WO2013037261A1 - 一种检测恶意程序的方法、装置及虚拟机 - Google Patents

Abstract

公开了一种检测恶意程序的方法、装置和虚拟机。所述方法包括：设置虚拟内存（301）；读取主引导记录（MBR）并保存到所述虚拟内存（302）；模拟执行虚拟内存中主引导记录（MBR）中的每一条指令，并在执行每一条指令后检测所述虚拟内存是否被修改（303）；如果被修改，则发现恶意程序；否则，继续执行下一条指令直到主引导记录MBR的所有指令模拟执行完毕。本方案能够发现变形恶意程序。

Description

一种检测恶意程序的方法、 装置及虚拟机

技术领域

本发明涉及信息安全技术领域，特别涉及一种检测恶意程序的方 法、 装置及虚拟机。 背景技术

恶意程序通常是指未获得授权而非法在计算机系统中运行的程 序。 例如，计算机病毒就是一种运行在计算机系统中的恶意程序，可 对计算机系统的安全性造成威胁。

随着计算机和网络技术的发展， 出现了形式多样的计算机病毒。 其中， Rootkit是一种内核级的木马病毒，它是一种隐藏其他程序或进 程的软件，可能是一个或一个以上的软件组合，广义而言， Rootkit也 可视为一项技术。

在现代操作系统中，应用程序不能直接访问硬件，而是通过调用 操作系统提供的接口来使用硬件，而操作系统依赖内核空间来管理和 调度这些应用。 内核空间由四大部分组成，分别是：进程管理（负责 分配 CPU时间）、 文件访问（把设备调配成文件系统，并提供一个一 致的接口供上层程序调用）、 安全控制（负责强制规定各个进程的具 体的权限和单独的内存范围，避免各进程之间发生冲突）和内存管理 (负责进程运行时对内存资源的分配、 使用、 释放和回收）。 内核是 一种数据结构， Rootkit技术通过修改内核的数据结构来隐藏其他程序 的进程、 文件、 网络通讯和其它相关信息（比如注册表和可能因修改 而产生的系统日志等）。

Bootkit是更高级的 Rootkit , Bootkit通过感染 MBR(Master Boot Record ,磁盘主引导记录）的方式，实现绕过内核检査和启动隐身，即 Bootkit 是一种基于 MBR 的 Rootkit。 可以认为，所有在开机时比 Windows内核更早加载、实现内核劫持的技术，都可以称之为 Bootkit , 例如后来的 BIOS Rootkit 、 VBootkit、 SMM Rootkit等。

目前常规安全软件对于各种恶意程序（如病毒）的査杀，主要基 于传统特征码的检测技术。 这是因为通常情况下各种恶意程序在运行 过程中都会运行一些特有的指令代码（即特征码） ，通过査找到这些 的特征码，就可以检测出恶意程序。 例如对于 Bootkit的检测，由于这 种 MBR病毒的特殊性，其一般会驻留在高端内存（即内存中的高地址 位） ，因此通过搜索高端内存中是否有特征码，就可以检测出 Bootkit。

但是，越来越多的病毒出现了变形，有些通过花指令，有些通过 变形代码，甚至现在大多病毒都是事先加密，运行时动态解密后再运 行。 所以，对于这些变形的病毒而言，在达到同样效果的情况下，指 令是随机变化的，按照上述方法检测时找不到特征码，因此可绕过常 规安全软件的査杀。

综上所述， 目前需要解决的问题是：如何检测出变形的恶意程序， 尤其是基于 MBR的 Bootkit或类似于 Bootkit的病毒。 发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至 少部分地解决或者减缓上述问题的检测恶意程序的方法、 装置及虚拟 机。

根据本发明的一个方面，提供了一种检测恶意程序的方法，包括： 设置虚拟内存；

读取主引导记录 MBR并保存到所述虚拟内存；

模拟执行虚拟内存中主引导记录 MBR中的每一条指令，并在执行 完每一条指令后检测所述虚拟内存是否被修改，如果被修改，则发现 恶意程序；否则，继续模拟执行下一条指令，直到主引导记录 MBR的 所有指令模拟执行完毕。

