CN113935021B - 用于运行恶意软件的方法及其相关产品 - Google Patents
用于运行恶意软件的方法及其相关产品 Download PDFInfo
- Publication number
- CN113935021B CN113935021B CN202111274529.9A CN202111274529A CN113935021B CN 113935021 B CN113935021 B CN 113935021B CN 202111274529 A CN202111274529 A CN 202111274529A CN 113935021 B CN113935021 B CN 113935021B
- Authority
- CN
- China
- Prior art keywords
- target
- virtual machine
- hardware
- hardware architecture
- malicious software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 244000035744 Hura crepitans Species 0.000 claims abstract description 44
- 230000008569 process Effects 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000015654 memory Effects 0.000 claims description 32
- 238000004458 analytical method Methods 0.000 claims description 14
- 230000006399 behavior Effects 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 5
- 208000015181 infectious disease Diseases 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241001391944 Commicarpus scandens Species 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种用于运行恶意软件的方法及其相关产品,其中该方法包括:响应于对所述恶意软件的运行需求,启动目标沙箱,其中所述目标沙箱包括底层系统和构建于所述底层系统上的虚拟机系统,其中所述底层系统用于隔离所述恶意软件;以及在所述目标沙箱的虚拟机系统中安装并运行所述恶意软件。通过本发明的技术方案,可以对恶意软件的行为进行重现,并且能够避免恶意软件在运行过程中扩散侵染计算机系统,从而提高计算机系统的安全性。
Description
技术领域
本发明一般地涉及计算机安全技术领域。更具体地,本发明涉及一种用于运行恶意软件的方法、电子设备和计算机程序产品。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述可包括可以探究的概念,但不一定是之前已经想到或者已经探究的概念。因此,除非在此指出,否则在本部分中描述的内容对于本申请的说明书和权利要求书而言不是现有技术,并且并不因为包括在本部分中就承认是现有技术。
随着计算机技术的快速发展,运行于计算机系统中的各种应用软件也随之增多,而这些应用软件中难免会存在一些危害计算机系统的恶意软件。为了提高计算机系统安全性,需要对恶意软件进行运行分析。然而随着恶意软件(例如病毒)的智能化程度提升,其在运行过程中已可以突破传统病毒分析系统而感染计算机系统,不仅影响计算系统的安全性,且影响后续对恶意软件的准确分析。
发明内容
为了至少解决上述背景技术部分所描述的技术问题,本发明提出了一种用于运行恶意软件的方案。利用本发明的方案,可以实现对恶意软件的安全运行。由此,本发明的方案不仅能够重现恶意软件的行为,并且避免恶意软件在运行过程中扩散侵染计算机系统,从而提高计算机系统的安全性。鉴于此,本发明在如下的多个方面提供解决方案。
本发明的第一方面提供了一种用于运行恶意软件的方法,包括:响应于对所述恶意软件的运行需求,启动目标沙箱,其中所述目标沙箱包括底层系统和构建于所述底层系统上的虚拟机系统,其中所述底层系统用于隔离所述恶意软件;以及在所述目标沙箱的虚拟机系统中安装并运行所述恶意软件。
在一个实施例中,还包括:获取运行所述恶意软件所需的系统配置信息;以及基于所述系统配置信息构建所述底层系统和所述虚拟机系统。
在一个实施例中,其中所述系统配置信息包括目标硬件体系结构和所述目标硬件体系结构所支持的目标操作系统,所述基于所述系统配置信息构建所述底层系统包括:从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构;获取所述第一硬件体系结构所支持且不同于所述目标操作系统的第一操作系统;以及基于所述第一硬件体系结构和所述第一操作系统构建所述底层系统。
