CN105912417B - 虚拟系统的检测方法和相关软件运行方法以及相关装置 - Google Patents

虚拟系统的检测方法和相关软件运行方法以及相关装置 Download PDF

Info

Publication number
CN105912417B
CN105912417B CN201610221474.8A CN201610221474A CN105912417B CN 105912417 B CN105912417 B CN 105912417B CN 201610221474 A CN201610221474 A CN 201610221474A CN 105912417 B CN105912417 B CN 105912417B
Authority
CN
China
Prior art keywords
function
verifying
virtual system
return value
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610221474.8A
Other languages
English (en)
Other versions
CN105912417A (zh
Inventor
李文靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Zhuhai Seal Interest Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Seal Interest Technology Co Ltd filed Critical Zhuhai Seal Interest Technology Co Ltd
Priority to CN201610221474.8A priority Critical patent/CN105912417B/zh
Publication of CN105912417A publication Critical patent/CN105912417A/zh
Application granted granted Critical
Publication of CN105912417B publication Critical patent/CN105912417B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0712Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例公开了一种虚拟系统的检测方法和相关软件运行方法以及相关装置,其中,虚拟系统的检测方法,包括:获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,调用所述验证函数序列中的验证函数;判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。采用本发明实施例提供的技术方案提高了对虚拟系统进行检测时的准确性。