根据本发明的另一个方面，提供了一种检测恶意程序的装置，包 括：

第一设置模块，用于设置虚拟内存；

读取及保存模块，用于读取主引导记录 MBR并保存到所述虚拟内 存；

模拟执行模块，用于模拟执行虚拟内存中主引导记录 MBR中的每 一条指令； 检测模块，用于在所述模拟执行模块执行完每一条指令后检测所 述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则，触发 所述模拟执行模块继续模拟执行下一条指令，直到主引导记录 MBR的 所有指令模拟执行完毕。

依据本发明的另一方面，提供了一种检测恶意程序的虚拟机，包 括：

虚拟 CPU初始化模块，用于初始化虚拟 CPU；

虚拟内存初始化模块，用于初始化虚拟内存，并在初始化的过程 中读取主引导记录 MBR然后保存到所述虚拟内存；

虚拟内存，用于存储主引导记录 MBR；

虚拟 CPU ,用于模拟执行虚拟内存中主引导记录 MBR中的每一条 指令，并在执行完每一条指令后检测所述虚拟内存是否被修改，如果 被修改，则发现恶意程序；否则，继续模拟执行下一条指令，直到主 引导记录 MBR的所有指令模拟执行完毕。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算 机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服 务器执行根据权利要求 1-6中的任一个所述的检测恶意程序的方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存 储了如权利要求 15所述的计算机程序。

本发明的有益效果为：

首先，本申请在开机后并在加载操作系统文件之前，通过模拟的 方式先将读取的主引导记录 MBR存到所设置的虚拟内存中，然后模拟 实现主引导记录 MBR的加载执行过程，并且每当模拟执行完 MBR中 的一条指令后，检测所述虚拟内存是否被修改，如果被修改，则发现 恶意程序；否则，继续模拟执行下一条指令，直到主引导记录 MBR的 所有指令模拟执行完毕。

由于实际情况中，基于 MBR的 Bootkit或类似于 Bootkit的病毒等 恶意程序，即使进行了变形，也必须要驻留系统的高端内存，所以必 然会修改高端内存， 因此上述的检测方法通过设置虚拟内存来模拟高 端内存，并通过检测虚拟内存是否被修改，就可以发现可疑的恶意程 序，从而无视任何特征码变换技术，只要实际运行中发生了这个行为 即可被检测出来。 所述的检测方法在很大程度上可以检测出过去、 现 在和未来的基于 MBR的 Bootkit。

其次，本申请还实现了一种虚拟机，所述虚拟机通过实现虚拟 CPU, 虚拟内存、 反汇编引擎、 虚拟硬盘以及其他相关部分，如虚拟 BIOS ( Basic Input Output System ,基本输入输出系统 )、 虚拟 I/O设 备等，可以模拟实现主引导记录 MBR的加载执行过程，并检测出是否 存在 Bootkit等恶意程序。 而且，所述虚拟机既可以作为单独的工具， 也可以作为动态库被其他程序调用，使用灵活。 同时，考虑到性能和 效率等实用性方面，整个虚拟机的实现控制在几百 K字节内，是一种 轻量级的虚拟机。

当然，实施本申请的任一产品不一定需要同时达到以上所述的所 有优点。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发 明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明 的上述和其它目的、 特征和优点能够更明显易懂，以下特举本发明的 具体实施方式。 附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处 对于本领域普通技术人员将变得清楚明了。 附图仅用于示出优选实施 方式的目的，而并不认为是对本发明的限制。 而且在整个附图中，用 相同的参考符号表示相同的部件。 在附图中：

