[发明专利]一种加速虚拟执行的方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种加速虚拟执行的方法、装置、电子设备及存储介质，涉及计算机安全领域，能够提高现有技术中虚拟执行的效率。本发明实施例提供一种加速虚拟执行的方法，包括：每次调用应用程序的调用接口API时，将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索；当匹配成功时，根据所述目标指令序列与执行结果的对应关系，获取与所述第一指令序列对应的执行结果；根据所述执行结果，直接修改根据所述第一指令序列操作发生变化的寄存器。

技术领域

本发明涉及计算机安全领域，尤其涉及一种加速虚拟执行的方法、装置、电子设备及存储介质。

背景技术

沙箱(Sandboxie)，又名沙盘，是一种按照安全策略限制程序行为的执行环境，它允许用户在沙箱环境中运行程序，运行所产生的变化可以随后删除。通过在沙箱环境中运行程序，可以检测程序中是否存在恶意行为，当发现程序中存在恶意行为时可以发出告警。

针对恶意软件的变形、混淆等逃避检测的手段，沙箱系统使用动态虚拟执行的手段可以对其进行比较有效地检测。但是动态虚拟执行也存在着如虚拟执行速度慢的固有缺陷，其与传统的反病毒引擎相比，检测效率较低。

发明内容

有鉴于此，本发明实施例提供一种加速虚拟执行的方法、装置、电子设备及存储介质，能够提高虚拟执行的效率。

第一方面，本发明实施例提供一种加速虚拟执行的方法，包括：每次调用应用程序的调用接口API时，将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索，所述第一指令序列为需要物理CPU运算的指令序列，所述指令知识库中保存有目标指令序列与执行结果的对应关系；当匹配成功时，根据所述目标指令序列与执行结果的对应关系，获取与所述第一指令序列对应的执行结果；根据所述执行结果，直接修改根据所述第一指令序列操作发生变化的寄存器。

结合第一方面，在第一方面的第一种实施方式中，所述方法，包括：当匹配不成功时，调用所述物理CPU执行所述第一指令序列。

结合第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述方法，还包括：

当所述第一指令序列匹配不成功且所述第一指令序列为恶意对抗代码对应的指令流，将所述第一指令序列以及与所述第一指令序列对应的执行结果的对应关系录入所述指令知识库中。

结合第一方面、第一方面的第一种或第二种实施方式，在第一方面的第三种实施方式中，所述将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索，包括：翻译调用API对应的函数以生成虚拟指令序列；将所述虚拟指令序列中的指令按序逐条加入缓冲区以形成第一指令序列直至匹配完成。

结合第一方面的第三种实施方式，在第一方面的第四种实施方式中，所述将所述虚拟指令序列中的指令按序逐条加入缓冲区以形成第一指令序列直至匹配完成，包括：每加入一条指令时将缓冲区中更新的第一指令序列与所述指令知识库中的目标指令序列进行匹配；若所述第一指令序列属于定位的目标指令序列中的首部部分，则将所述虚拟指令序列中的下一条指令加入所述缓冲区，直至所述第一指令序列与定位的目标指令序列完全一致，或所述第一指令序列与定位的目标指令序列中出现不同指令。

结合第一方面的第三种实施方式，在第一方面的第五种可能的实现方式中，所述将所述虚拟指令序列中的指令按序逐条加入缓冲区以形成第一指令序列直至匹配完成之后，还包括：清空所述缓冲区。

第二方面，本发明实施例提供一种加速虚拟执行的装置，包括：

匹配单元，用于每次调用应用程序的调用接口API时，将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索，所述第一指令序列为需要物理CPU运算的指令序列，所述指令知识库中保存有目标指令序列与执行结果的对应关系；

获取单元，用于当所述匹配单元匹配成功时，根据所述目标指令序列与执行结果的对应关系，获取与所述第一指令序列对应的执行结果；