Description

虚拟系统的检测方法和相关软件运行方法以及相关装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种虚拟系统的检测方法和相关软件运行方法以及相关装置。
背景技术
虚拟系统是在终端的操作系统(终端的操作系统以下称为:真机系统)上通过vmware、vBox等虚拟系统软件安装的系统。虚拟系统是操作系统的虚拟镜像,相对于真机系统,虚拟系统有利于更有效、更灵活的利用计算机资源,能够降低成本、节省开支。因此,虚拟系统在现有技术中得到广泛的应用。比如,通过在虚拟系统上测试软件的各项功能,有利于软件快速开发和发布。
杀毒软件等安全软件可以清除终端中对终端的运行或者性能存在威胁的软件(比如,病毒软件、特洛伊木马、以及恶意软件等,这些软件以下统称为:恶意软件)。因此,安全软件与恶意软件之间存在技术对抗,目前,安全软件开发完成后一般会在虚拟系统上运行,若没有问题,就发布到真机系统上。有的恶意软件为了避免被杀毒软件侦测到,会在虚拟系统和真机系统中采用不同的技术对抗策略,比如在虚拟系统上关闭技术对抗在真机系统中才开启技术对抗,这样会导致杀毒软件无法及时有效地对恶意软件进行处理。为了节省终端资源、以及有效地对恶意软件进行处理,安全软件有必要在虚拟系统和真机系统中采取不同的对抗策略,根据系统的不同对调用的资源及启动的功能做出调整,为此,准确地判断出当前的操作系统是否为虚拟系统至关重要。
虚拟系统启动时,在虚拟系统的系统进程中包括虚拟系统的进程名,利用这一特性,现有技术通过枚举系统进程的进程名的方式来判断当前系统是否为虚拟系统,如果枚举得到的进程名中包括虚拟系统列表中任一虚拟系统对应的进程名,则判定当前系统是虚拟系统;如果枚举得到的进程名中不包括虚拟系统列表中的任一虚拟系统对应的进程名,则判定当前系统是真机系统。比如,设置虚拟系统列表中保存两种虚拟系统对应的进程名vmware.exe和vBox.exe,若枚举得到的进程名中包括vmware.exe和vBox.exe中的至少一个,则判定当前系统为虚拟系统;若枚举得到的进程名中不包括vmware.exe和vBox.exe中的任意一个,则判定当前系统是真机系统。
本发明的发明人在研究和实践过程中发现,在实际运行时,若出现启动项被删除、或者虚拟系统对应的进程名被清理软件删除、或者虚拟系统在启动的过程中出现故障等情况发生时,都会导致枚举得到的进程名中不包括虚拟系统的进程名,这样可能导致检测当前的系统是否为虚拟系统的检测结果错误。
发明内容
本发明实施例提供了一种虚拟系统的检测方法和相关软件运行方法以及相关装置,可以解决如何提高虚拟系统检测的准确性的问题。
本发明实施例第一方面提供一种虚拟系统的检测方法,包括:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,
调用所述验证函数序列中的验证函数;
判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
结合第一方面,在第一方面的第一种可能的实施方式中,在所述获取预设的验证函数序列之前,所述方法还包括:
获取当前系统的系统进程;
判断获取的所述当前系统的系统进程中是否包括预设的虚拟系统的系统进程;
若是,则判定当前系统为虚拟系统;若否,则执行所述获取预设的验证函数序列。
结合第一方面,在第一方面的第二种可能的实施方式中,若所述验证函数序列中包括两个以上验证函数与预设的某个虚拟系统软件相对应,则所述“若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统”,包括:
所有与所述某个虚拟系统软件对应的验证函数序列的返回值与预设的返回值匹配时,才判定当前系统为虚拟系统。
结合第一方面,在第一方面的第三种可能的实施方式中,所述验证函数序列包括:与Vmware虚拟系统对应的如下函数中的至少一个:特权指令函数、中断描述表监测函数、以及信息处理器获取函数。
结合第一方面,在第一方面的第四种可能的实施方式中,所述验证函数序列包括:与vBox虚拟系统对应如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
本发明实施例第二方面提供一种安全软件的运行方法,包括:
本发明实施例提供的任意一种虚拟系统的检测方法;
在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
本发明实施例第三方面提供一种虚拟系统的检测装置,包括:
第一获取单元,用于获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数;
调用单元,用于调用所述验证函数序列中的验证函数;
第一判断单元,用于判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
第一处理单元,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
结合第三方面,在第三方面的第一种可能的实施方式中,所述装置还包括:
第二获取单元,用于在所述第一获取单元获取预设的验证函数序列之前,获取当前系统的系统进程;
第二判断单元,用于判断所述第二获取单元获取的当前系统的系统进程中是否包括预设的虚拟系统的系统进程;
第二处理单元,用于若所述第二判断单元的判断结果为是时,判定当前系统为虚拟系统;以及用于若所述第二判断单元的判断结果为否时,执行所述第一获取单元获取预设的验证函数序列。
结合第三方面,在第三方面的第二种可能的实施方式中,所述第一处理单元,具体用于:若所述验证函数序列中包括两个以上验证函数与预设的某个虚拟系统软件相对应,则若所有与所述某个虚拟系统软件对应的验证函数序列的返回值与预设的返回值匹配,判定当前系统为虚拟系统。
结合第三方面,在第三方面的第三种可能的实施方式中,所述验证函数序列包括:与Vmware虚拟系统对应的如下函数中的至少一个:特权指令函数、中断描述表监测函数、以及信息处理器获取函数。
结合第三方面,在第三方面的第四种可能的实施方式中,所述验证函数序列包括:与vBox虚拟系统对应如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
本发明实施例第四方面提供一种安全软件的运行装置,包括:
本发明实施例提供的任意一种虚拟系统的检测装置;
运行单元,用于在所述虚拟系统的检测装置的检测结果为当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
本发明实施例第五方面提供一种电子设备,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种虚拟系统的检测方法;其中,所述虚拟系统的检测方法包括:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,
调用所述验证函数序列中的验证函数;
判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
本发明实施例第六方面提供一种电子设备,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种安全软件的运行方法,包括:
本发明实施例提供的任意一种虚拟系统的检测方法;以及,
在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
本发明实施例第七方面提供一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种虚拟系统的检测方法。
本发明实施例第八方面提供一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种安全软件的运行方法。
本发明实施例第九方面提供一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种虚拟系统的检测方法。
本发明实施例第十方面提供一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种安全软件的运行方法。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统。若当前系统为虚拟系统,验证函数的返回值是固定的,即使虚拟系统的系统进程被删除了,也不影响使用验证函数来检测当前系统是否为虚拟系统的结果。因此采用本发明实施例提供的技术方案提高了对虚拟系统进行检测时的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的实施例提供的一种虚拟系统的检测方法的流程示意图;
图2是本发明的另一实施例提供的一种虚拟系统的检测方法的流程示意图;
图3是本发明的实施例提供的一种安全软件的运行方法的流程示意图;
图4是本发明的另一实施例提供的一种安全软件的运行方法的流程示意图;
