[发明专利]一种检测恶意程序的方法、装置及虚拟机

权利要求书

1.一种检测恶意程序的方法，其特征在于，包括：

设置虚拟内存；

读取主引导记录MBR并保存到所述虚拟内存；

模拟执行虚拟内存中主引导记录MBR中的每一条指令，并在执行完每一条指令后检测所述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则，继续模拟执行下一条指令，直到主引导记录MBR的所有指令模拟执行完毕。

2.根据权利要求1所述的方法，其特征在于，所述检测所述虚拟内存是否被修改，包括：

检测所述虚拟内存的大小是否改变，如果改变，则所述虚拟内存被修改；否则，未被修改。

3.根据权利要求1或2所述的方法，其特征在于，所述设置虚拟内存之前，还包括：

设置虚拟CPU；

则所述模拟执行虚拟内存中主引导记录MBR中的每一条指令，包括：

由所述虚拟CPU模拟执行虚拟内存中主引导记录MBR中的每一条指令。

4.根据权利要求3所述的方法，其特征在于，

所述设置虚拟CPU包括：初始化虚拟CPU；

所述设置虚拟内存包括：初始化BIOS数据区，所述BIOS数据区保存虚拟内存的大小。

5.根据权利要求1或2所述的方法，其特征在于，

所述模拟执行虚拟内存中主引导记录MBR中的每一条指令之前，还包括：设置虚拟硬盘；

则所述模拟执行虚拟内存中主引导记录MBR中的每一条指令包括：

将虚拟内存中的主引导记录MBR拷贝到所述虚拟硬盘；

从所述虚拟硬盘读取主引导记录MBR，并模拟执行主引导记录MBR中的每一条指令。

6.根据权利要求1或2所述的方法，其特征在于，还包括：

对主引导记录MBR中的每一条指令进行反汇编，并输出显示。

7.一种检测恶意程序的装置，其特征在于，包括：

第一设置模块，用于设置虚拟内存；

读取及保存模块，用于读取主引导记录MBR并保存到所述虚拟内存；

模拟执行模块，用于模拟执行虚拟内存中主引导记录MBR中的每一条指令；

检测模块，用于在所述模拟执行模块执行完每一条指令后检测所述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则，触发所述模拟执行模块继续模拟执行下一条指令，直到主引导记录MBR的所有指令模拟执行完毕。

8.根据权利要求7所述的装置，其特征在于：

所述检测模块通过检测所述虚拟内存的大小是否改变来判断是否被修改，如果改变，则所述虚拟内存被修改；否则，未被修改。

9.根据权利要求7或8所述的装置，其特征在于，还包括：

第二设置模块，用于设置虚拟CPU，所述虚拟CPU触发所述模拟执行模块和检测模块的执行。

10.根据权利要求7或8所述的装置，其特征在于，还包括：

第三设置模块，用于设置虚拟硬盘，并将虚拟内存中的主引导记录MBR拷贝到所述虚拟硬盘；

则所述模拟执行模块从所述虚拟硬盘读取主引导记录MBR，并模拟执行主引导记录MBR中的每一条指令。

11.根据权利要求或8所述的装置，其特征在于，还包括：

反汇编引擎，用于对主引导记录MBR中的每一条指令进行反汇编，并输出显示。

12.一种检测恶意程序的虚拟机，其特征在于，包括：

虚拟CPU初始化模块，用于初始化虚拟CPU；

虚拟内存初始化模块，用于初始化虚拟内存，并在初始化的过程中读取主引导记录MBR然后保存到所述虚拟内存；

虚拟内存，用于存储主引导记录MBR；

虚拟CPU，用于模拟执行虚拟内存中主引导记录MBR中的每一条指令，并在执行完每一条指令后检测所述虚拟内存是否被修改，如果被修改，则发现恶意程序；否则，继续模拟执行下一条指令，直到主引导记录MBR的所有指令模拟执行完毕。

13.根据权利要求12所述的虚拟机，其特征在于，还包括：

虚拟硬盘初始化模块，用于初始化虚拟硬盘，并在初始化的过程中将虚拟内存中的主引导记录MBR拷贝到所述虚拟硬盘，所述虚拟CPU从虚拟硬盘读取主引导记录MBR并模拟执行；

虚拟硬盘，用于存储拷贝的主引导记录MBR。

14.根据权利要求12或13所述的虚拟机，其特征在于，还包括：

反汇编引擎，用于对主引导记录MBR中的每一条指令进行反汇编，并输出显示。