【技术实现步骤摘要】
恶意软件检测方法、装置、电子设备及存储介质
[0001]本申请涉及虚拟化
,特别涉及一种恶意软件检测方法
、
装置
、
电子设备及存储介质
。
技术介绍
[0002]随着云计算的发展,人们依赖的办公系统也逐步从本地迁入云端
。
云网络一般由多台服务器联网构成,每台服务器又可以通过虚拟机技术承载多个逻辑独立的虚拟机
。
而随着虚拟机运用的提升,随之而来的安全问题引起广泛关注
。
其中,非常重要的安全隐患是虚拟机上可能存在恶意软件
。
[0003]因此,需要对虚拟机上的恶意软件进行检测,以保证虚拟机的安全运行
。
技术实现思路
[0004]为了解决现有技术中虚拟机存在安全隐患的问题,本申请提供了一种恶意软件检测方法
、
装置
、
电子设备及存储介质:
[0005]根据本申请的第一方面,提供了一种恶意软件检测方法,方法包括:
[0006]对在目标虚拟机的普通执行环境中运行的进程进行检测,当检测到存在新进程启动时,获取新进程的进程信息;
[0007]当根据进程信息确定新进程为可疑进程时,基于进程信息将可疑进程在创建的虚拟沙箱执行环境中运行;
[0008]对可疑进程在虚拟沙箱执行环境中的运行过程进行检测,当检测到存在恶意软件行为时,将可疑进程关联的软件确定为恶意软件
。
[0009]根据本申请的第二方面,提供了一种恶 ...
【技术保护点】
【技术特征摘要】
1.
一种恶意软件检测方法,其特征在于,所述方法包括:对在目标虚拟机的普通执行环境中运行的进程进行检测,当检测到存在新进程启动时,获取所述新进程的进程信息;当根据所述进程信息确定所述新进程为可疑进程时,基于所述进程信息将所述可疑进程在创建的虚拟沙箱执行环境中运行;对所述可疑进程在所述虚拟沙箱执行环境中的运行过程进行检测,当检测到存在恶意软件行为时,将所述可疑进程关联的软件确定为恶意软件
。2.
根据权利要求1所述的恶意软件检测方法,其特征在于,所述基于所述进程信息将所述可疑进程在创建的虚拟沙箱执行环境中运行,包括:当所述新进程为首个检测到的可疑进程时,搭建所述虚拟沙箱执行环境,生成影子页表;所述影子页表用于实现所述虚拟沙箱执行环境中虚拟地址与宿主机物理地址之间的映射;在所述虚拟沙箱执行环境中启动所述新进程,基于所述影子页表对所述新进程运行过程中所使用的虚拟地址进行映射
。3.
根据权利要求2所述的恶意软件检测方法,其特征在于,所述搭建所述虚拟沙箱执行环境,生成影子页表,包括:对所述目标虚拟机对应的内存空间进行扩展,以实现对所述虚拟沙箱执行环境中可疑进程的检测;获取所述目标虚拟机的初始页表;所述初始页表用于实现所述普通执行环境中虚拟地址与宿主机物理地址之间的映射;对所述初始页表中涉及内核层的地址映射进行复制,得到所述影子页表
。4.
根据权利要求2所述恶意软件检测方法,其特征在于,所述方法还包括:在所述虚拟沙箱执行环境中设置对
CR3
寄存器写操作的拦截;当检测到所述
CR3
寄存器写操作指向所述初始页表基地址时,切换至所述普通执行环境,在所述普通执行环境中运行所述
CR3
寄存器写操作对应的进程
。5.
根据权利要求1所述的恶意软件检测方法,其特征在于,当根据所述进程信息确定所述新进程为可疑进程时,所述方法还包括:将所述可疑进程写入待检测进程列表;在所述普通执行环境中进行进程调度时,确定待调度进程是否与所述待检测进程列表中的可疑进程相匹配;若相匹配,则从所述普通执行环境切换至所述虚拟沙箱执行环境,在所述虚拟沙箱执行环境中运行所述待调度进程;若不匹配,则在所述普通执行环境中运行所述待调度进程
。6.
根据权利要求1所述的恶意软件检测方法,其特征在于,所述对所述可疑进程在所述虚拟沙箱执行环境中的运行过程进行检测,包括:设置潜在恶意软件行为的...
【专利技术属性】
技术研发人员:朱民,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。