图 1是现有技术中鬼影 3中的代码示意图；

图 2是现有技术中鬼影的一个变种代码的示意图；

图 3 示意性地示出了根据本发明一个实施例的检测恶意程序的方 法流程图；

图 4示意性地示出了根据本发明一个实施例的检测恶意程序的装 置结构图；

图 5示意性地示出了根据本发明一个实施例的虚拟机的结构图； 图 6示意性地示出了根据本发明一个实施例的正常的 MBR运行后 的显示结果示意图；

图 7 示意性地示出了根据本发明一个实施例的中了鬼影 1 后的 MBR运行结果示意图；

图 8是示意性地示出了根据本发明一个实施例的中了鬼影 3后的 MBR运行结果示意图；

图 9是示意性地示出了根据本发明一个实施例的中了顶级 Bootkit 后的 MBR运行结果示意图；

图 10 示意性地示出了用于执行根据本发明的方法的服务器的框 图；以及

图 11示意性地示出了用于保持或者携带实现根据本发明的方法的 程序代码的存储单元。 具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

对于恶意程序的检测，尤其是对基于 MBR 的 Bootkit或类似于

Bootkit的病毒等恶意程序的检测，本申请提出一种检测方法，无论这 些恶意程序有何种变形，都可以被检测出来。

下面首先介绍本申请提出的思路，如下：

正常情况下，计算机系统的开机过程是：

开机通电自检 --〉主板 BIOS根据用户指定的启动顺序从软盘、 硬 盘或光驱进行启动 --〉系统 BIOS将主引导记录 MBR读入内存 --〉控制 权交给主引导程序 --〉主引导程序检査分区表状态，寻找活动的分区 --〉 主引导程序将控制权交给活动分区的引导记录， 由引导记录加载操作 系统启动文件。

由上可知， MBR是电脑通电开机，主板自检完成后，被第一个读 取到的位置，位于硬盘的 0磁头 0磁道 1扇区，它的大小是 512字节， 不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来 读取。

DOS时代泛滥成灾的引导区病毒多寄生于 MBR中。以鬼影病毒为 例，该病毒寄生在 MBR中，病毒释放的驱动程序，能够破坏大多数安 全工具和系统辅助工具。 当系统再次重启时，该病毒会早于操作系统 内核先行加载。 而当病毒成功运行后，在进程中、 系统启动加载项里 找不到任何异常。 即使格式化重装系统，也无法将该病毒清除。

鬼影病毒驻留在系统的高端内存中， 因此现有技术通过搜索高端 内存的特征码来定位其是否是病毒。 例如，鬼影 3中的代码如图 1所 示，通过搜索特征码 0X0413来检测是否修改了高端内存来驻留病毒。 而对于变形的鬼影代码，参照图 2所示的一个鬼影变种代码，这段代 码可以达到和图 1一样的修改高端内存的效果，但却通过指令的变形， 找不到特征的代码，从而饶过常规安全软件的査杀。

仔细分析图 1和图 2所示的鬼影病毒，可以发现，无论其是否变 形，只要运行就能够达到修改高端内存的效果。 因此，通过检测高端 内存就可以检测出各种形式的鬼影病毒。 本申请正是利用这一点，通 过设置虚拟内存来模拟高端内存，并通过模拟 MBR的加载执行过程来 检测所述虚拟内存，从而在恶意程序真正运行之前就査找出各种基于 MBR的 Bootkit (如鬼影病毒）或类似于 Bootkit的病毒等恶意程序。

下面通过实施例对本申请所述方法的实现流程进行详细说明。

参照图 3 ,是依据本发明的一个实施例的检测恶意程序的方法的流 程图。

参照上面的计算机系统开机过程，在系统开机后并且在加载操作 系统文件之前，执行以下步骤：

步骤 301 ,设置虚拟内存；

即分配一块内存区域作为虚拟内存使用，所述虚拟内存是对实际 的系统高端内存的模拟。

步骤 302 ,读取主引导记录 MBR并保存到所述虚拟内存； 真实的开机过程中，开机通电自检后，系统 BIOS 将主引导记录

MBR读入真实的高端内存；而在本实施例中，是将 MBR读入所述虚 拟内存中。

步骤 303 ,模拟执行虚拟内存中主引导记录 MBR中的每一条指令， 并在执行完每一条指令后检测所述虚拟内存是否被修改； 如果被修改，则发现恶意程序，退出检测过程，并可以进行提示； 否则，如果未被修改，则继续模拟执行下一条指令，直到主引导记录