在一个实施例中,其中从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构包括:从预定的多个硬件体系结构中任意筛选出至少一个所述第一硬件体系结构。
在一个实施例中,其中预定的多个硬件体系结构配置有优先级,其中从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构包括:从预定的多个硬件体系机构中筛选出优先级大于阈值的至少一个所述第一硬件体系结构。
在一个实施例中,其中基于所述系统配置信息构建所述虚拟机系统包括:从预定的多个硬件体系结构中筛选与所述目标硬件体系结构相同的第二硬件体系结构;获取所述第二硬件体系结构所支持且与所述目标操作系统相同的第二操作系统;以及在所述底层系统上创建虚拟机,并将所述第二硬件体系结构和所述第二操作系统安装至所述虚拟机中,以得到所述虚拟机系统。
在一个实施例中,还包括:在创建所述底层系统和所述虚拟机系统过程中对其内存进行反向控制操作。
在一个实施例中,还包括:获取所述恶意软件在运行过程中的行为数据;以及基于对所述行为数据的分析,完成对所述恶意软件的行为分析。
本发明的第二方面提供了一种电子设备,包括:处理器;以及存储器,其存储有用于运行恶意软件的计算机指令,当所述计算机指令由所述处理器运行时,使得所述电子设备执行本发明的第一方面以及在下文多个实施例中所述的方法。
本发明的第三方面提供了一种计算机程序产品,包括用于运行恶意软件的程序指令,当所述程序指令由处理器执行时,使得实现本发明的第一方面以及在下文多个实施例中所述的方法。
利用本发明所提供的方案,可以在目标沙箱中安全运行恶意软件。可以看出,本发明的方案可以利用沙箱中能够隔离恶意软件的底层系统对虚拟机系统进行加固,从而有效避免运行于虚拟机系统中的恶意软件侵染沙箱外环境。基于此,在确保能够重现恶意软件的行为的同时,提高计算机系统的安全性。在一些实施例中,本发明的方案还可以在创建虚拟机系统过程中对其内存进行反向控制操作,使得恶意软件不易突破虚拟机系统。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,并且相同或对应的标号表示相同或对应的部分,其中:
图1是示出根据本发明实施例的目标沙箱的简易架构图;
图2是示出根据本发明实施例的用于运行恶意软件的一个方法的流程图;
图3是示出根据本发明实施例的目标沙箱的总体框架图;
图4A和图4B是示出根据本发明实施例的目标沙箱内存在不同操作系统中的分配示意图;以及
图5是示出根据本发明实施例的目标沙箱中虚拟化执行模块的示意框图;
图6是示出根据本发明实施例的用于运行恶意软件的另一个方法的流程图;以及
图7是示出根据本发明实施例的用于运行恶意软件的系统的结构图。
具体实施方式
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
应当理解,本发明的权利要求、说明书及附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。本发明的说明书和权利要求书中使用的术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施方式的目的,而并不意在限定本发明。如在本发明说明书和权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解,在本发明说明书和权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
下面结合附图来详细描述本发明的具体实施方式。
图1是示出根据本发明实施例的目标沙箱100的简易架构图。可以理解的是,这里的目标沙箱100可以是一个虚拟系统程序,其为一独立的作业环境,以及内部可支持各种程序运行、且不会对硬盘产生永久性影响。通过对大量具有严重感染能力的恶意软件(例如病毒)的研究发现,恶意软件最终是以汇编指令或二进制指令形式进行运行,且目前没有可以兼容所有计算机硬件体系结构的通用指令集。基于此,在某一种硬件体系结构中具有传播能力的恶意软件,由于指令集以及操作系统的差异,其很难在另一种硬件体系结构中运行。此外,对于目前的计算机硬件体系结构,可以基于虚拟化技术在一种硬件体系结构上模拟出另一种硬件体系结构的运行效果(例如在x86 Windows系统上模拟Arm Linux系统运行效果)。
由此,在一些实施例中,前述的目标沙箱100可以包括能够隔离恶意软件的底层系统和构建于所述底层系统上且支持恶意软件运行的虚拟机系统。在一些实施场景中,前述的底层系统可以包括至少一种不同于恶意软件所需的硬件体系结构的硬件体系结构。在该场景下,前述底层系统中的硬件体系结构的具体数量可以根据底层系统所部署的计算机的性能来确定。而虚拟机系统可以包括恶意软件所需的硬件体系结构。基于此,采用底层系统对虚拟机系统进行加固保护,恶意软件可以运行在虚拟机系统中,从而确保恶意软件极难突破目标沙箱。
