病毒检测方法、装置、存储介质及计算机设备制造方法及图纸

本发明专利技术公开了一种本实施例提供的病毒检测方法、装置、存储介质及计算机设备，将待检测文件导入虚拟机运行期间，在待检测文件产生联网行为时，本实施例将拦截该联网行为相应的网络请求，使得该网络请求无法发送至真实服务器，而是直接获取预存的相应模拟响应数据，避免了待检测文件中的恶意软件，通过网络攻击宿主机及其外网的其他设备，同时，也保证了待检测文件能够运行完毕，得到待检测文件能够产生的所有联网行为的信息，进而提高待检测文件病毒检测的准确性及检测效率。

【技术实现步骤摘要】
病毒检测方法、装置、存储介质及计算机设备
本专利技术涉及样本检测领域，尤其涉及一种病毒检测方法、装置、存储介质及计算机设备。
技术介绍
近年来，随着计算机网络技术的快速发展，恶意软件的种类越来越多，依赖于反病毒软件的病毒库更新的传统病毒检测方式，已经无法满足病毒检测需求，现有的计算机系统在进行恶意软件的分析时，往往是利用虚拟机技术实现，以提高病毒分析过程的安全性及硬件资源的节约性。具体的，由病毒收集工具通过网络将待检测文件(如各种已知或未知病毒程序代码)上传到服务器(记为宿主机)，由宿主机中的虚拟机运行待检测文件，得到待检测文件的病毒检测结果，不需要计算机系统运行待检测文件，极大降低了计算机系统受恶意软件的危害，节约了计算机系统的硬件资源。然而，在虚拟机运行待检测文件过程中，通常是通过NAT(NetworkAddressTranslation，网络地址转换)方式与宿主机联网，并通过宿主机网络访问外网，若待检测文件中存在恶意软件，如图1所示的场景流程示意图，该恶意软件很容易通过网络攻击宿主机，甚至会通过宿主机的网络，访问外网以攻击其他服务器或终端，造成很大安全隐患；而且，在联网失败时，往往会导致待检测文件中断或崩溃，使得本次病毒检测失败，降低了待检测文件的病毒检测可靠性和效率。
技术实现思路
有鉴于此，本专利技术提供了一种病毒检测方法、装置、存储介质及计算机设备，通过拦截待检测文件产生联网行为时发起的网络请求，无需访问真实服务器，直接获取模拟响应数据，保证待检测文件运行完毕，提高了病毒检测可靠性及效率，且避免了恶意软件通过网络攻击宿主机及其外网的其他设备。为实现上述目的，本专利技术提供了一种病毒检测方法，应用于宿主机的虚拟机，所述方法包括以下步骤：获取终端的待检测文件；运行所述待检测文件；在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；获取所述联网行为相应的信息；将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。本专利技术还提供了一种病毒检测装置，应用于宿主机的虚拟机，所述装置包括：待检测文件获取模块，用于获取终端的待检测文件；运行模块，用于运行所述待检测文件；网络请求拦截模块，用于在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；模拟响应数据获取模块，用于获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；联网行为信息获取模块，用于获取所述联网行为相应的信息；联网行为信息发送模块，用于将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。本专利技术还提供了一种可读的存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如上所述的病毒检测方法的各个步骤。本专利技术还提供了一种计算机设备，所述计算机设备包括：通信接口；存储器，用于存储实现如上所述的病毒检测方法的计算机程序；处理器，用于加载并执行实现以下步骤的计算机程序：获取待检测文件；运行所述待检测文件；在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；获取所述联网行为相应的信息，将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。经由上述的技术方案可知，本实施例提供的病毒检测方法、装置、存储介质及计算机设备，将待检测文件导入虚拟机运行期间，在待检测文件产生联网行为时，本实施例将拦截该联网行为相应的网络请求，使得该网络请求无法发送至真实服务器，而是直接获取预存的相应模拟响应数据，避免了待检测文件中的恶意软件，通过网络攻击宿主机及其外网的其他设备，同时，也保证了待检测文件能够运行完毕，得到待检测文件能够产生的所有联网行为的信息，进而提高待检测文件病毒检测的准确性及检测效率。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1示出了一种实现现有的病毒检测方法的系统结构示意图；图2示出了本实施例公开的一种病毒检测方法的流程示意图；图3示出了本实施例公开的一种联网行为信息展示界面示意图；图4示出了本实施例公开的一种病毒检测方法的应用流程示意图；图5示出了本实施例公开的另一种病毒检测方法的流程示意图；图6示出了本实施例公开的实现病毒检测方法的一种结构示意图；图7示出了本实施例公开的另一种病毒检测方法的流程示意图；图8示出了本实施例公开的又一种病毒检测方法的流程示意图；图9示出了本实施例公开的对待检测文件发起的Http/Https请求的处理流程示意图；图10示出了本实施例公开的对待检测文件产生的邮件发送行为的处理流程示意图；图11示出了本实施例公开的另一种对待检测文件产生的邮件发送行为的处理流程示意图；图12示出了一种现有文件下载流程示意图；图13示出了本实施例公开的又一种病毒检测方法的流程示意图；图14示出了本实施例公开的一种病毒检测装置的结构示意图；图15示出了本实施例公开的另一种病毒检测装置的结构示意图；图16示出了本实施例公开的另一种病毒检测装置的结构示意图；图17示出了本实施例公开的又一种病毒检测装置的结构示意图；图18示出了本实施例公开的一种计算机设备的硬件结构图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。参照图2，为本专利技术实施例公开的一种病毒检测方法的流程图，该方法可以应用于宿主机的虚拟机，具体可以包括以下步骤：步骤S101，获取终端的待检测文件；在实际应用中，在终端运行的系统(例如安卓系统)出现异常，或者需要定期对系统进行病毒检测时，系统在用户的授权或指令下获取系统运行程序、函数、文件等作为待检测文件，进行恶意程序的排查。其中，终端可以是手机、电脑等计算机设备。用户可以通过启动浏览器，输入网址的方式访问虚拟机，从而使终端的待检测文件导入虚拟机，也可以通过虚拟机所在局域网的其他设备，将待检测文件导入虚拟机等等。若将实现病毒检测的虚拟机可以作为安全检测平台，用户登录该安全检测平台，进入待检测文件上传界面后，可以手动上传待检测文件，或手动实现该案件检测平台的检测接口与终端被检测接口的连接，从而将终端的待检测文件导入虚拟机，但并不局限于本实施例描述的将待检测文件导入虚拟机的方式。其中，对于终端的待检测文件，可以是先传送至宿主机，再由宿主机导入相应的虚拟机，具体实现过程本实施例不再详述。在实际应用中，执行步骤S101之前，本实施例可以先启动虚拟机，具体可以通过向宿主机发送指令的方式，启动该宿主机安装的虚拟机，也可以在用户登录宿主机时，触发其虚拟机启动等等，本实施例本文档来自技高网...

