虚拟机检测的对抗方法、装置及计算机可读存储介质制造方法及图纸

本申请公开了一种虚拟机检测的对抗方法、装置及计算机可读存储介质，属于互联网技术领域。所述方法包括：接收指示调用目标函数的远程过程调用RPC操作请求；对目标函数执行挂钩操作，以获取RPC操作请求携带的操作参数；当操作参数指示的RPC操作请求的类型为查询请求，操作参数指示的RPC操作请求所调用的接口为通过Windows管理规范WMI接口发起查询请求时所需调用的接口，且操作参数指示的RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，禁止执行RPC操作请求所请求的操作。本申请解决对恶意样本的检测准确性较低的问题。本申请用于对抗样本对虚拟机系统的检测。

Countermeasures, devices and computer readable storage media for virtual machine detection

【技术实现步骤摘要】
虚拟机检测的对抗方法、装置及计算机可读存储介质
本申请涉及互联网
，特别涉及一种虚拟机检测的对抗方法、装置及计算机可读存储介质。
技术介绍
随着互联网技术的发展，各种恶意样本也层出不穷，为保证操作系统的稳定运行，对恶意样本进行检测具有重要意义。其中，样本指可在操作系统中执行的文件或脚本等，恶意样本指影响操作系统正常运行的样本。相关技术中，通常在虚拟机系统中对样本进行检测，通过在该虚拟机系统中执行样本，并根据该样本执行过程后产生的行为，判断该样本是否为恶意样本。但是，恶意样本的开发者通常会在恶意样本中添加虚拟机系统检测代码，用于检测该恶意样本的运行环境，并在检测到其运行环境为虚拟机系统时，会执行假的行为动作或直接退出，以隐藏该恶意样本的真实行为，避免虚拟机系统对该恶意样本的成功识别。因此，该检测方法的检测准确性较低。
技术实现思路
本申请提供了一种虚拟机检测的对抗方法、装置及计算机可读存储介质，可以解决对恶意样本的检测准确性较低的问题。所述技术方案如下：一方面，提供了一种虚拟机检测的对抗方法，所述方法包括：接收指示调用目标函数的远程过程调用RPC操作请求；对所述目标函数执行挂钩操作，以获取所述RPC操作请求携带的操作参数；确定所述操作参数指示的所述RPC操作请求的类型、所述RPC操作请求所调用的接口以及所述RPC操作请求所请求的连接目标对象；当所述操作参数指示的所述RPC操作请求的类型为查询请求，所述操作参数指示的所述RPC操作请求所调用的接口为通过Windows管理规范WMI接口发起查询请求时所需调用的接口，且所述操作参数指示的所述RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求；禁止执行所述RPC操作请求所请求的操作。另一方面，提供了一种虚拟机检测的对抗装置，所述虚拟机检测的对抗装置包括：接收模块，用于接收指示调用目标函数的远程过程调用RPC操作请求；执行模块，用于对所述目标函数执行挂钩操作，以获取所述RPC操作请求携带的操作参数；第一确定模块，用于确定所述操作参数指示的所述RPC操作请求的类型、所述RPC操作请求所调用的接口以及所述RPC操作请求所请求的连接目标对象；第二确定模块，用于当所述操作参数指示的所述RPC操作请求的类型为查询请求，所述操作参数指示的所述RPC操作请求所调用的接口为通过Windows管理规范WMI接口发起查询请求时所需调用的接口，且所述操作参数指示的所述RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求；处理模块，用于禁止执行所述RPC操作请求所请求的操作。可选地，所述操作参数包括：请求类型参数、接口参数和请求目标参数，所述第一确定模块包括：第一确定子模块，用于确定所述请求类型参数指示的RPC操作请求的类型；第二确定子模块，用于确定所述接口参数指示的RPC操作请求所调用的接口；第三确定子模块，用于确定所述请求目标参数指示的RPC操作请求所请求的连接目标对象；所述第二确定模块还用于：当所述请求类型参数指示的RPC操作请求的类型为查询请求，所述接口参数指示的RPC操作请求所调用的接口为通过WMI接口发起查询请求时所需调用的接口，且所述请求目标参数指示的RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求。可选地，所述请求类型参数包括：请求标识号，所述第一确定子模块还用于：当所述请求标识号的参数值等于目标值时，确定所述RPC操作请求的类型为查询请求。可选地，所述接口参数包括：至少一个全局唯一标识符，所述第二确定子模块还用于：当所述至少一个全局唯一标识符包括至少一个目标标识符时，确定所述RPC操作请求所调用的接口为通过WMI接口发起查询请求时所需调用的接口。可选地，所述请求目标参数包括：端口句柄参数，所述第三确定子模块还用于：基于所述端口句柄参数获取所述请求目标参数所指示的端口句柄对象；基于所述端口句柄对象，获取所述端口句柄对象所连接的连接目标对象；当所述连接目标对象的标识符携带有目标字符串时，确定所述请求目标参数指示的RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象。可选地，所述RPC操作请求用于请求获取操作系统中运行的进程的信息、所述操作系统中存储的文件的信息、所述操作系统中存储的注册表的信息和所述操作系统的硬件信息中的一个或多个。可选地，所述处理模块还用于：发送用于指示所述RPC操作请求失败的指示信息。再一方面，提供了一种虚拟机检测的对抗装置，所述虚拟机检测的对抗装置包括：处理器和存储器，处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述的虚拟机检测的对抗方法。又一方面，提供了一种计算机可读存储介质，存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现上述的虚拟机检测的对抗方法。本申请提供的技术方案带来的有益效果至少包括：本申请中根据接收到的RPC操作请求确定该RPC操作请求为通过WMI接口发起的查询请求时，禁止执行该RPC操作请求所请求的操作，使得恶意样本在通过WMI接口发起RPC操作请求，以检测运行系统是否为虚拟机系统时，虚拟机可以通过禁止执行该RPC操作请求所请求的操作，以使恶意样本无法检测到运行环境是否为虚拟机系统，进而使得可以在虚拟机系统中对恶意样本进行检测，有效地提高了对样本进行检测的准确性。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本申请实施例提供的虚拟机检测的对抗方法所涉及的一种终端的结构示意图；图2是本申请实施例提供的一种虚拟机检测的对抗方法的流程图；图3是本申请实施例提供的另一种虚拟机检测的对抗方法的流程图；图4是本申请实施例提供的一种虚拟机检测的对抗装置的结构示意图；图5是本申请实施例提供的一种第一确定模块的结构示意图；图6是本申请实施例提供的一种终端的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。图1是本申请实施例提供的虚拟机检测的对抗方法所涉及的一种终端的结构示意图，该终端500支持虚拟化，使终端上运行有本文档来自技高网...