图2是示出根据本发明实施例的用于运行恶意软件的方法200的流程图。可以理解的是,方法200可以是基于图1中目标沙箱来执行的。因此,前文关于目标沙箱的描述同样也适用于下文。
如图2所示,在步骤S201处,可以响应于对前述恶意软件的运行需求,启动目标沙箱。可以理解的是,这里的恶意软件可以是前文结合图1所描述的恶意软件,因此前文关于恶意软件的描述同样也适用于下文。例如,其可以具备以汇编指令或二进制指令形式运行的特征。而前述的对恶意软件的运行需求可以由用户来触发,例如在用户交互界面上设置有关于恶意软件的检测按钮,检测到用户对该检测按钮的触控操作即可确定有运行需求。可以理解的是,这里对运行需求的描述仅是一种示例性说明,本发明的方案并不受此限制。
在一些实施例中,前述的目标沙箱可以包括底层系统和虚拟机系统。可以理解的是,这里的底层系统和虚拟机系统可以是前文结合图1所描述的底层系统和虚拟机系统,例如虚拟机系统构建于底层系统上,且底层系统能够隔离恶意软件,而虚拟机系统则可以运行恶意软件。而前述的目标沙箱可以实时构建或者预先构建。在一些实施例中,可以通过获取运行恶意软件所需的系统配置信息,并基于前述的系统配置信息来构建目标沙箱(包括对底层系统的构建和虚拟机系统的构建)。在该场景下,前述的系统配置信息可以包括目标硬件体系结构和该目标硬件体系结构所支持的目标操作系统。在一些实施场景中,前述的系统配置信息可以由用户进行设置。可以理解的是,这里关于获取系统配合信息的描述仅是一种示例性说明,本发明的方案并不受此限制。
在一些实施例中,关于前述底层系统的构建具体可以涉及从预定的多个硬件体系结构中筛选至少一个不同于目标硬件体系结构的第一硬件体系结构。其中前述预定的多个硬件体系结构可以包括但不限于X86、Arm、MIPS、PowerPC、Alpha等。在一个实施例中,假设目标硬件体系结构为X86,前述的第一硬件体系结构可以是除X86结构外的其他任一或多个结构。在该场景下,具体可以从多个硬件体系结构中任意筛选出一个或多个第一硬件体系结构。替换地,还可以预先设置各个硬件体系结构的优先级,然后筛选出优先级大于阈值的一个或多个第一硬件体系结构。可以理解的是,这里对第一硬件体系结构的筛选仅是一种示例性描述,本发明的方案并不受此限制。
接着,可以获取前述第一硬件体系结构所支持的、且不同于目标操作系统的第一操作系统,以及基于前述第一硬件体系结构和所述第一操作系统来构建底层系统。在一些实施场景中,前述的第一操作系统可以包括但不限于X86 Windows、X86 Linux、Arm Linux、MIPS Linux、PowerPC Linux、Alpha Linux等。由此,基于第一硬件体系结构和第一操作系统所构建的底层系统可以形成对恶意软件的有效隔离。
在一些实施例中,关于前述虚拟机系统的构建具体可以涉及从预定的多个硬件体系结构中筛选出与目标硬件体系结构相同的第二硬件体系结构。在一些实施场景中,如前所述,假设目标硬件体系结构为X86结构且目标操作系统为X86 Windows,对应第二硬件体系结构可以为X86结构。接着,可以获取第二操作系统。例如,前述的第二操作系统可以是X86Windows。可以理解的是,这里对第二操作系统的描述仅是一种示例性说明,本发明的方案并不受此限制。接着,可以在前述的底层系统上构建虚拟机,并在虚拟机中安装前述的第二硬件体系机构和第二操作系统。
在一些实施例中,还可以在创建前述底层系统和虚拟机系统过程中对其内存进行反向控制操作。由于恶意软件也是程序,其存在于内存之中,通常也遵循传统操作系统对于内存的分配原则:堆内存申请是由高地址向低地址扩展,而栈内存由低地址向高地址。基于此,通过对底层系统和虚拟机系统的内存进行内存反向混淆,可以提高恶意软件突破沙箱的难度,从而进一步地提高沙箱的安全性。
接着,在步骤S202处,可以在前述的目标沙箱中安装并运行恶意软件。基于此,通过虚拟机系统再现恶意软件的行为,并由底层系统对虚拟机系统进行加固,从而有效避免恶意软件侵染目标沙箱外环境。
在一些实施例中,在启动并运行恶意软件以实现对恶意软件行为的重现之后,可能会对其有进一步的分析需求。在该场景下,可以通过获取前述恶意软件在运行过程的行为数据,并基于该行为数据实现对恶意软件的行为分析。例如,可以包括对恶意软件的行为表现的分析以及能够克制恶意软件的有效手段的分析。
图3是示出根据本发明实施例的目标沙箱的总体框架图300。可以理解的是,图3可以是图1中目标沙箱具体实现的一种可能的示例性描述。因此前文结合图1和图2关于目标沙箱的描述同样也适用于下文。
如图3所示,目标沙箱可以包括沙箱硬件模块301、操作系统支撑模块302、内存定向分配器303、虚拟化支撑模块304以及总体调度模块305。
其中,前述的沙箱硬件模块301可以包括但不限于X86、Arm、MIPS、PowerPC、Alpha等硬件体系结构。在一些实施例中,当恶意软件二进制文件是在某一硬件体系结构(例如X86)编译的情况下,沙箱硬件模块301选择除X86体系结构外的其他结构进行沙箱的底层系统的构建,从而可以有效避免因硬件体系结构相同而造成传播,以形成对恶意软件的有效隔离。
