本申请涉及一种内存快照存储方法、装置、计算机设备和存储介质,包括:响应于当前的内存修改操作,获取内存修改过程;将所述内存修改过程存储至数据库中,所述数据库中存储有初始内存快照。通过本方法可以解决当前虚拟执行环境内存快照保存耗时长、数据量大和帧数低的问题,达到提高快照保存效率、增加内存快照帧数和减少快照数据量的技术效果。数和减少快照数据量的技术效果。数和减少快照数据量的技术效果。
【技术实现步骤摘要】
内存快照存储方法、装置、计算机设备和存储介质
[0001]本申请涉及信息安全
,特别是涉及一种内存快照存储方法、装置、计算机设备和存储介质。
技术介绍
[0002]随着信息安全的发展,对于恶意程序的检测越来越受到重视。沙箱作为一个隔离的系统环境,已经被安全研究人员运用于分析不受信任的文件或程序的过程中。
[0003]目前,安全研究人员通过沙箱分析恶意程序往往采用生成内存快照的方式,由于单个内存快照的数据量较大,在任意时刻保存多个内存快照进行分析的方法不现实,因此安全研究人员往往将程序退出前的最后时刻的内存快照进行保存,并在回溯过程中打开特定时刻的内存快照进行分析。然而如果恶意程序在程序退出前将恶意内容抹除,则安全研究人员无法分析出其恶意内容,存在较大的安全隐患。
[0004]由此可见,目前虚拟执行环境仍存在内存快照保存耗时长、数据量大和帧数低的问题。
技术实现思路
[0005]基于此,有必要针对上述技术问题,提供一种能够降低内存快照保存时长、和数据量以及提高帧数的内存快照存储方法、装置、计算机设备和计算机可读存储介质。
[0006]第一个方面,本实施例提供了一种内存快照存储方法,所述方法包括:
[0007]响应于当前的内存修改操作,获取内存修改过程;
[0008]将所述内存修改过程存储至数据库中,所述数据库中存储有初始内存快照。
[0009]在其中一个实施例中,所述内存修改过程包括多个操作节点,所述操作节点中包括至少一个内存修改操作,所述响应于内存修改操作,获取内存修改过程,包括:
[0010]获取前一时刻的历史修改过程;
[0011]基于所述历史修改过程确定前一时刻的操作节点;
[0012]获取当前的所述内存修改操作的操作参数;
[0013]若所述操作参数与所述前一时刻的操作节点匹配,则将当前的所述内存修改操作合并至所述前一时刻的操作节点,得到内存修改过程。
[0014]在其中一个实施例中,所述获取当前的所述内存修改操作的操作参数之后还包括:
[0015]若所述操作参数与所述前一时刻的操作节点不匹配,则基于当前的所述内存修改操作新建操作节点,并基于新建的所述操作节点以及历史修改过程得到内存修改过程。
[0016]在其中一个实施例中,所述操作参数包括地址范围,若所述操作参数与所述前一时刻的操作节点匹配,则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括:
[0017]判断所述地址范围与所述前一时刻的操作节点的地址范围是否重合;
[0018]若不重合,则视为匹配,将当前的所述内存修改操作合并至所述前一时刻的操作节点。
[0019]在其中一个实施例中,所述操作参数包括操作时间,若所述操作参数与所述前一时刻的操作节点匹配,则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括:
[0020]判断所述操作时间与所述前一时刻的操作节点的时间范围是否匹配;
[0021]若匹配,则将当前的内存修改操作合并至所述前一时刻的操作节点。
[0022]在其中一个实施例中,将所述内存修改过程存储至数据库中之后,还包括:
[0023]获取内存快照生成指令,基于所述内存快照生成指令确定目标内存修改操作;
[0024]基于所述目标内存修改操作和所述内存修改过程生成目标内存快照。
[0025]在其中一个实施例中,所述内存修改过程包括多个操作节点,所述操作节点中包括至少一个内存修改操作,所述基于所述内存快照生成指令确定目标内存修改操作包括:
[0026]基于所述内存快照生成指令确定目标操作节点;
[0027]基于所述目标操作节点确定目标内存修改操作。
[0028]第二个方面,本实施例提供了一种内存快照存储装置,所述装置包括:
[0029]获取模块,用于响应于当前的内存修改操作,获取内存修改过程;
[0030]存储模块,用于将所述内存修改过程存储至数据库中,所述数据库中存储有初始内存快照。
[0031]第三个方面,本实施例提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述任一项所述的方法的步骤。
[0032]第四个方面,本实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
[0033]上述内存快照存储方法、装置、计算机设备和存储介质,通过响应于当前的内存修改操作,获取内存修改过程;将所述内存修改过程存储至数据库中,所述数据库中存储有初始内存快照,相比于传统技术中在多个时刻保存完整的内存快照,可以通过记录内存修改操作本身来减少特定时刻内存快照的保存时长和数据量;内存修改过程中的每一内存修改操作均可以用于生成对应时刻的内存快照,由此提高内存快照保存的帧数,解决了当前虚拟执行环境内存快照保存耗时长、数据量大和帧数低的问题,可以达到提高快照保存效率、增加内存快照帧数和减少快照数据量的技术效果。
附图说明
[0034]图1为一个实施例中内存快照存储方法的应用环境图;
[0035]图2为一个实施例中内存快照存储方法的流程示意图;
[0036]图3为另一个实施例中内存快照存储方法的流程示意图;
[0037]图4为另一个实施例中内存快照存储方法的流程示意图;
[0038]图5为另一个实施例中内存快照存储方法的流程示意图;
[0039]图6为另一个实施例中内存快照存储方法的流程示意图;
[0040]图7为一个实施例中内存快照存储装置的结构框图;
[0041]图8为一个实施例中计算机设备的内部结构图。
具体实施方式
[0042]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0043]本申请实施例提供的内存快照存储方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。终端102响应于当前的内存修改操作,获取内存修改过程;将所述内存修改过程存储至数据存储系统中,该数据存储系统还存储有初始内存快照。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
[0044]在一个实施例中,如图2所示,提供了一种内存快照存储方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
[0045]步本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内存快照存储方法,其特征在于,所述方法包括:响应于当前的内存修改操作,获取内存修改过程;将所述内存修改过程存储至数据库中,所述数据库中存储有初始内存快照。2.根据权利要求1所述的方法,其特征在于,所述内存修改过程包括多个操作节点,所述操作节点中包括至少一个内存修改操作,所述响应于内存修改操作,获取内存修改过程,包括:获取前一时刻的历史修改过程;基于所述历史修改过程确定前一时刻的操作节点;获取当前的所述内存修改操作的操作参数;若所述操作参数与所述前一时刻的操作节点匹配,则将当前的所述内存修改操作合并至所述前一时刻的操作节点,得到内存修改过程。3.根据权利要求2所述的方法,其特征在于,所述获取当前的所述内存修改操作的操作参数之后还包括:若所述操作参数与所述前一时刻的操作节点不匹配,则基于当前的所述内存修改操作新建操作节点,并基于新建的所述操作节点以及历史修改过程得到内存修改过程。4.根据权利要求2所述的方法,其特征在于,所述操作参数包括地址范围,若所述操作参数与所述前一时刻的操作节点匹配,则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括:判断所述地址范围与所述前一时刻的操作节点的地址范围是否重合;若不重合,则视为匹配,将当前的所述内存修改操作合并至所述前一时刻的操作节点。5.根据权利要求2所述的方法,其特征在于,所述操作参数包括操作时间,若所述操作参数与所述前一...
【专利技术属性】
技术研发人员:王天博,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。