[发明专利]基于插桩的行为监控方法及系统

权利要求书

1.一种基于插桩的行为监控方法，其中，该方法包括：

宿主机检测模块通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块生成的监控列表；

分别针对所述监控列表中包含的各个待监控地址，确定该待监控地址所对应的内存位置，并向该内存位置插入预设插桩指令；

当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件查询与所述预设插桩指令的执行过程相关的数据信息；

根据查询到的数据信息执行检测任务，以实现行为监控。

2.根据权利要求1所述的方法，其中，所述预设插桩指令包括：虚拟机特权指令、和/或中断指令。

3.根据权利要求1或2所述的方法，其中，所述方法执行之前，进一步包括：

虚拟机检测模块获取关键系统函数地址列表，以及预设监控代码块地址列表；

根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监控列表。

4.根据权利要求1-3任一所述的方法，其中，所述方法执行之前，进一步包括：

虚拟机检测模块将初始启动的目标进程、由目标进程启动或被目标进程注入的进程、以及加载由目标进程释放的文件的进程确定为待监控进程；

将所述待监控进程添加到所述监控列表。

5.根据权利要求1-4任一所述的方法，其中，所述确定该待监控地址所对应的内存位置包括：

将该待监控地址所在的内存页确定为目标内存页，在该目标内存页中确定与该待监控地址相对应的偏移位置，将该偏移位置确定为该待监控地址所对应的内存位置。

6.根据权利要求1-5任一所述的方法，其中，所述向该内存位置插入预设插桩指令具体包括：

确定与该内存位置相对应的原指令，将所述原指令与该内存位置关联存储；其中，当监控操作执行完毕后，根据所述原指令进行数据恢复。

7.根据权利要求1-6任一所述的方法，其中，所述根据查询到的数据信息执行检测任务包括：

根据查询到的数据信息以及预设处理策略，判断本次检测任务是否由虚拟机检测模块完成；

若是，由所述虚拟机检测模块执行检测任务，并在检测任务完成后，跳转至预设的跳板区间地址；

若否，由宿主机检测模块执行检测任务，并在检测任务完成后，跳转至预设的跳板区间地址。

8.一种基于插桩的行为监控系统，其中，该系统包括：宿主机检测模块以及虚拟机检测模块；其中，所述宿主机检测模块进一步包括：

第一退出单元，适于通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块生成的监控列表；

插桩单元，适于分别针对所述监控列表中包含的各个待监控地址，确定该待监控地址所对应的内存位置，并向该内存位置插入预设插桩指令；

第二退出单元，适于当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件查询与所述预设插桩指令的执行过程相关的数据信息；

监控单元，适于根据查询到的数据信息执行检测任务，以实现行为监控。

9.一种电子设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如权利要求1-7任一所述的基于插桩的行为监控方法对应的操作。

10.一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如权利要求1-7任一所述的基于插桩的行为监控方法对应的操作。