在一些实施例中,前述的操作系统支撑模块302可以是指在所述沙箱硬件模块301所能运行的操作系统,其具体涉及在沙箱硬件模块301的基础上,提供硬件体系结构所支持的操作系统(例如X86 Windows、X86Linux、Arm Linux、MIPS Linux、PowerPC Linux、AlphaLinux等)。
在一些实施例中,前述的内存定向分配器303可以是结合输入输出接口(BasicInput Output System,BIOS)以及内存控制器的BIOS辅助软硬件设备。其可以存在与主板的Flash存储芯片中,也可以与BIOS并行放置,还可独立放置,用以对沙箱内存地址进行初始化控制设定以及反向控制设定。如图4A和图4B所示,分别展示了内存定向分配器303在Windows和Linux系统中对内存的初始化状态以及基地址分配情况,以基于内存定向分配器对沙箱内存进行内存反向混淆,从而提高恶意软件突破沙箱的难度。
在一些实施例中,如图5所示,虚拟化支撑模块304可以是利用虚拟化技术在操作系统之上构建的虚拟机,以及通过对指令集的模拟和容器技术隔离出与宿主不同的硬件指令集(例如X86指令集、Arm指令集等)以及操作系统。在一个实施例中,虚拟化支撑模块304可以包括:指令集虚拟模块、虚拟机、操作系统模块。其中,前述的指令集虚拟模块可以给虚拟机提供模拟指令的虚拟化支撑,虚拟机是运行虚拟化操作系统的承载容器,而操作系统模块为运行在容器中的虚拟化镜像。
在一些实施例中,总体调度模块305用于前述的各个模块进行调度,以执行图6所示的方法。如图6所示,在步骤S601处,可以确定恶意软件所运行的硬件体系结构。可以理解的是,这里的恶意软件可以是前文结合图1至图5所描述的恶意软件。在一些实施例中,恶意软件所运行的硬件体系结构可以由用户设置。接着,在步骤S602处,可以确定恶意软件所运行的操作系统。在一些实施例中,恶意软件所运行的操作系统也可以通过用户直接设置。
接着,在步骤S603处,可以从沙箱硬件模块中挑选硬件来构建底层系统。例如,恶意软件可以运行在某硬件体系结构上,则选择除该体系结构硬件来构建底层系统。
接着,在步骤S604处,可以初始化虚拟支撑模块来构建虚拟机。具体可以参考前文关于虚拟机系统的构建过程,这里不再进行赘述。接着,在步骤S605处,可以通过内存定向分配器对虚拟机系统进行逆向分配内存,以提高恶意软件突破沙箱的难度。
接着,在步骤S606处,可以在虚拟机中安装与恶意软件所需硬件体系结构相同的指令集模拟模块,以及在步骤S607处,可以在虚拟机中安装与恶意软件可运行操作系统相同的操作系统。可以看出,基于多重嵌套的指令集的虚拟化技术不仅实现恶意软件在虚拟机系统中的行为再现,并且避免恶意软件对沙箱外环境的威胁。
接着,在步骤S608处,可以对恶意软件进行行为分析。在一些实施例中,可以对恶意软件的入侵方式、入侵路径、所表现的“症状”等行为进行分析,以及进一步分析阻断恶意软件的各种有效方法等。可以理解的是,这里对恶意软件的分析的描述仅是一种可能的示例性说明,本发明的方案并不受此限制。
图7是示出根据本发明实施例的用于运行恶意软件的系统700的示意框图。该用于运行恶意软件的系统700可以包括本发明实施例的电子设备701以及其外围设备和外部网络。如前所述,通过该电子设备701实现对目标沙箱的创建和在目标沙箱中运行恶意软件等操作,以实现前述结合图2和图6所述的本发明的方案。
如图7中所示,电子设备701可以包括CPU7011,其可以是通用CPU、专用CPU或者其他信息处理以及程序运行的执行单元。进一步,电子设备701还可以包括大容量存储器7012和只读存储器ROM 7013,其中大容量存储器7012可以配置用于存储各类数据,ROM 7013可以配置成存储对于电子设备701的加电自检、系统中各功能模块的初始化、系统的基本输入/输出的驱动程序及引导操作系统所需的数据。
进一步,电子设备701还包括其他的硬件平台或组件,例如示出的TPU(TensorProcessing Unit,张量处理单元)7014、GPU(Graphic Processing Unit,图形处理器)7015、FPGA(Field Programmable Gate Array,现场可编程逻辑门阵列)7016和MLU(MemoryLogic Unit),存储器逻辑单元)7017。可以理解的是,尽管在电子设备701中示出了多种硬件平台或组件,但这里仅仅是示例性的而非限制性的,本领域技术人员可以根据实际需要增加或移除相应的硬件。例如,电子设备701可以仅包括CPU作为公知硬件平台和另一硬件平台作为本发明的测试硬件平台。