图5是本发明的实施例提供的一种虚拟系统的检测装置的结构示意图;
图6是本发明的另一实施例提供的一种虚拟系统的检测装置的结构示意图;
图7是本发明的实施例提供的一种安全软件的运行装置的结构示意图;
图8是本发明的另一实施例提供的一种安全软件的运行装置的结构示意图;
图9是本发明的一实施例提供的一种电子设备的结构示意图;
图10是本发明的另一实施例提供的一种电子设备的结构示意图。
具体实施方式
本发明实施例提供了一种虚拟系统的检测方法和相关软件运行方法以及相关装置,能够提高虚拟系统检测的准确性。
为了使本技术领域的技术人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明一种虚拟系统的检测方法,可以包括:获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,调用所述验证函数序列中的验证函数;判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
请参阅图1,图1是本发明的一个实施例提供的一种虚拟系统的检测方法的流程示意图,如图1所示,本发明的一个实施例提供的一种虚拟系统的检测方法可以包括以下内容:
101、获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
其中,验证函数可以是与多个虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为虚拟系统。当然验证函数也可以是与某个特定的虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为所述特定的虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为Vmware虚拟系统,则验证函数可以为如下函数中的至少一个:特权指令函数、中断描述表检测函数、以及信息处理器获取函数。
其中,特权指令函数是具有特殊权限的特权指令,具体地,所述特权指令是指Vmvare虚拟系统特有的指令,特权指令一般不提供给用户使用,只用于操作系统或者其他系统软件,主要用于系统资源的分配和管理,包括改变系统工作方式、检测用户的访问权限、修改虚拟存储器管理的。举例来说,in指令就是一个特权指令,Vmvare虚拟系统使用in指令与真机系统交互,具体地,可以使用如下汇编代码来使用in指令,__asm mov eax,'VMXh',in eax,edx,即:先把'VMXh'保存进eax中,调用in eax,edx时,如果存在Vmvare虚拟系统,就会和真机交互,交互值会保存到edx中,判断edx是否为之前保存的'VMXh',是则是虚拟系统。
其中,中断描述表检测函数是利用操作系统的中断描述表来进行检测的函数,当在真机系统上安装了虚拟系统时,终端描述表的值需要不停地切换,具体地,使用中断描述表检测当前系统是否为虚拟系统时,可以使用如下汇编代码来判断,__asm sidt m,若m[5]>0xd0,则当前系统为虚拟系统。
其中,信息处理器获取函数是指:获取eax第31位数据的函数,具体地,可以使用CPUID获取eax的第31位的值,eax第31位在真机系统中是保留的没有使用,Vmware虚拟系统则使用了这一位,所以可以将eax的第31位作为标志位,可以使用如下汇编代码__cpuid获取eax的第31位数据,若有值则为Vmware虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为vBox虚拟系统,则验证函数可以为如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
其中,动态链接库加载函数是指调用LoadLibrary函数加载名称为VBoxHook.DLL的动态链接库,因为VBoxHook.DLL动态链接库是vBox虚拟系统在SYSMTE32目录下特有的动态链接库文件,所以若加载成功,则当前系统为虚拟系统。
其中,驱动对象打开函数是指打开vBox虚拟系统特有的驱动对象的函数,若打开成功,则当前系统为vBox虚拟系统。具体地,vBox虚拟系统具有一个特有的名称为VBoxMiniRdrDN的驱动对象,若使用函数::CreateFileA("\\\\.\\VBoxMiniRdrDN")执行打开驱动对象的操作,若打开成功,则当前系统为虚拟系统。
102、调用所述验证函数序列中的验证函数。
举例来说,若验证函数序列中的验证函数是与虚拟系统Vmware对应的:特权指令函数、中断描述表检测函数、和信息处理器获取函数,则可以依次调用这3个函数。
103、判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
举例来说,当调用与Vmvare虚拟系统对应的特权指令函数时,若执行如下汇编代码,__asm mov eax,'VMXh',in eax,edx,判断edx的值与预设的返回值VMXh是否相同,如果相同,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;如果不相同,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
举例来说,当调用与Vmvare虚拟系统对应的中断描述表检测函数时,若执行如下汇编代码,__asm sidt m,判断m[5]的值是否大于0xd0,若大于,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;若不大于,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
104、若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,可以设定只要有一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统,举例来说,若验证函数包括与Vmware虚拟系统系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定只要有一个验证函数,比如特权指令函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,为了提高准确性可以设定需要两个或者两个以上的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。举例来说,若验证函数包括与Vmware虚拟系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定其中两个或者全部的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统。若当前系统为虚拟系统,验证函数的返回值是固定的,即使虚拟系统的系统进程被删除了,也不影响使用验证函数来检测当前系统是否为虚拟系统的结果。因此采用本发明实施例提供的技术方案提高了对虚拟系统进行检测时的准确性。
请参阅图2,图2是本发明的另一实施例提供的一种虚拟系统的检测方法的流程示意图,如图2所示,本发明的另一实施例提供的一种虚拟系统的检测方法可以包括以下内容:
201、获取当前系统的系统进程。
202、判断当前系统的系统进程中是否包括预设的虚拟系统的系统进程。
若当前系统的系统进程中包括预设的虚拟系统的系统进程,则执行步骤203;若当前系统的系统进程中不包括预设的虚拟系统的系统进程,则执行步骤204。
203、判定当前系统为虚拟系统。
204、获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
其中,验证函数可以是与多个虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为虚拟系统。当然验证函数也可以是与某个特定的虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为所述特定的虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为Vmware虚拟系统,则验证函数可以为如下函数中的至少一个:特权指令函数、中断描述表检测函数、以及信息处理器获取函数。
其中,特权指令函数是具有特殊权限的特权指令,具体地,所述特权指令是指Vmvare虚拟系统特有的指令,特权指令一般不提供给用户使用,只用于操作系统或者其他系统软件,主要用于系统资源的分配和管理,包括改变系统工作方式、检测用户的访问权限、修改虚拟存储器管理的。举例来说,in指令就是一个特权指令,Vmvare虚拟系统使用in指令与真机系统交互,具体地,可以使用如下汇编代码来使用in指令,__asm mov eax,'VMXh',in eax,edx,即:先把'VMXh'保存进eax中,调用in eax,edx时,如果存在Vmvare虚拟系统,就会和真机交互,交互值会保存到edx中,判断edx是否为之前保存的'VMXh',是则是虚拟系统。