【技术保护点】
1.一种病毒检测方法，其特征在于，应用于宿主机的虚拟机，所述方法包括以下步骤：获取终端的待检测文件；运行所述待检测文件；在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；获取所述联网行为相应的信息；将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。

【技术特征摘要】
1.一种病毒检测方法，其特征在于，应用于宿主机的虚拟机，所述方法包括以下步骤：获取终端的待检测文件；运行所述待检测文件；在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，以使得所述待检测文件继续运行；获取所述联网行为相应的信息；将所述信息发送至所述宿主机，由所述宿主机对所述信息进行病毒检测，并将得到的病毒检测结果发送至所述终端进行展示。2.根据权利要求1所述的方法，其特征在于，在运行所述待检测文件之前，所述方法还包括：响应禁网指令，切断所述虚拟机的网络连接。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取待检测文件运行的目标进程；向所述目标进程注入拦截程序，所述拦截程序用于拦截所述目标进程产生联网行为时调用的特定函数，并将所述特定函数重新定向为相应模拟响应数据。4.根据权利要求3所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求；获取与所述网络请求对应的模拟响应数据，包括：监听到所述目标进程调用特定函数；通过所述拦截程序，拦截所述特定函数；获取重新定向的模拟响应数据，并将所述模拟响应数据反馈至所述目标进程。5.根据权利要求1所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，包括：监听到所述待检测文件调用应用程序编程接口；拦截所述待检测文件通过所述应用程序编程接口调用的特定函数。6.根据权利要求1所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，包括：在待检测文件运行期间进行统一资源定位符URL地址访问，发起相应的域名解析请求；拦截发起所述域名解析请求调用的地址获取函数；获取所述地址获取函数对应的模拟IP地址。7.根据权利要求1所述的方法，其特征在于，在所述待检测文件运行期间产生联网行为时，拦截所述联网行为相应的网络请求，获取与所述网络请求对应的模拟响应数据，包括：拦截所述待检测文件调用的安全验证函数；获取针对所述安全验证函数预设的验证通过数据；截获所述待检测文件调用的数据传输函数；对待发送数据进行解析；在解析结果表明所述待发送数据是满足预设协议要求的数据，获取并执行所述预设协议的数据包。8.根据权利要求7所述的方法，其特征在于，截获所述待检测文件调用的数据传输函数，包括：截获所述待检测文件调用的创建链路函数以及数据发送函数；获取待发送数据，并创建文件描述符与所述待发送数据的对应关系；所述对对待发送数据进行解析，包括：截获所述待检测文件调用的数据接收函数；根据当前文件描述符查询创建的对应关系，得到与所述当前文件描述符对应的当前待发送数据；对所述当前待发送数据进行解析；所述待发送数据是满足预设协议要求的数据具体为：所...

【专利技术属性】
技术研发人员：王晨，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44