MBR的所有指令模拟执行完毕，退出检测过程。 若 MBR的所有指令 都模拟执行完毕也没有发现恶意程序，则将控制权交给系统中真实的 活动分区的引导记录， 由引导记录加载操作系统启动文件。

具体地，可以通过检测所述虚拟内存的大小是否改变来判断是否 被修改，如果改变，则所述虚拟内存被修改；否则，未被修改。 目前 的实际应用中，由于 Bootkit会修改内存以使内存变小，因此在模拟执 行每一条指令之后，可以通过判断虚拟内存是否变小来进行检测。 当 然，本实施例也不排除其他判断内存是否被修改的方法。

此外，在本发明的一个实施例中，可以通过虚拟 CPU来完成上述 步骤 303。 具体地，在步骤 301设置虚拟内存之前，先设置虚拟 CPU , 然后在步骤 303由所述虚拟 CPU模拟指令的执行，并对虚拟内存进行 检测。

基于上述图 3所示实施例的内容：

进一步可选地，在设置了虚拟内存之后，还可以设置虚拟硬盘， 并将虚拟内存中的 MBR拷贝到所述虚拟硬盘中，当模拟执行 MBR中 的指令时，直接从所述虚拟硬盘中进行读取。

进一步可选地，为了整个模拟过程的完整性，还可以设置虚拟 BIOS, 虚拟 I/O设备等其他相关部分，用于所述检测过程。

进一步可选地，为了便于相关人员査看整个模拟过程的执行，还 可以对主引导记录 MBR中的每一条指令进行反汇编，并输出显示。

综上所述，在实际情况中，基于 MBR的 Bootkit或类似于 Bootkit 的病毒等恶意程序，即使进行了变形，也必须要驻留在系统的高端内 存中，所以必然会修改高端内存， 因此上述的检测方法通过设置虚拟 内存来模拟高端内存，并通过检测虚拟内存是否被修改，就可以发现 可疑的恶意程序，从而无视任何特征码变换技术，只要实际运行中发 生了这个行为即可被检测出来。 所述的检测方法在很大程度上可以检 测出过去、 现在和未来的基于 MBR的 Bootkit。 需要说明的是，对于前述的方法实施例，为了简单描述，故将其 都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请 并不受所描述的动作顺序的限制， 因为依据本申请，某些步骤可以采 用其他顺序或者同时进行。 其次，本领域技术人员也应该知悉，说明 书中所描述的实施例均是示例性的，所涉及的动作并不一定是本申请 所必须的。

基于上述检测方法的实施例，本申请还提供了相应的装置实施例。 参照图 4 ,是依据本发明的一个实施例的检测恶意程序的装置的结 构图。

所述检测装置可以包括：

第一设置模块 41 ,用于设置虚拟内存；

读取及保存模块 42 ,用于读取主引导记录 MBR并保存到所述虚 拟内存；

模拟执行模块 43 ,用于模拟执行虚拟内存中主引导记录 MBR中 的每一条指令；

检测模块 44 ,用于在所述模拟执行模块 43执行完每一条指令后检 测所述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则， 触发所述模拟执行模块 43继续模拟执行下一条指令，直到主引导记录 MBR的所有指令模拟执行完毕。