其中,中断描述表检测函数是利用操作系统的中断描述表来进行检测的函数,当在真机系统上安装了虚拟系统时,终端描述表的值需要不停地切换,具体地,使用中断描述表检测当前系统是否为虚拟系统时,可以使用如下汇编代码来判断,__asm sidt m,若m[5]>0xd0,则当前系统为虚拟系统。
其中,信息处理器获取函数是指:获取eax第31位数据的函数,具体地,可以使用CPUID获取eax的第31位的值,eax第31位在真机系统中是保留的没有使用,Vmware虚拟系统则使用了这一位,所以可以将eax的第31位作为标志位,可以使用如下汇编代码__cpuid获取eax的第31位数据,若有值则为Vmware虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为vBox虚拟系统,则验证函数可以为如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
其中,动态链接库加载函数是指调用LoadLibrary函数加载名称为VBoxHook.DLL的动态链接库,因为VBoxHook.DLL动态链接库是vBox虚拟系统在SYSMTE32目录下特有的动态链接库文件,所以若加载成功,则当前系统为虚拟系统。
其中,驱动对象打开函数是指打开vBox虚拟系统特有的驱动对象的函数,若打开成功,则当前系统为vBox虚拟系统。具体地,vBox虚拟系统具有一个特有的名称为VBoxMiniRdrDN的驱动对象,若使用函数::CreateFileA("\\\\.\\VBoxMiniRdrDN")执行打开驱动对象的操作,若打开成功,则当前系统为虚拟系统。
205、调用所述验证函数序列中的验证函数。
举例来说,若验证函数序列中的验证函数是与虚拟系统Vmware对应的:特权指令函数、中断描述表检测函数、和信息处理器获取函数,则可以依次调用这3个函数。
206、判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
举例来说,当调用与Vmvare虚拟系统对应的特权指令函数时,若执行如下汇编代码,__asm mov eax,'VMXh',in eax,edx,判断edx的值与预设的返回值VMXh是否相同,如果相同,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;如果不相同,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
举例来说,当调用与Vmvare虚拟系统对应的中断描述表检测函数时,若执行如下汇编代码,__asm sidt m,判断m[5]的值是否大于0xd0,若大于,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;若不大于,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
207、若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,可以设定只要有一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统,举例来说,若验证函数包括与Vmware虚拟系统系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定只要有一个验证函数,比如特权指令函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,为了提高准确性可以设定需要两个或者两个以上的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。举例来说,若验证函数包括与Vmware虚拟系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定其中两个或者全部的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。
需要说明的是,在虚拟系统实际运行时,虚拟系统对应的系统进程可能被其他的应用删除、或者虚拟系统在启动的过程中可能出现故障而使得系统进程中不包括与虚拟系统对应的进程名。这时如果判定当前系统不是虚拟系统,则不准确。本发明实施例在判断当前系统的系统进程中不包括预设的虚拟系统的系统进程的情况下,进一步地通过验证函数来检测当前系统是否为虚拟系统,提高了检测的准确性。
请参阅图3,图3为本发明的一个实施例提供的一种安全软件的运行方法的流程示意图,如图3所示,本发明的一实施例提供的一种安全软件的运行方法可以包括以下内容:
301、获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,
302、调用所述验证函数序列中的验证函数;
303、判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
304、若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
需要说明的是,301至304的实现过程可以参照图1所示实施例中101至104的相关描述,此处不再赘述。
305、在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统,提高了对虚拟系统进行检测时的准确性。另外,在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行,有利于提升系统资源的利用率。
请参阅图4,图4为本发明的另一个实施例提供的一种安全软件的运行方法的流程示意图,如图4所示,本发明的另一实施例提供的一种安全软件的运行方法可以包括以下内容:
401、获取当前系统的系统进程。
402、判断当前系统的系统进程中是否包括预设的虚拟系统的系统进程。
若当前系统的系统进程中包括预设的虚拟系统的系统进程,则执行步骤203;若当前系统的系统进程中不包括预设的虚拟系统的系统进程,则执行步骤204。
403、判定当前系统为虚拟系统。
404、获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
405、调用所述验证函数序列中的验证函数。
406、判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
407、若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
需要说明的是,401至407的实现过程可以参照图2所示实施例中201至207的相关描述,此处不再赘述。
408、判断当前系统是否为虚拟系统。
若判断结果为是,则执行步骤409;若判断结果为否,则执行步骤410。
409、设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
410、设置安全软件在调用技术对抗功能的真机系统模式下运行。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统,提高了对虚拟系统进行检测时的准确性。另外,在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行,有利于提升系统资源的利用率。
请参阅图5,图5为本发明的一个实施例提供的一种虚拟系统的检测装置的结构示意图。如图5所示,本发明实施例提供的一种虚拟系统的检测装置500可以包括:
第一获取单元501,用于获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
其中,验证函数可以是与多个虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为虚拟系统。当然验证函数也可以是与某个特定的虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为所述特定的虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为Vmware虚拟系统,则验证函数可以为如下函数中的至少一个:特权指令函数、中断描述表检测函数、以及信息处理器获取函数。
其中,特权指令函数是具有特殊权限的特权指令,具体地,所述特权指令是指Vmvare虚拟系统特有的指令,特权指令一般不提供给用户使用,只用于操作系统或者其他系统软件,主要用于系统资源的分配和管理,包括改变系统工作方式、检测用户的访问权限、修改虚拟存储器管理的。举例来说,in指令就是一个特权指令,Vmvare虚拟系统使用in指令与真机系统交互,具体地,可以使用如下汇编代码来使用in指令,__asm mov eax,'VMXh',in eax,edx,即:先把'VMXh'保存进eax中,调用in eax,edx时,如果存在Vmvare虚拟系统,就会和真机交互,交互值会保存到edx中,判断edx是否为之前保存的'VMXh',是则是虚拟系统。
