本申请公开了一种恶意程序的对抗方法及装置、存储介质、计算机设备,该方法包括:利用虚拟机加载目标程序,其中,所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记;按照所述垃圾指令标记寻找所述目标程序的垃圾指令,并对所述垃圾指令打补丁,清除所述目标程序的垃圾指令;在所述虚拟机中执行清除垃圾指令后的目标程序。本申请无需调整虚拟机的程序执行最大时间阈值,通过清除垃圾指令方式,在不影响执行结果的情况下,减少目标程序执行的无用步骤,加快程序的执行速度,使其暴露更多的执行特征,能够有效对抗以恶意延长程序执行等待时间为手段的病毒程序,进而提高了病毒检测的效率和准确率。
【技术实现步骤摘要】
恶意程序的对抗方法及装置、存储介质、计算机设备
本申请涉及计算机安全
,尤其是涉及到一种恶意程序的对抗方法及装置、存储介质、计算机设备。
技术介绍
随着计算机技术的不断发展,现在,无论是在日常生活中还是在工作中,计算机都已经成为人们不可或缺的伙伴,为人们的工作和生活带来了很多的便利,但是在这之中有一个不和谐的因素,那就是计算机病毒。针对由计算机病毒带来的计算机安全方面的问题,现在几乎任何企业或个人都会使用杀毒软件,但是现在的杀毒软件大多是基于病毒库中包括的病毒特征进行病毒查杀,即若计算机中的某个程序命中了病毒库中的病毒特征,则判定该程序为病毒程序,很显然,若出现新型病毒或变种病毒,利用病毒库将难以应对。因此,目前利用虚拟机获取待杀毒文件的执行特征实现病毒查杀成为了杀毒领域的新兴方案,但是一般来说,为了保证杀毒效率,针对每个待杀毒文件,都会设置一定的执行时间阈值,文件在虚拟机中执行超过该阈值后特征将无法被获取,换句话说,虚拟机只会对文件执行过程中一段时间内的特征进行提取。然而,目前研究人员发现很多病毒开发者利用这一逻辑做了对抗,故意延长文件的执行时间,使虚拟机无法获取到执行时间阈值之外的执行特征,导致待杀毒文件的执行特征获取不全,无法实现有效杀毒。如何对抗上述类型的病毒文件有效获取文件的完整执行特征,是杀毒领域亟待解决的问题。
技术实现思路
有鉴于此,本申请提供了一种恶意程序的对抗方法及装置、存储介质、计算机设备。根据本申请的一个方面,提供了一种恶意程序的对抗方法,包括:利用虚拟机加载目标程序,其中,所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记;按照所述垃圾指令标记寻找所述目标程序的垃圾指令,并对所述垃圾指令打补丁,清除所述目标程序的垃圾指令;在所述虚拟机中执行清除垃圾指令后的目标程序。具体地,所述垃圾指令为与所述目标程序执行目的无关且删除后不影响执行结果的指令。具体地,所述利用虚拟机加载目标程序之前,所述方法还包括:利用垃圾指令扫描引擎对所述目标程序进行扫描,对所述目标程序的垃圾指令作出所述垃圾指令标记,其中,所述垃圾指令扫描引擎根据预先建立的垃圾指令特征库对所述目标程序进行特征扫描。具体地,所述利用垃圾指令扫描引擎对所述目标程序进行扫描之前,所述方法还包括:通过垃圾指令专家系统对样本程序进行垃圾指令特征识别,并依据识别出的垃圾指令特征建立所述垃圾指令特征库。具体地,所述在所述虚拟机中执行清除垃圾指令后的目标程序之后,所述方法还包括:记录所述清除垃圾指令后的目标程序执行时所调用的所述虚拟机中的桩函数;根据所述目标程序对所述桩函数的调用顺序,确定所述目标程序的执行序列。具体地,所述方法还包括:解析所述目标程序的执行序列,得到所述目标程序的执行特征;将所述目标程序的执行特征与预设执行特征库中包含的恶意执行特征和/或安全执行特征进行比对,对所述目标程序进行病毒分析。根据本申请的另一方面,提供了一种恶意程序的对抗装置,包括:程序加载模块,用于利用虚拟机加载目标程序,其中,所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记;垃圾指令清除模块,用于按照所述垃圾指令标记寻找所述目标程序的垃圾指令,并对所述垃圾指令打补丁,清除所述目标程序的垃圾指令;程序执行模块,用于在所述虚拟机中执行清除垃圾指令后的目标程序。具体地,所述垃圾指令为与所述目标程序执行目的无关且删除后不影响执行结果的指令。具体地,所述装置还包括:标记模块,用于利用虚拟机加载目标程序之前,利用垃圾指令扫描引擎对所述目标程序进行扫描,对所述目标程序的垃圾指令作出所述垃圾指令标记,其中,所述垃圾指令扫描引擎根据预先建立的垃圾指令特征库对所述目标程序进行特征扫描。