代码(诸如字节代码)。解释器使用中间代码和模拟的执行环境来根据解释规则相继地执行(即解释)中间代码的指令。在模拟期间，被分析的代码无权访问实际计算机系统的资源，因为该代码的执行发生在模拟环境中。因此，在模拟器中执行的代码无法删除或改变计算机上的文件、从文件读取数据、或以其它方式对运行该代码的计算机系统造成伤害。

同时，非常难以实现能够解释被执行代码的所有对象(功能、进程和方法、类实例等)的模拟器。网络罪犯利用该事实且经常将很少使用的对象包括在其程序代码中。因此，如果特定对象(例如功能)的返回值不对应于该对象的执行的期望值，则恶意代码“理解”其被执行在模拟器内部且停止其进一步执行或不执行恶意功能，从而不被检测到。

反过来，防病毒应用程序的制造者力图有效地将解释规则添加到模拟器，用于被网络罪犯包括在其恶意代码中的新对象。然而，这通常需要改变模拟器自身的程序代码。在每次这类改变之后，需要对模拟器的程序代码测试和调试以排除故障，因此无法有效地将更新版本的模拟器提供给防病毒的用户。技术问题出现，包括需要解释(即，由解释器执行)调查的程序代码的指令，该程序代码包含解释器缺少对其的解释规则(即，执行结果对应于对应指令的执行结果的程序代码)的对象，而不改变解释器的真实程序代码。该对象可以为进程、类实例、类实例的方法或变量、脚本或甚至文件。

然而，现有的防病毒技术经常无法检测包含模拟器(更具体地，其解释器)缺少对其的解释规则的对象的恶意代码，因此没有解决上文提及的技术问题。

发明内容

本发明针对于用于通过解释器执行程序代码的系统、方法和计算机程序产品，该解释器缺少对于该程序代码的解释规则。本发明的技术效果之一在于，通过解释辅助程序代码提高了由解释器对调查的程序代码(该解释器缺少对于该调查的程序代码的解释规则)的执行的质量，而不改变解释器本身。

在一个示例性方面中，一种通过解释器执行程序代码的方法包括：通过所述解释器在模拟的计算机环境中执行所述程序代码的指令；当通过所述解释器检测到所述程序代码的与未知对象相关联的指令时，通过所述解释器停止所述程序代码的所述指令的进一步执行，所述解释器缺少对于所述未知对象的解释规则；通过所述解释器获得辅助代码，所述辅助代码的执行结果对应于所述未知对象的执行结果，其中，所述辅助代码包含已知对象，所述解释器具有对于所述已知对象的解释规则；通过所述解释器执行所述辅助代码的指令；以及在完成所述辅助代码的执行之后，通过所述解释器恢复所述程序代码的所述指令的执行。

在一个示例性方面中，所述对象为如下项中的一者：进程、类实例、类实例的方法或变量、脚本、文件、辅助代码。

在一个示例性方面中，从所述模拟的计算机环境获得所述辅助代码。

在一个示例性方面中，从本地数据库或远程数据库获得所述辅助代码。

在一个示例性方面中，针对所述辅助代码将所述解释器的执行环境初始化。