其中,中断描述表检测函数是利用操作系统的中断描述表来进行检测的函数,当在真机系统上安装了虚拟系统时,终端描述表的值需要不停地切换,具体地,使用中断描述表检测当前系统是否为虚拟系统时,可以使用如下汇编代码来判断,__asm sidt m,若m[5]>0xd0,则当前系统为虚拟系统。
其中,信息处理器获取函数是指:获取eax第31位数据的函数,具体地,可以使用CPUID获取eax的第31位的值,eax第31位在真机系统中是保留的没有使用,Vmware虚拟系统则使用了这一位,所以可以将eax的第31位作为标志位,可以使用如下汇编代码__cpuid获取eax的第31位数据,若有值则为Vmware虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为vBox虚拟系统,则验证函数可以为如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
其中,动态链接库加载函数是指调用LoadLibrary函数加载名称为VBoxHook.DLL的动态链接库,因为VBoxHook.DLL动态链接库是vBox虚拟系统在SYSMTE32目录下特有的动态链接库文件,所以若加载成功,则当前系统为虚拟系统。
其中,驱动对象打开函数是指打开vBox虚拟系统特有的驱动对象的函数,若打开成功,则当前系统为vBox虚拟系统。具体地,vBox虚拟系统具有一个特有的名称为VBoxMiniRdrDN的驱动对象,若使用函数::CreateFileA("\\\\.\\VBoxMiniRdrDN")执行打开驱动对象的操作,若打开成功,则当前系统为虚拟系统。
调用单元502,用于调用所述验证函数序列中的验证函数。
举例来说,若验证函数序列中的验证函数是与虚拟系统Vmware对应的:特权指令函数、中断描述表检测函数、和信息处理器获取函数,则可以依次调用这3个函数。
第一判断单元503,用于判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
举例来说,当调用与Vmvare虚拟系统对应的特权指令函数时,若执行如下汇编代码,__asm mov eax,'VMXh',in eax,edx,判断edx的值与预设的返回值VMXh是否相同,如果相同,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;如果不相同,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
举例来说,当调用与Vmvare虚拟系统对应的中断描述表检测函数时,若执行如下汇编代码,__asm sidt m,判断m[5]的值是否大于0xd0,若大于,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;若不大于,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
第一处理单元504,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,可以设定只要有一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统,举例来说,若验证函数包括与Vmware虚拟系统系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定只要有一个验证函数,比如特权指令函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,为了提高准确性可以设定需要两个或者两个以上的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。举例来说,若验证函数包括与Vmware虚拟系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定其中两个或者全部的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统。若当前系统为虚拟系统,验证函数的返回值是固定的,即使虚拟系统的系统进程被删除了,也不影响使用验证函数来检测当前系统是否为虚拟系统的结果。因此采用本发明实施例提供的技术方案提高了对虚拟系统进行检测时的准确性。
请参阅图6,图6是本发明的另一实施例提供的一种虚拟系统的检测装置的结构示意图。如图6所示,本发明实施例提供的另一种虚拟系统的检测装置600可以包括:
第一获取单元601,用于第二判断单元606的判断结果为否时,获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
其中,验证函数可以是与多个虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为虚拟系统。当然验证函数也可以是与某个特定的虚拟系统相关的函数,通过该函数的返回值与预设返回值之间的匹配关系,可以判断当前系统是否为所述特定的虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为Vmware虚拟系统,则验证函数可以为如下函数中的至少一个:特权指令函数、中断描述表检测函数、以及信息处理器获取函数。
其中,特权指令函数是具有特殊权限的特权指令,具体地,所述特权指令是指Vmvare虚拟系统特有的指令,特权指令一般不提供给用户使用,只用于操作系统或者其他系统软件,主要用于系统资源的分配和管理,包括改变系统工作方式、检测用户的访问权限、修改虚拟存储器管理的。举例来说,in指令就是一个特权指令,Vmvare虚拟系统使用in指令与真机系统交互,具体地,可以使用如下汇编代码来使用in指令,__asm mov eax,'VMXh',in eax,edx,即:先把'VMXh'保存进eax中,调用in eax,edx时,如果存在Vmvare虚拟系统,就会和真机交互,交互值会保存到edx中,判断edx是否为之前保存的'VMXh',是则是虚拟系统。
其中,中断描述表检测函数是利用操作系统的中断描述表来进行检测的函数,当在真机系统上安装了虚拟系统时,终端描述表的值需要不停地切换,具体地,使用中断描述表检测当前系统是否为虚拟系统时,可以使用如下汇编代码来判断,__asm sidt m,若m[5]>0xd0,则当前系统为虚拟系统。
其中,信息处理器获取函数是指:获取eax第31位数据的函数,具体地,可以使用CPUID获取eax的第31位的值,eax第31位在真机系统中是保留的没有使用,Vmware虚拟系统则使用了这一位,所以可以将eax的第31位作为标志位,可以使用如下汇编代码__cpuid获取eax的第31位数据,若有值则为Vmware虚拟系统。
可选的,在本发明一些可能的实施方式中,若虚拟系统为vBox虚拟系统,则验证函数可以为如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
其中,动态链接库加载函数是指调用LoadLibrary函数加载名称为VBoxHook.DLL的动态链接库,因为VBoxHook.DLL动态链接库是vBox虚拟系统在SYSMTE32目录下特有的动态链接库文件,所以若加载成功,则当前系统为虚拟系统。
其中,驱动对象打开函数是指打开vBox虚拟系统特有的驱动对象的函数,若打开成功,则当前系统为vBox虚拟系统。具体地,vBox虚拟系统具有一个特有的名称为VBoxMiniRdrDN的驱动对象,若使用函数::CreateFileA("\\\\.\\VBoxMiniRdrDN")执行打开驱动对象的操作,若打开成功,则当前系统为虚拟系统。
调用单元602,用于调用所述验证函数序列中的验证函数。
举例来说,若验证函数序列中的验证函数是与虚拟系统Vmware对应的:特权指令函数、中断描述表检测函数、和信息处理器获取函数,则可以依次调用这3个函数。
第一判断单元603,用于判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
举例来说,当调用与Vmvare虚拟系统对应的特权指令函数时,若执行如下汇编代码,__asm mov eax,'VMXh',in eax,edx,判断edx的值与预设的返回值VMXh是否相同,如果相同,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;如果不相同,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
