本发明专利技术涉及计算机安全和反病毒技术领域,提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和RAM,所述的系统可以安装在PCI或PCIExpress板卡上,当所述的ROM接收到嵌入式CPU发送的执行系统引导信号后,ROM上的固件执行系统引导,实现反病毒虚拟机功能;所述的ROM检测到RAM中的指定地址的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病毒虚拟机对病毒体进行解密或脱壳;当反病毒虚拟机处理完毕,则回到就绪等待状态,并向RAM中的指定地址写入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在指定时间内未检测到所述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,特别涉及反病毒虚拟机硬件加速技术。
技术介绍
反病毒虚拟机是现代反病毒引擎的重要组成部分,对于经过加密变形的多形性 病毒,虚拟机可将病毒解密还原,进而进行特征码扫描来对抗加密变形;对于目前常见 的病毒进行加壳以对抗特征码扫描的手段,虚拟机可完成自动解密或脱壳处理。由于反病毒虚拟机需要对病毒代码进行一定步数的虚拟执行,因此是反病毒引 擎中对资源消耗较重的部分,反病毒引擎虚拟执行代码的速度会直接影响反病毒引擎的 性能,因此大部分反病毒引擎在实现反病毒虚拟机时,不得不在虚拟机虚拟执行代码的 兼容性和速度之间做出选择,以在不过度影响反病毒引擎性能的前提下,对抗一部分加 密变形和加壳处理的病毒。现有计算机反病毒引擎中的反病毒虚拟机均通过运行在计算机上的CPU来实 现,这种方式带来的问题是,计算机上的CPU资源不可能全部分配给反病毒虚拟机使 用,如果对所有的X86体系结构CPU指令进行虚拟执行,则反病毒虚拟机虚拟执行的速 度很低,严重影响了反病毒引擎的性能;如果只对病毒常用的一部分x86体系结构CPU 指令进行虚拟执行,则容易被病毒利用不能被虚拟执行的x86指令。同时,脱壳处理所 需的虚拟执行步数和兼容性要求都高于解密还原,现有的通过虚拟机进行自动脱壳的方 式在效率和兼容性上都不能满足需求。
技术实现思路
本专利技术提供了一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿 真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低,兼容性差的问题。本专利技术提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM、RAM 和复位电路;所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引 擎控制的复位电路进行复位,并向ROM发送执行系统引导信号;所述的ROM根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内 存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标 识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问 RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病 毒虚拟机结束标识。所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识 和反病毒虚拟机结束标识。所述的复位电路用于接收计算机上的反病毒引擎在指定时间内未检测到述的 RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线与计算机上的反病毒引擎进行交互。所述的系统中,所述的ROM包括固化在ROM上的固件,所述固件执行系统引 导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地 址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚 拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后, 向RAM的指定地址中写入反病毒虚拟机结束标识。所述的系统中,所述的嵌入式CPU是x86体系结构嵌入式CPU、非x86体系结 构嵌入式CPU或非X86体系结构嵌入式MCU。如果所述的嵌入式CPU是x86体系结构嵌入式CPU,则ROM和RAM通过南桥 芯片和北桥芯片连接;如果所述的嵌入式CPU是非X86体系结构嵌入式CPU或MCU,且内部集成有内存 控制器,则ROM和RAM直接连接;如果所述的嵌入式CPU是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌入 式MCU的内部集成了大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。所述的系统中,所述的RAM包含主内存和共享RAM。所述的系统中,所述的嵌入式CPU和ROM通过共享RAM与计算机上的反病毒引擎进行交互。所述的系统中,所述的共享RAM通过PCI或PCI Express总线与计算机上的反病毒引擎进行数据交互。本专利技术提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和 RAM,所述的系统可以安装在PCI或PCI Express板卡上,当所述的ROM接收到嵌入式 CPU发送的执行系统引导信号后,ROM上的固件执行系统引导,实现反病毒虚拟机功 能;所述的ROM检测到RAM中的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病 毒虚拟机对病毒体进行解密或脱壳;反病毒虚拟机处理完毕后,向RAM中的指定地址写 入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在未检测到所述 的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。 通过附加硬件对反病毒虚拟机进行加速,解决了以软件解释执行方式仿真x86体系结构 CPU指令执行所带来的对代码虚拟执行速度较低的问题。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技 术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发 明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提 下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种反病毒虚拟机硬件加速系统示意图; 图2为本专利技术提供的一种反病毒虚拟机硬件加速方法流程图。具体实施例方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术 的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一 步详细的说明。本专利技术提供一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿真 x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低的问题。首先介绍本专利技术提供的一种反病毒虚拟机硬件加速系统,如图1所示,包括嵌 入式 CPUlOl、ROM102、RAM103 和复位电路 104 ;所述的嵌入式CPUlOl用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒 引擎控制的复位电路进行复位,并向ROM102发送执行系统引导信号;所述的ROM102根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工 作的内存环境,实现反病毒虚拟机功能,并检测RAM103的指定地址中是否有反病毒虚 拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒 虚拟机访问RAM103,对病毒体进行解密或脱壳,对病毒体进行解密或脱壳完毕后,向 RAM103的指定地址中写入反病毒虚拟机结束标识;所述的RAM103接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识 和反病毒虚拟机结束标识;所述的复位电路104,用于接收计算机上的反病毒引擎在指定时间内未检测到所述的 RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPUlOl进行硬件复位。所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线105 与计算机上的反病毒引擎进行交互。所述的系统中,所述的ROM包括固化在ROM上的固件,所述固件执行系统引 导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地 址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚 拟机,并使用反病毒虚拟机访问RAM,本文档来自技高网...
【技术保护点】
一种反病毒虚拟机硬件加速系统,其特征在于,包含嵌入式CPU、ROM、RAM和复位电路;所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引擎控制的复位电路进行复位,并向ROM发送执行系统引导信号;所述的ROM根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病毒虚拟机结束标识;所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识和反病毒虚拟机结束标识;所述的复位电路,用于接收计算机上的反病毒引擎在指定时间内未检测到所述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
【技术特征摘要】
【专利技术属性】
技术研发人员:赵世平,桑胜田,肖新光,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。