优选的，所述检测模块 44可通过检测所述虚拟内存的大小是否改 变来判断是否被修改，如果改变，则所述虚拟内存被修改；否则，未 被修改。

进一步可选地，所述检测装置还可以包括：

第二设置模块 45 ,用于设置虚拟 CPU ,所述虚拟 CPU可触发所述 模拟执行模块 43和检测模块 44的执行。

进一步可选地，所述检测装置还可以包括：

第三设置模块 46 ,用于设置虚拟硬盘，并将虚拟内存中的主引导 记录 MBR拷贝到所述虚拟硬盘；

此时，所述模拟执行模块 43 从所述虚拟硬盘读取主引导记录 MBR ,并模拟执行主引导记录 MBR中的每一条指令。

进一步可选地，所述检测装置还可以包括：

反汇编引擎 47 ,用于对主引导记录 MBR中的每一条指令进行反 汇编，并输出显示。

所述检测装置既可以作为单独的工具，也可以作为动态库被其他 程序调用，使用灵活。

对于上述检测装置实施例而言， 由于其与方法实施例基本相似， 所以描述的比较简单，相关之处参见上述方法实施例的部分说明即可。

基于上述内容，为了使本领域技术人员更加了解本申请的实现， 本申请还提供了另一更具体的实施例， 内容如下。

依据本发明的一个实施例，提供了一种虚拟机，所述虚拟机通过 实现虚拟 CPU、 虚拟内存、 反汇编引擎、 虚拟硬盘以及其他相关部分， 如虚拟 BIOS、 虚拟 I/O设备等，可以模拟实现主引导记录 MBR的加 载执行过程，并检测出是否存在 Bootkit等恶意程序。

参照图 5 ,是依据本发明一个实施例的虚拟机的结构图。

具体地，所述虚拟机可以包括：

虚拟 CPU初始化模块 51 ,用于初始化虚拟 CPU 54；

虚拟内存初始化模块 52 ,用于初始化虚拟内存 53 ,并在初始化的 过程中读取主引导记录 MBR然后保存到所述虚拟内存 53；

虚拟内存 53 ,用于存储主引导记录 MBR；

虚拟 CPU 54 ,用于模拟执行虚拟内存 53中主引导记录 MBR中的 每一条指令，并在执行完每一条指令后检测所述虚拟内存是否被修改， 如果被修改，则发现恶意程序；否则，继续模拟执行下一条指令，直 到主引导记录 MBR的所有指令模拟执行完毕。

进一步可选地，所述虚拟机还可以包括：

虚拟硬盘初始化模块 55 ,用于初始化虚拟硬盘 56 ,并在初始化的 过程中将虚拟内存 53中的主引导记录 MBR拷贝到所述虚拟硬盘 56 , 所述虚拟 CPU 54从虚拟硬盘 56读取主引导记录 MBR并模拟执行； 虚拟硬盘 56 ,用于存储拷贝的主引导记录 MBR。 进一步可选地，所述虚拟机还可以包括：

反汇编引擎 57 ,用于对主引导记录 MBR中的每一条指令进行反 汇编，并输出显示。

由于实际应用中 Bootkit病毒多运行于计算机系统的实模式下，因 此下面将以实模式下的虚拟机为例进行详细说明。 当然，所述虚拟机 可应用于保护模式或其他计算机模式下，本实施例不受此限定。

在实模式下，上述虚拟 CPU可模拟实现所有实模式下的指令，主 要为 8086指令 ,还可以包括 386以后的指令。此外，随着木马等 Bootkit 技术的发展，如果木马调用了特殊的指令，所述虚拟 CPU还可以进行 相应特殊指令的模拟。 例如，鬼影病毒为了防止被调试采用了 586以 后才支持的指令 RDTSC ,则虚拟 CPU还会模拟所述 RDTSC指令。

在开机通电自检后，系统 BIOS读取系统内置的 MBR ,然后传给 所述虚拟机，同时虚拟机进行初始化。 虚拟机的执行步骤如下：

步骤 1 ,初始化虚拟 CPU；

首先进行虚拟 CPU初始化，虚拟 CPU为单核的 80x86 ,支持的寄 存器同真实的机器。

此外，支持指令的初始化，虚拟机内部有个指令支持列表，该列 表可根据实际需要，不断增加需要支持的指令，初始化的时候会填充 已经支持的指令列表。 然后，将虚拟机中的 CPU的指令指针指向虚拟 内存中的 BIOS指令开始执行处（即 MBR指令） 0xf000:0xfff0。

步骤 2 ,初始化虚拟内存；

可通过初始化 BIOS数据区，所述 BIOS数据区保存常规的虚拟内 存的大小，在实模式下可分配 640KB左右的内存空间作为虚拟内存使 用。 然后，将系统 BIOS读取的 MBR存入所述虚拟内存中。