举例来说,当调用与Vmvare虚拟系统对应的中断描述表检测函数时,若执行如下汇编代码,__asm sidt m,判断m[5]的值是否大于0xd0,若大于,则被调用的验证函数的返回值与验证函数的预设的返回值匹配;若不大于,则被调用的验证函数的返回值与验证函数的预设的返回值不匹配。
第一处理单元604,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,可以设定只要有一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统,举例来说,若验证函数包括与Vmware虚拟系统系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定只要有一个验证函数,比如特权指令函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可选的,在本发明一些可能的实施方式中,为了提高准确性可以设定需要两个或者两个以上的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。举例来说,若验证函数包括与Vmware虚拟系统对应的特权指令函数、中断描述表检测函数、以及信息处理器获取函数。可以设定其中两个或者全部的验证函数的返回值与预设的返回值匹配,才判定当前系统为虚拟系统。
第二获取单元605,用于在所述第一获取单元601获取预设的验证函数序列之前,获取当前系统的系统进程。
第二判断单元606,用于判断所述第二获取单元605获取的当前系统的系统进程中是否包括预设的虚拟系统的系统进程。
第二处理单元607,用于若所述第二判断单元606的判断结果为是时,判定当前系统为虚拟系统;以及用于若所述第二判断单元606的判断结果为否时,所述执行第一获取单元601获取预设的验证函数序列。
需要说明的是,在虚拟系统实际运行时,虚拟系统对应的系统进程可能被其他的应用删除、或者虚拟系统在启动的过程中可能出现故障而使得系统进程中不包括与虚拟系统对应的进程名。这时如果判定当前系统不是虚拟系统,则不准确。本发明实施例在判断当前系统的系统进程中不包括预设的虚拟系统的系统进程的情况下,进一步地通过验证函数来检测当前系统是否为虚拟系统,提高了检测的准确性。
请参阅图7,图7为本发明的一个实施例提供的一种安全软件的运行装置的结构示意图。如图7所示,本发明实施例提供的一种安全软件的运行装置700可以包括:
第一获取单元701,用于获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
调用单元702,用于调用所述验证函数序列中的验证函数。
第一判断单元703,用于判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
第一处理单元704,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
需要说明的是,701至704各模块的功能可以参照图5所示实施例中501至504各模块的相关描述,此处不再赘述。
运行单元705,用于在所述第一处理单元704的判定结果为当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统,提高了对虚拟系统进行检测时的准确性。另外,在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行,有利于提升系统资源的利用率。
请参阅图8,图8为本发明的另一个实施例提供的一种安全软件的运行装置的结构示意图。如图8所示,本发明实施例提供的另一种安全软件的运行装置800可以包括:
第二获取单元805,用于获取当前系统的系统进程。
第二判定单元806,用于判断当前系统的系统进程中是否包括预设的虚拟系统的系统进程。
第二处理单元807,用于若当前系统的系统进程中包括预设的虚拟系统的系统进程,判定当前系统未虚拟系统;若当前系统的系统进程中不包括预设的虚拟系统的系统进程,第一获取单元801获取预设的验证函数序列。
第一获取单元801,用于第二处理单元807的判定结果为当前系统的系统进程中不包括预设的虚拟系统的系统进程时,获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数。
调用单元802,用于调用所述验证函数序列中的验证函数。
第一判断单元803,用于判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配。
第一处理单元804,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统,用于若没有一个验证函数的返回值与预设的返回值匹配,则判定当前系统为真机系统。
需要说明的是,801至804各模块的功能可以参照图5所示实施例中501至504各模块的相关描述,此处不再赘述。
运行单元808,用于若第一处理单元804的判定结果为当前系统为虚拟系统,则设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。以及用于若第一处理单元804的判定结果为当前系统不为虚拟系统,即为真机系统时,设置安全软件在调用技术对抗功能的真机系统模式下运行。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统,提高了对虚拟系统进行检测时的准确性。另外,在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行,有利于提升系统资源的利用率。
参见图9,图9为本发明实施例提供的一种电子设备的结构示意图,所述电子设备900,可以包括:
处理器901、存储器902、通信接口903和总线904;
其中,所述处理器901、所述存储器902和所述通信接口903通过所述总线904连接并完成相互间的通信;
所述存储器902存储可执行程序代码;
所述处理器901通过读取所述存储器902中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种虚拟系统的检测方法;其中,一种虚拟系统的检测方法包括以下内容:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,
调用所述验证函数序列中的验证函数;
判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统。若当前系统为虚拟系统,验证函数的返回值是固定的,即使虚拟系统的系统进程被删除了,也不影响使用验证函数来检测当前系统是否为虚拟系统的结果。因此采用本发明实施例提供的技术方案提高了对虚拟系统进行检测时的准确性。
本发明实施例还提供了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种虚拟系统的检测方法。
本发明实施例还提供了一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种虚拟系统的检测方法。
参见图10,图10为本发明实施例提供的一种电子设备的结构示意图,所述电子设备1000,可以包括:
处理器1001、存储器1002、通信接口1003和总线1004;
其中,所述处理器1001、所述存储器1002和所述通信接口1003通过所述总线1004连接并完成相互间的通信;
所述存储器1002存储可执行程序代码;
所述处理器1001通过读取所述存储器1002中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种安全软件的运行方法;其中,一种安全软件的运行方法包括以下内容:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,
调用所述验证函数序列中的验证函数;
判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
可以看出,采用本发明实施例提供的技术方案,利用被调用的验证函数的返回值与验证函数预设的返回值是否匹配来确定当前系统是否为虚拟系统,提高了对虚拟系统进行检测时的准确性。另外,在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行,有利于提升系统资源的利用率。
本发明实施例还提供了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种安全软件的运行方法。
本发明实施例还提供了一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种安全软件的运行方法。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,其中,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (14)