本发明的电子设备701还包括通信接口7018,从而可以通过该通信接口7018连接到局域网/无线局域网(LAN/WLAN)705,进而可以通过LAN/WLAN连接到本地服务器706或连接到因特网(“Internet”)707。替代地或附加地,本发明的电子设备701还可以通过通信接口7018基于无线通信技术直接连接到因特网或蜂窝网络,例如基于第三代(“3G”)、第四代(“4G”)或第5代(“5G”)的无线通信技术。电子设备701还可以根据需求与外部设备708和709通信。
电子设备701的外围设备可以包括显示装置702、输入装置703以及数据传输接口704。在一个实施例中,显示装置702可以例如包括一个或多个扬声器和/或一个或多个视觉显示器,其配置用于对本发明测试设备的运算过程或者最终结果进行语音提示和/或图像视频显示。输入装置703可以包括例如键盘、鼠标、麦克风、姿势捕捉相机,或其他输入按钮或控件,其配置用于接收待测数据的输入或用户指令。数据传输接口704可以包括例如串行接口、并行接口或通用串行总线接口(“USB”)、小型计算机系统接口(“SCSI”)、串行ATA、火线(“FireWire”)、PCI Express和高清多媒体接口(“HDMI”)等,其配置用于与其他设备或系统的数据传输和交互。根据本发明的方案,该数据传输接口704可以接收恶意软件的系统配置信息,并且向电子设备701传送该系统配置信息。
本发明的电子设备701的上述CPU 7011、大容量存储器7012、只读存储器ROM7013、TPU 7014、GPU 7015、FPGA 7016、MLU 7017和通信接口7018可以通过总线7019相互连接,并且通过该总线与外围设备实现数据交互。在一个实施例中,通过该总线7019,CPU7011可以控制电子设备701中的其他硬件组件及其外围设备。
在工作中,本发明的电子设备701的处理器CPU 7011可以通过输入装置703或数据传输接口704获取训练数据,并调取存储于存储器7012中的计算机程序指令或代码利用训练数据进行反欺诈模型训练,或者通过输入装置703或数据传输接口704获取待识别的金融交易数据,并调取存储于存储器7012中的计算机程序指令或代码利用目标沙箱来运行恶意软件,以便实现对恶意软件的行为再现。
从上面关于本发明模块化设计的描述可以看出,本发明的系统可以根据应用场景或需求进行灵活地布置而不限于附图所示出的架构。进一步,还应当理解,本发明示例的执行操作的任何模块、单元、组件、服务器、计算机或设备可以包括或以其他方式访问计算机可读介质,诸如存储介质、计算机存储介质或数据存储设备(可移除的)和/或不可移动的)例如磁盘、光盘或磁带。计算机存储介质可以包括以用于存储信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质,例如计算机可读指令、数据结构、程序模块或其他数据。基于此,本发明也公开了一种计算机可读存储介质,其上存储有用于运行恶意软件的计算机可读指令,该计算机可读指令被一个或多个处理器执行时,实现在前结合附图所描述的方法和操作。
虽然本说明书已经示出和描述了本发明的多个实施方式,但对于本领域技术人员显而易见的是,这样的实施方式是仅以示例的方式提供的。本领域技术人员在不偏离本发明思想和精神的情况下想到许多更改、改变和替代的方式。应当理解在实践本发明的过程中,可以采用本文所描述的本发明实施方式的各种替代方案。所附权利要求书旨在限定本发明的保护范围,并因此覆盖这些权利要求范围内的模块组成、等同或替代方案。
Claims (8)
1.一种用于运行恶意软件的方法,其特征在于,包括:
响应于对所述恶意软件的运行需求,启动目标沙箱,其中所述目标沙箱包括底层系统和构建于所述底层系统上的虚拟机系统,其中所述底层系统用于隔离所述恶意软件;
在所述目标沙箱的虚拟机系统中安装并运行所述恶意软件;
获取运行所述恶意软件所需的系统配置信息;
基于所述系统配置信息构建所述底层系统和所述虚拟机系统;
其中所述系统配置信息包括目标硬件体系结构和所述目标硬件体系结构所支持的目标操作系统,所述基于所述系统配置信息构建所述底层系统包括:
从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构;
获取所述第一硬件体系结构所支持且不同于所述目标操作系统的第一操作系统;以及
基于所述第一硬件体系结构和所述第一操作系统构建所述底层系统。
2.根据权利要求1所述的方法,其特征在于,其中从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构包括:
从预定的多个硬件体系结构中任意筛选出至少一个所述第一硬件体系结构。
3.根据权利要求1所述的方法,其特征在于,其中预定的多个硬件体系结构配置有优先级,其中从预定的多个硬件体系结构中筛选至少一个不同于所述目标硬件体系结构的第一硬件体系结构包括:
从预定的多个硬件体系机构中筛选出优先级大于阈值的至少一个所述第一硬件体系结构。
4.根据权利要求1所述的方法,其特征在于,其中基于所述系统配置信息构建所述虚拟机系统包括:
从预定的多个硬件体系结构中筛选与所述目标硬件体系结构相同的第二硬件体系结构;
获取所述第二硬件体系结构所支持且与所述目标操作系统相同的第二操作系统;以及