步骤 3 ,初始化虚拟硬盘以及虚拟机的其他相关部分；

一般在 DOS下只使用 1MB的磁盘，所以通过分配 1MB 左右的内 存空间作为虚拟硬盘来模拟实际的硬盘。 相应的，还可通过访问所述 虚拟硬盘来模拟访问实际的硬盘。 然后，将虚拟内存中的 MBR拷贝到 所述虚拟磁盘的开始处。 此外，还会初始化虚拟机的其他相关部分，如虚拟 BIOS、虚拟 I/O 设备等。

步骤 4 ,运行虚拟 CPU；

与实际的执行过程类似，开始执行虚拟 CPU后，从 BIOS指令开 始执行处（即 MBR指令）开始执行。 每执行 MBR的一条指令，虚拟 CPU会进行指令译码，根据指令译码结果修改内部的寄存器和相关内 存，并执行相应的流程。 如果指令中包含病毒，则虚拟 CPU不仅会修 改内部的寄存器，还会修改相关的虚拟内存；如果不包含，则不会修 改相关的虚拟内存。

步骤 5 ,虚拟 CPU检测虚拟内存。

每执行一条指令后，虚拟 CPU会检测前面设置的 BIOS数据区保 存的虚拟内存大小，如果发现被改变了，就认为发现了可疑 MBR病毒， 然后退出虚拟机，并进行提示。 如果没有发现则继续执行，如果发现 执行到 CS=0,IP=0X7C00 的时候就检测是否执行到了操作系统引导 区，比如是否是 NTFS或 FAT的文件系统的引导区，如是的，则认为 执行 MBR结束，没有发现可疑的 MBR ,然后退出。

需要说明的是，上述步骤的先后顺序可根据实际需要进行调整， 本申请并不受所描述的动作顺序的限制， 因为依据本申请，某些步骤 可以采用其他顺序或者同时进行。

上述虚拟机既可以作为单独的工具，也可以作为动态库被其他程 序调用，使用灵活。 同时，考虑到性能和效率等实用性方面，整个虚 拟机的实现控制在几百 K字节内，是一种轻量级的虚拟机。

下面以鬼影病毒为例说明本申请的上述内容。

参照图 6 ,是根据本发明一个实施例的正常的 MBR运行后的显示 结果示意图；

参照图 7 ,是根据本发明一个实施例的中了鬼影 1后的 MBR运行 结果示意图；

参照图 8 ,是根据本发明一个实施例的中了鬼影 3后的 MBR运行 结果示意图； 参照图 9 ,是根据本发明一个实施例的中了顶级 Bootkit后的 MBR 运行结果示意图。