1.一种虚拟系统的检测方法,其特征在于,包括:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数;所述验证函数是与虚拟系统相关的函数;
调用所述验证函数序列中的验证函数;
判断被调用的所述验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
2.根据权利要求1所述的方法,其特征在于,在所述获取预设的验证函数序列之前,所述方法还包括:
获取当前系统的系统进程;
判断获取的所述当前系统的系统进程中是否包括预设的虚拟系统的系统进程;
若是,则判定当前系统为虚拟系统;若否,则执行所述获取预设的验证函数序列。
3.根据权利要求1所述的方法,其特征在于,若所述验证函数序列中包括两个以上验证函数与预设的某个虚拟系统软件相对应,则所述“若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统”,包括:
所有与所述某个虚拟系统软件对应的验证函数序列的返回值与预设的返回值匹配时,才判定当前系统为虚拟系统。
4.根据权利要求1所述的方法,其特征在于,所述验证函数序列包括:与Vmware虚拟系统对应的如下函数中的至少一个:特权指令函数、中断描述表监测函数、以及信息处理器获取函数。
5.根据权利要求1所述的方法,其特征在于,所述验证函数序列包括:与vBox虚拟系统对应如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
6.一种安全软件的运行方法,其特征在于,包括:
使用权利要求1至5任意一项所述的虚拟系统的检测方法判断当前系统是否为虚拟系统;
在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
7.一种虚拟系统的检测装置,其特征在于,包括:
第一获取单元,用于获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数;所述验证函数是与虚拟系统相关的函数;
调用单元,用于调用所述验证函数序列中的验证函数;
第一判断单元,用于判断被调用的所述验证函数的返回值与所述验证函数的预设的返回值是否匹配;
第一处理单元,用于若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于在所述第一获取单元获取预设的验证函数序列之前,获取当前系统的系统进程;
第二判断单元,用于判断所述第二获取单元获取的当前系统的系统进程中是否包括预设的虚拟系统的系统进程;
第二处理单元,用于若所述第二判断单元的判断结果为是时,判定当前系统为虚拟系统;以及用于若所述第二判断单元的判断结果为否时,执行所述第一获取单元获取预设的验证函数序列。
9.根据权利要求7所述的装置,其特征在于,
所述第一处理单元,具体用于:若所述验证函数序列中包括两个以上验证函数与预设的某个虚拟系统软件相对应,则若所有与所述某个虚拟系统软件对应的验证函数序列的返回值与预设的返回值匹配,判定当前系统为虚拟系统。
10.根据权利要求7所述的装置,其特征在于,所述验证函数序列包括:与Vmware虚拟系统对应的如下函数中的至少一个:特权指令函数、中断描述表监测函数、以及信息处理器获取函数。
11.根据权利要求7所述的装置,其特征在于,所述验证函数序列包括:与vBox虚拟系统对应如下函数中的至少一个:动态链接库加载函数和驱动对象打开函数。
12.一种安全软件的运行装置,其特征在于,包括:
如权利要求7至11任意一项所述的虚拟系统的检测装置,用于检测当前系统是否为虚拟系统;
运行单元,用于在所述虚拟系统的检测装置的检测结果为当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
13.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种虚拟系统的检测方法;其中,所述虚拟系统的检测方法包括:
获取预设的验证函数序列,所述验证函数序列中包括至少一个用于判断当前系统是否为虚拟系统的验证函数,所述验证函数是与虚拟系统相关的函数;
调用所述验证函数序列中的验证函数;
判断被调用的验证函数的返回值与所述验证函数的预设的返回值是否匹配;
若至少一个验证函数的返回值与预设的返回值匹配,则判定当前系统为虚拟系统。
14.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行一种安全软件的运行方法;其中,所述安全软件的运行方法包括:
使用如权利要求1至5任意一项所述的方法检测当前系统是否为虚拟系统;
在当前系统为虚拟系统的情况下,设置安全软件在不调用技术对抗功能的虚拟系统模式下运行。
CN201610221474.8A 2016-04-11 2016-04-11 虚拟系统的检测方法和相关软件运行方法以及相关装置 Active CN105912417B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610221474.8A CN105912417B (zh) 2016-04-11 2016-04-11 虚拟系统的检测方法和相关软件运行方法以及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610221474.8A CN105912417B (zh) 2016-04-11 2016-04-11 虚拟系统的检测方法和相关软件运行方法以及相关装置