在所述底层系统上创建虚拟机,并将所述第二硬件体系结构和所述第二操作系统安装至所述虚拟机中,以得到所述虚拟机系统。
5.根据权利要求4所述的方法,其特征在于,还包括:
在创建所述底层系统和所述虚拟机系统过程中对其内存进行反向控制操作。
6.根据权利要求1至5中任一项所述的方法,其特征在于,还包括:
获取所述恶意软件在运行过程中的行为数据;以及
基于对所述行为数据的分析,完成对所述恶意软件的行为分析。
7.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其存储有用于运行恶意软件的计算机指令,当所述计算机指令由所述处理器运行时,使得所述电子设备执行根据权利要求1-6的任意一项所述的方法。
8.一种计算机程序产品,其特征在于,包括用于运行恶意软件的程序指令,当所述程序指令由处理器执行时,使得实现根据权利要求1-6的任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111274529.9A CN113935021B (zh) | 2021-10-29 | 2021-10-29 | 用于运行恶意软件的方法及其相关产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111274529.9A CN113935021B (zh) | 2021-10-29 | 2021-10-29 | 用于运行恶意软件的方法及其相关产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113935021A CN113935021A (zh) | 2022-01-14 |
| CN113935021B true CN113935021B (zh) | 2024-04-12 |
Family
ID=79284953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111274529.9A Active CN113935021B (zh) | 2021-10-29 | 2021-10-29 | 用于运行恶意软件的方法及其相关产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113935021B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118094536A (zh) * | 2024-01-08 | 2024-05-28 | 中金金融认证中心有限公司 | 恶意软件检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902903A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 基于动态沙箱环境的恶意代码分析方法及系统 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| CN110414220A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 沙箱内程序动态执行过程中的操作文件提取方法及装置 |
| CN111488571A (zh) * | 2015-03-31 | 2020-08-04 | 瞻博网络公司 | 配置用于恶意件测试的沙箱环境 |
-
2021
- 2021-10-29 CN CN202111274529.9A patent/CN113935021B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902903A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 基于动态沙箱环境的恶意代码分析方法及系统 |
| CN111488571A (zh) * | 2015-03-31 | 2020-08-04 | 瞻博网络公司 | 配置用于恶意件测试的沙箱环境 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| CN110414220A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 沙箱内程序动态执行过程中的操作文件提取方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113935021A (zh) | 2022-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5706036B2 (ja) | 複合仮想グラフィクスデバイス | |