【技术保护点】
1.一种虚拟机检测的对抗方法，其特征在于，所述方法包括：/n接收指示调用目标函数的远程过程调用RPC操作请求；/n对所述目标函数执行挂钩操作，以获取所述RPC操作请求携带的操作参数；/n确定所述操作参数指示的所述RPC操作请求的类型、所述RPC操作请求所调用的接口以及所述RPC操作请求所请求的连接目标对象；/n当所述操作参数指示的所述RPC操作请求的类型为查询请求，所述操作参数指示的所述RPC操作请求所调用的接口为通过Windows管理规范WMI接口发起查询请求时所需调用的接口，且所述操作参数指示的所述RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求；/n禁止执行所述RPC操作请求所请求的操作。/n

【技术特征摘要】
1.一种虚拟机检测的对抗方法，其特征在于，所述方法包括：
接收指示调用目标函数的远程过程调用RPC操作请求；
对所述目标函数执行挂钩操作，以获取所述RPC操作请求携带的操作参数；
确定所述操作参数指示的所述RPC操作请求的类型、所述RPC操作请求所调用的接口以及所述RPC操作请求所请求的连接目标对象；
当所述操作参数指示的所述RPC操作请求的类型为查询请求，所述操作参数指示的所述RPC操作请求所调用的接口为通过Windows管理规范WMI接口发起查询请求时所需调用的接口，且所述操作参数指示的所述RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求；
禁止执行所述RPC操作请求所请求的操作。


2.根据权利要求1所述的方法，其特征在于，所述操作参数包括：请求类型参数、接口参数和请求目标参数，所述确定所述操作参数指示的所述RPC操作请求的类型、所述RPC操作请求所调用的接口以及所述RPC操作请求所请求的连接目标对象，包括：
确定所述请求类型参数指示的RPC操作请求的类型；
确定所述接口参数指示的RPC操作请求所调用的接口；
确定所述请求目标参数指示的RPC操作请求所请求的连接目标对象；
所述当所述操作参数指示的所述RPC操作请求的类型为查询请求，所述操作参数指示的所述RPC操作请求所调用的接口为通过WMI接口发起查询请求时所需调用的接口，且所述操作参数指示的所述RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求，包括：
当所述请求类型参数指示的RPC操作请求的类型为查询请求，所述接口参数指示的RPC操作请求所调用的接口为通过WMI接口发起查询请求时所需调用的接口，且所述请求目标参数指示的RPC操作请求所请求的连接目标对象为通过带有指向的端口所请求的对象时，确定所述RPC操作请求为通过WMI接口发起的查询请求。


3.根据权利要求2所述的方法，其特征在于，所述请求类型参数包括：请求标识号，所述确定所述请求类型参数指示的RPC操作请求的类型，包括：
当所述请求标识号的参数值等于目标值时，确定所述RPC操作请求的类型为查询请求。


4.根据权利要求2所述的方法，其特征在于，所述接口参数包括：至少一个全局唯一标识符，所述确定所述接口参数指示的RPC操作请求所调用的接口，包括：
当所述至少一个全局唯一标识符包括至少一个目标标识符时，确定所述RPC操作请求所调用的接口为通过WMI接口发...

【专利技术属性】
技术研发人员：曹有理，许天胜，谭昱，杨耀荣，沈江波，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44