Publications (2)

Publication Number Publication Date
CN105912417A CN105912417A (zh) 2016-08-31
CN105912417B true CN105912417B (zh) 2019-03-15

Family

ID=56745593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610221474.8A Active CN105912417B (zh) 2016-04-11 2016-04-11 虚拟系统的检测方法和相关软件运行方法以及相关装置

Country Status (1)

Country Link
CN (1) CN105912417B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106648835B (zh) * 2016-12-26 2020-04-10 武汉斗鱼网络科技有限公司 检测Android应用程序在安卓模拟器中运行的方法及系统
CN108089985B (zh) * 2017-12-14 2020-09-29 中国平安人寿保险股份有限公司 接口返回参数的校验方法、装置、设备及可读存储介质
CN111538985A (zh) * 2020-01-22 2020-08-14 中国银联股份有限公司 Android应用运行环境检测方法及其装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722672A (zh) * 2012-06-04 2012-10-10 奇智软件(北京)有限公司 一种检测运行环境真实性的方法及装置
CN104866407A (zh) * 2015-06-23 2015-08-26 山东中孚信息产业股份有限公司 一种虚拟机环境下的监控系统及监控方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756689B2 (en) * 2012-06-29 2014-06-17 Intel Corporation Method, system, and device for securely handling virtual function driver communications with a physical function driver

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722672A (zh) * 2012-06-04 2012-10-10 奇智软件(北京)有限公司 一种检测运行环境真实性的方法及装置
CN104866407A (zh) * 2015-06-23 2015-08-26 山东中孚信息产业股份有限公司 一种虚拟机环境下的监控系统及监控方法

Also Published As

Publication number Publication date
CN105912417A (zh) 2016-08-31

Similar Documents

Publication Publication Date Title
CN105912417B (zh) 虚拟系统的检测方法和相关软件运行方法以及相关装置
CN109753806A (zh) 服务器防护方法及装置
CN106709325B (zh) 一种监控程序的方法及装置
WO2012088109A3 (en) Providing a security boundary
MX2010014464A (es) Sistema y metodo para el manejo seguro de memoria.
CN107404740B (zh) 安全的网络切换方法、装置及终端设备
CN105678164A (zh) 检测恶意软件的方法及装置
CN103646081B (zh) 一种在网页中进行登录的方法和装置
CN104202199A (zh) 检测接口状态并据接口状态处理接口故障的方法及系统
CN104992116B (zh) 基于intent sniffer的监测方法及系统
CN109976823A (zh) 一种应用程序启动方法、装置及终端设备
CN111523097A (zh) 基于安卓系统的app刷子用户识别方法、设备及存储介质
CN106682493B (zh) 一种防止进程被恶意结束的方法、装置及电子设备
CN106650447A (zh) 一种防御PowerShell恶意代码执行的方法及系统
CN108509228A (zh) 加载页面的方法、终端设备及计算机可读存储介质
CN107450907A (zh) 指纹模组的兼容方法、移动终端及具有存储功能的装置
CN107292614A (zh) 支付类应用程序管理方法、装置及移动终端
CN105955747B (zh) 一种安全软件的运行方法、相关装置及电子设备
CN106557693A (zh) 一种恶意Hook行为检测方法及系统
US20130275963A1 (en) System, method, and computer program product for conditionally preventing use of hardware virtualization
WO2000077611A3 (en) Method and system of deploying an application between computers
CN110399131A (zh) 提高应用程序稳定性的方法、装置、计算机设备
CN103914423B (zh) 一种信息处理方法及电子设备
CN109388441A (zh) 处理方法、装置、电子设备及可读存储介质
CN107241425A (zh) 一种基于Web服务的非阻塞端信息跳变方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181130

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Applicant after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant