[发明专利]一种基于虚拟化技术的潜在恶意软件分析方法及相关装置有效
| 申请号: | 201811307879.9 | 申请日: | 2018-11-05 |
| 公开(公告)号: | CN109388948B | 公开(公告)日: | 2021-02-26 |
| 发明(设计)人: | 江皓秋;范渊;王俊杰 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 罗满 |
| 地址: | 310000 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本申请公开了一种基于虚拟化技术的潜在恶意软件分析方法及相关装置,该方法包括:当运行在虚拟化环境中的程序出现异常中断时,判断异常中断是否为挂钩异常中断;若是,则确定挂钩异常中断的异常行为类型;当异常行为类型为读写权限异常时,将挂钩异常中断对应的EPT项替换为正常代码页,以便对正常代码页进行完整性检查;当异常行为类型为执行异常时,根据挂钩代码页的目标函数执行对应的代理函数得到程序数据,以便根据程序数据进行恶意软件分析。通过挂钩异常中断的类型将正常代码页替换回挂钩代码页,以便通过完整性检查,当执行挂钩代码页对应的代理函数时获取到程序数据,在完整性检查下实现了恶意软件分析,提高了分析效率。 | ||
| 搜索关键词: | 一种 基于 虚拟 技术 潜在 恶意 软件 分析 方法 相关 装置 | ||
【主权项】:
1.一种基于虚拟化技术的潜在恶意软件分析方法,其特征在于,包括:当运行在虚拟化环境中的程序出现异常中断时,判断所述异常中断是否为挂钩异常中断;其中,挂钩异常中断为对挂钩代码页设置的中断;若是,则确定所述挂钩异常中断的异常行为类型;当所述异常行为类型为读写权限异常时,将所述挂钩异常中断对应的EPT项替换为正常代码页,以便对所述正常代码页进行完整性检查;当所述异常行为类型为执行异常时,根据所述挂钩代码页的目标函数执行对应的代理函数得到程序数据,以便根据所述程序数据进行恶意软件分析。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811307879.9/,转载请声明来源钻瓜专利网。