具体地,所述装置还包括:特征库建立模块,用于利用垃圾指令扫描引擎对所述目标程序进行扫描之前,通过垃圾指令专家系统对样本程序进行垃圾指令特征识别,并依据识别出的垃圾指令特征建立所述垃圾指令特征库。具体地,所述装置还包括:桩函数记录模块,用于在所述虚拟机中执行清除垃圾指令后的目标程序之后,记录所述清除垃圾指令后的目标程序执行时所调用的所述虚拟机中的桩函数;执行序列确定模块,用于根据所述目标程序对所述桩函数的调用顺序,确定所述目标程序的执行序列。具体地,所述装置还包括:执行特征解析模块,用于解析所述目标程序的执行序列,得到所述目标程序的执行特征;病毒分析模块,用于将所述目标程序的执行特征与预设执行特征库中包含的恶意执行特征和/或安全执行特征进行比对,对所述目标程序进行病毒分析。依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述恶意程序的对抗方法。依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述恶意程序的对抗方法。借由上述技术方案,本申请提供的一种恶意程序的对抗方法及装置、存储介质、计算机设备,清除目标程序中的垃圾指令,使得虚拟机在执行目标程序时,可以减少程序执行等待时间,加快目标程序的执行速度。本申请无需调整虚拟机的程序执行最大时间阈值,通过清除垃圾指令方式,在不影响执行结果的情况下,减少目标程序执行的无用步骤,加快程序的执行速度,使其暴露更多的执行特征,能够有效对抗以恶意延长程序执行等待时间为手段的病毒程序,进而提高了病毒检测的效率和准确率。上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1示出了本申请实施例提供的一种恶意程序的对抗方法的流程示意图;图2示出了本申请实施例提供的另一种恶意程序的对抗方法的流程示意图;图3示出了本申请实施例提供的一种恶意程序的对抗装置的结构示意图;图4示出了本申请实施例提供的另一种恶意程序的对抗装置的结构示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提供了一种恶意程序的对抗方法,如图1所示,该方法包括:步骤101,利用虚拟机加载目标程序,其中,目标程序包括垃圾指令以及垃圾指令对应的垃圾指令标记;步骤102,按照垃圾指令标记寻找目标程序的垃圾指令,并对垃圾指令打补丁,清除目标程序的垃圾指令;步骤103,在虚拟机中执行清除垃圾指令后的目标程序。<本文档来自技高网...
【技术保护点】
1.一种恶意程序的对抗方法,其特征在于,包括:/n利用虚拟机加载目标程序,其中,所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记;/n按照所述垃圾指令标记寻找所述目标程序的垃圾指令,并对所述垃圾指令打补丁,清除所述目标程序的垃圾指令;/n在所述虚拟机中执行清除垃圾指令后的目标程序。/n
【技术特征摘要】
1.一种恶意程序的对抗方法,其特征在于,包括:
利用虚拟机加载目标程序,其中,所述目标程序包括垃圾指令以及所述垃圾指令对应的垃圾指令标记;
按照所述垃圾指令标记寻找所述目标程序的垃圾指令,并对所述垃圾指令打补丁,清除所述目标程序的垃圾指令;
在所述虚拟机中执行清除垃圾指令后的目标程序。
2.根据权利要求1所述的方法,其特征在于,所述垃圾指令为与所述目标程序执行目的无关且删除后不影响执行结果的指令。
3.根据权利要求2所述的方法,其特征在于,所述利用虚拟机加载目标程序之前,所述方法还包括:
利用垃圾指令扫描引擎对所述目标程序进行扫描,对所述目标程序的垃圾指令作出所述垃圾指令标记,其中,所述垃圾指令扫描引擎根据预先建立的垃圾指令特征库对所述目标程序进行特征扫描。
4.根据权利要求3所述的方法,其特征在于,所述利用垃圾指令扫描引擎对所述目标程序进行扫描之前,所述方法还包括:
通过垃圾指令专家系统对样本程序进行垃圾指令特征识别,并依据识别出的垃圾指令特征建立所述垃圾指令特征库。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述在所述虚拟机中执行清除垃圾指令后的目标程序之后,所述方法还包括:
记录所述清除垃圾指令后的目标程序执行时所调用的所述虚拟机中的桩函数;
根...
【专利技术属性】
技术研发人员:刘同豪,
申请(专利权)人:奇安信安全技术珠海有限公司,奇安信科技集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。