φ ,

MbrVmConsole为主程序；

MbrVM.ini为配置文件，用来指定 VM内存大小和指定虚拟硬盘 的文件；

Mbr.img为指定的虚拟硬盘文件；

BIOS下为虚拟机用到的虚拟 BIOS文件；

使用时候，将指定的 MBR DUMP文件 mbr.bin拷贝到虚拟机目录 下，运行 MbrVmconsole即可运行虚拟机进行检测。

mbrGood.bin为正常 MBR；

mbrguiyingl.bin 为鬼影 1 MBR；

mbrguiying3.bin 为鬼影 3 MBR；

mbrTdl.bin 为 TDL4 MBR；

运行时，将相应的文件改名为 mbr.bin 即可进行相应的检测。 综上所述，随着现在杀毒软件技术的日益成熟，木马等病毒生存 的空间越来越狭小，传统的木马技术， 已经很难生存和发展了。 但 Bootkit技术的出现，给病毒一个很大的生存发展空间，使其可以做到 无文件、 无进程、 无注册表修改等任何杀软能检测到的东西，只需要 在 MBR里写入加载代码，就可以加载起一个完整的病毒执行体系。 而 且即使格式化重装，也照样能复活。 所以基于本申请所实现的方法和 装置，在以后检测该方面的木马等病毒中起到决定性的作用，而这正 是目前几乎所有杀毒软件的盲点。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多 个处理器上运行的软件模块实现，或者以它们的组合实现。 本领域的 技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器 ( DSP )来实现根据本发明实施例的检测恶意程序的装置和虚拟机中的 一些或者全部部件的一些或者全部功能。 本发明还可以实现为用于执 行这里所描述的方法的一部分或者全部的设备或者装置程序（例如， 计算机程序和计算机程序产品）。 这样的实现本发明的程序可以存储 在计算机可读介质上，或者可以具有一个或者多个信号的形式。 这样 的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者 以任何其他形式提供。

例如，图 10示出了可以实现根据本发明的检测恶意程序的方法的 服务器，例如应用服务器。 该服务器传统上包括处理器 1010和以存储 器 1020形式的计算机程序产品或者计算机可读介质。 存储器 1020可 以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM、 硬盘或者 ROM之类的电子存储器。 存储器 1020具有用于执行上述方 法中的任何方法步骤的程序代码 1031的存储空间 1030。例如，用于程 序代码的存储空间 1030可以包括分别用于实现上面的方法中的各种步 骤的各个程序代码 1031。 这些程序代码可以从一个或者多个计算机程 序产品中读出或者写入到这一个或者多个计算机程序产品中。 这些计 算机程序产品包括诸如硬盘，紧致盘（ CD )、 存储卡或者软盘之类的 程序代码载体。 这样的计算机程序产品通常为如参考图 11所述的便携 式或者固定存储单元。 该存储单元可以具有与图 10的服务器中的存储 器 1020类似布置的存储段、 存储空间等。 程序代码可以例如以适当形 式进行压缩。 通常，存储单元包括计算机可读代码 103 Γ ,即可以由例 如诸如 1010之类的处理器读取的代码，这些代码当由服务器运行时， 导致该服务器执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例" 、 "实施例" 或者 "一个或者多个 实施例" 意味着，结合实施例描述的特定特征、 结构或者特性包括在 本发明的至少一个实施例中。 此外，请注意，这里 "在一个实施例中" 的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。 然而，能够理 解，本发明的实施例可以在没有这些具体细节的情况下被实践。 在一 些实例中，并未详细示出公知的方法、 结构和技术，以便不模糊对本 说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行 限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可 设计出替换实施例。 在权利要求中，不应将位于括号之间的任何参考 符号构造成对权利要求的限制。 单词 "包含" 不排除存在未列在权利 要求中的元件或步骤。 位于元件之前的单词 "一" 或 "一个" 不排除 存在多个这样的元件。 本发明可以借助于包括有若干不同元件的硬件 以及借助于适当编程的计算机来实现。 在列举了若干装置的单元权利 要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。 单词第一、 第二、 以及第三等的使用不表示任何顺序。 可将这些单词 解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和 教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择 的。 因此，在不偏离所附权利要求书的范围和精神的情况下，对于本 技术领域的普通技术人员来说许多修改和变更都是显而易见的。 对于 本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本 发明的范围由所附权利要求书限定。

Claims

杈 利 要 求

1、 一种检测恶意程序的方法，包括：

设置虚拟内存；

读取主引导记录 MBR并保存到所述虚拟内存；

模拟执行虚拟内存中主引导记录 MBR中的每一条指令，并在执行 完每一条指令后检测所述虚拟内存是否被修改，如果被修改，则发现 恶意程序；否则，继续模拟执行下一条指令，直到主引导记录 MBR的 所有指令模拟执行完毕。