| US12013939B2 (en) | Analysis system, analysis method, analysis device, and storage medium for analyzing operation of a program executed in an analysis environment | |
| JP6378758B2 (ja) | 仮想マシンにおけるマルウェア検出のためのプロセス評価 | |
| CN102339371B (zh) | 一种检测恶意程序的方法、装置及虚拟机 | |
| CA2915646C (en) | Page fault injection in virtual machines to cause mapping of swapped-out memory pages into (vm) virtualized memory | |
| EP3047419B1 (en) | Virtual secure mode for virtual machines | |
| US10877793B2 (en) | Extending the base address register by modifying the number of read-only bits associated with a device to be presented to a guest operating system | |
| US8707417B1 (en) | Driver domain as security monitor in virtualization environment | |
| US9703726B2 (en) | Systems and methods for dynamically protecting a stack from below the operating system | |
| US10102373B2 (en) | Method and apparatus for capturing operation in a container-based virtualization system | |
| US20180173555A1 (en) | Event Filtering for Virtual Machine Security Applications | |
| RU2514142C1 (ru) | Способ повышения эффективности работы аппаратного ускорения эмуляции приложений | |
| US10489185B2 (en) | Hypervisor-assisted approach for locating operating system data structures based on attribute matching | |
| CN105678160B (zh) | 用于提供对引导驱动程序的原始例程的访问的系统和方法 | |
| US20180267818A1 (en) | Hypervisor-assisted approach for locating operating system data structures based on notification data | |
| CN113935021B (zh) | 用于运行恶意软件的方法及其相关产品 | |
| US20150379265A1 (en) | Systems And Methods For Preventing Code Injection In Virtualized Environments | |
| CN110597597A (zh) | 硬件的虚拟化方法、系统、装置及存储介质 | |
| US20160246629A1 (en) | Gpu based virtual system device identification | |
| US20040193394A1 (en) | Method for CPU simulation using virtual machine extensions | |
| CN103617069B (zh) | 恶意程序检测方法和虚拟机 | |
| CN103617391B (zh) | 一种检测恶意程序的方法、装置及虚拟机 | |
| CN114968487A (zh) | 一种在虚拟机中进行fpga动态部分可重构配置方法和系统、存储介质、电子设备 | |
| Mhatre et al. | On the simulation of processors enhanced for security in virtualization | |
| Xiong et al. | Interrupt Stack Protection for Linux Kernel in Hardware Virtualization Layer of ARM64 Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |