[发明专利]基于虚拟机的杀毒方法及装置、存储介质、计算机设备

权利要求书

1.一种基于虚拟机的杀毒方法，其特征在于，包括：

将目标程序分配至相应的虚拟机中，以使所述目标程序在所述虚拟机上运行；

记录所述目标程序运行时所调用的所述虚拟机中的特定的关键桩函数；

解析所述目标程序所调用的特定的关键桩函数，得到所述目标程序的执行特征；

根据所述目标程序的执行特征，分析所述目标程序是否包含病毒；

所述得到所述目标程序的执行特征之后，所述方法还包括：

根据目标程序的执行特征以及预设执行特征报毒经验值，计算目标程序的报毒检测值，其中，目标程序的报毒检测值为目标程序的执行特征对应的预设执行特征报毒经验值之和；

按照目标程序的报毒检测值与预设病毒经验值、预设安全经验值以及预设可疑经验值的关系，对目标程序进行安全检测；

若所述目标程序为可疑程序，则将所述目标程序上报病毒管理系统，以使所述病毒管理系统判断所述目标程序是否带毒，并根据所述病毒管理系统的判断结果，对各个预设经验值进行适应性的调整。

2.根据权利要求1所述的方法，其特征在于，所述记录所述目标程序运行时所调用的所述虚拟机中的特定的关键桩函数，具体包括：

按照所述目标程序对所述特定的关键桩函数的调用先后顺序，记录所述目标程序对应的桩函数执行序列；

所述解析所述目标程序所调用的特定的关键桩函数，得到所述目标程序的执行特征，具体包括：

解析所述桩函数执行序列，得到所述目标程序的执行特征。

3.根据权利要求2所述的方法，其特征在于，所述根据所述目标程序的执行特征，分析所述目标程序是否包含病毒，具体包括：

获取预设执行特征名单，其中，所述预设执行特征名单包括预设执行特征黑名单；

查询所述目标程序的执行特征是否属于所述预设执行特征黑名单中包含的恶意执行特征；

若所述目标程序的执行特征属于所述恶意执行特征，则确定所述目标程序包含病毒。

4.根据权利要求3所述的方法，其特征在于，所述预设执行特征名单还包括预设执行特征白名单，所述方法还包括：

若所述目标程序的执行特征不属于所述恶意执行特征，则查询所述目标程序的执行特征是否属于所述预设执行特征白名单中包含的安全执行特征；

若所述目标程序的执行特征属于所述安全执行特征，则确定所述目标程序不含病毒。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

若所述目标程序的执行特征不属于所述安全执行特征，则将所述目标程序标记为可疑程序，并将所述可疑程序对应的所述执行特征上报至病毒管理系统，以利用所述病毒管理系统分析所述可疑程序是否包含病毒。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

根据所述病毒管理系统对所述可疑程序的分析结果，更新所述预设执行特征黑名单以及所述预设执行特征白名单。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述将目标程序分配至相应的虚拟机中之前，所述方法还包括：

新建所述虚拟机，其中，所述虚拟机至少包括对CPU、操作系统、内存管理、进程管理、PE加载以及API的模拟。