2、 根据权利要求 1所述的方法，其中，所述检测所述虚拟内存是 否被修改，包括：

检测所述虚拟内存的大小是否改变，如果改变，则所述虚拟内存 被修改；否则，未被修改。

3、 根据权利要求 1或 2所述的方法，其中，所述设置虚拟内存之 前 ,还包括：

设置虚拟 CPU；

则所述模拟执行虚拟内存中主引导记录 MBR中的每一条指令，包 括：

由所述虚拟 CPU模拟执行虚拟内存中主引导记录 MBR中的每一 条指令。

4、 根据权利要求 3所述的方法，其中，

所述设置虚拟 CPU包括：初始化虚拟 CPU；

所述设置虚拟内存包括：初始化 BIOS数据区，所述 BIOS数据区 保存虚拟内存的大小。

5、 根据权利要求 1或 2所述的方法，其中，

所述模拟执行虚拟内存中主引导记录 MBR中的每一条指令之前， 还包括：设置虚拟硬盘；

则所述模拟执行虚拟内存中主引导记录 MBR 中的每一条指令包 括：

将虚拟内存中的主引导记录 MBR拷贝到所述虚拟硬盘；

从所述虚拟硬盘读取主引导记录 MBR ,并模拟执行主引导记录 MBR中的每一条指令。

6、 根据权利要求 1或 2所述的方法，其中，还包括： 对主引导记录 MBR中的每一条指令进行反汇编，并输出显示。

7、 一种检测恶意程序的装置，包括：

第一设置模块，用于设置虚拟内存；

读取及保存模块，用于读取主引导记录 MBR并保存到所述虚拟内 存；

模拟执行模块，用于模拟执行虚拟内存中主引导记录 MBR中的每 一条指令；

检测模块，用于在所述模拟执行模块执行完每一条指令后检测所 述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则，触发 所述模拟执行模块继续模拟执行下一条指令，直到主引导记录 MBR的 所有指令模拟执行完毕。

8、 根据权利要求 7所述的装置，其中：

所述检测模块通过检测所述虚拟内存的大小是否改变来判断是否 被修改，如果改变，则所述虚拟内存被修改；否则，未被修改。

9、 根据权利要求 7或 8所述的装置，其中，还包括：

第二设置模块，用于设置虚拟 CPU ,所述虚拟 CPU触发所述模拟 执行模块和检测模块的执行。

10、 根据权利要求 7或 8所述的装置，其中，还包括：

第三设置模块，用于设置虚拟硬盘，并将虚拟内存中的主引导记 录 MBR拷贝到所述虚拟硬盘；

则所述模拟执行模块从所述虚拟硬盘读取主引导记录 MBR ,并模 拟执行主引导记录 MBR中的每一条指令。

11、 根据权利要求或 8所述的装置，其中，还包括：

反汇编引擎，用于对主引导记录 MBR 中的每一条指令进行反汇 编，并输出显示。

12、 一种检测恶意程序的虚拟机，包括：

虚拟 CPU初始化模块，用于初始化虚拟 CPU；

虚拟内存初始化模块，用于初始化虚拟内存，并在初始化的过程 中读取主引导记录 MBR然后保存到所述虚拟内存；

虚拟内存，用于存储主引导记录 MBR；

虚拟 CPU ,用于模拟执行虚拟内存中主引导记录 MBR中的每一条 指令，并在执行完每一条指令后检测所述虚拟内存是否被修改，如果 被修改，则发现恶意程序；否则，继续模拟执行下一条指令，直到主 引导记录 MBR的所有指令模拟执行完毕。

13、 根据权利要求 12所述的虚拟机，其中，还包括：

虚拟硬盘初始化模块，用于初始化虚拟硬盘，并在初始化的过程 中将虚拟内存中的主引导记录 MBR拷贝到所述虚拟硬盘，所述虚拟 CPU从虚拟硬盘读取主引导记录 MBR并模拟执行；

虚拟硬盘，用于存储拷贝的主引导记录 MBR。

14、 根据权利要求 12或 13所述的虚拟机，其中，还包括： 反汇编引擎，用于对主引导记录 MBR 中的每一条指令进行反汇 编，并输出显示。

15、 一种计算机程序，包括计算机可读代码，当所述计算机可读 代码在服务器上运行时 ,导致所述服务器执行根据权利要求 10-18中的 任一项所述的网站扫描方法。

16、 一种计算机可读介质，其中存储了如权利要求 19所述的计算 机程序。