[发明专利]虚拟机的模拟方法及装置、存储介质、计算机设备

说明书

本申请公开了一种虚拟机的模拟方法及装置、存储介质、计算机设备，该方法包括：获取真实系统中的可执行文件对应的可执行文件头；根据可执行文件头导出可执行文件对应的函数；利用可执行文件对应的函数以及可执行文件头，在虚拟机中建立虚拟可执行文件，其中，虚拟可执行文件包括与函数对应的桩函数ID、桩函数调用中断以及桩函数调用返回值。本申请实施例建立的虚拟机在执行目标程序时不会向在真实系统中执行时那样真正的去调用系统中的函数真正的调用函数中的参数实现调用目的。既可以大大的减小虚拟机的磁盘占用空间，加速执行速度，又可以细粒度的控制桩函数执行行为，为基于动态行为的启发式病毒检测提供技术保障。

技术领域

本申请涉及计算机安全技术领域，尤其是涉及到一种虚拟机的模拟方法及装置、存储介质、计算机设备。

背景技术

随着计算机技术的不断发展，现在，无论是在日常生活中还是在工作中，计算机都已经成为人们不可或缺的伙伴，为人们的工作和生活带来了很多的便利，但是在这之中有一个不和谐的因素，那就是计算机病毒。

针对由计算机病毒带来的计算机安全方面的问题，现在几乎任何企业或个人都会使用杀毒软件，但是现在的杀毒软件大多是基于病毒库中包括的病毒特征进行病毒查杀，即若计算机中的某个程序命中了病毒库中的病毒特征，则判定该程序为病毒程序，很显然，若出现新型病毒或变种病毒，利用病毒库将难以应对。

因此本申请提出了采用虚拟机引擎进行启发式病毒检测的方法，但是在目前开发虚拟机引擎的过程中，发现在搭建好虚拟机架构后，如果完全按照真实系统模拟虚拟机，让虚拟机加载真实系统可执行文件，会造成虚拟机便的非常的臃肿庞大，执行效率差，且无法很好的控制API的执行行为，达不到病毒动态行为分析的目的。

如何建立一种更适用于病毒检测的虚拟机，成为了计算机安全领域的重点课题。

发明内容

有鉴于此，本申请提供了一种虚拟机的模拟方法及装置、存储介质、计算机设备。

根据本申请的一个方面，提供了一种虚拟机的模拟方法，包括：

获取真实系统中的可执行文件对应的可执行文件头；

根据所述可执行文件头导出所述可执行文件对应的函数；

利用所述可执行文件对应的函数以及所述可执行文件头，在虚拟机中建立虚拟可执行文件，其中，所述虚拟可执行文件包括与所述函数对应的桩函数ID、桩函数调用中断以及桩函数调用返回值。

具体地，所述在虚拟机中建立虚拟可执行文件之后，所述方法还包括：

当目标程序在所述虚拟机中执行时，调用所述虚拟可执行文件；

响应于所述目标程序对所述虚拟可执行文件中的目标桩函数调用，通过相应的所述桩函数调用中断实现所述目标程序对所述目标桩函数的调用，其中，通过目标桩函数ID确定相应的所述桩函数调用中断；

根据所述目标程序调用的所述目标桩函数以及所述桩函数调用返回值，输出所述目标程序的执行结果。

具体地，所述方法还包括：

记录所述目标程序在所述虚拟机中执行时调用的所述桩函数ID；

根据所述目标程序所调用的所述桩函数ID，判断所述目标程序是否为恶意程序。

具体地，所述根据所述目标程序所调用的所述桩函数ID，判断所述目标程序是否为恶意程序，具体包括：

根据所述目标程序所调用的所述桩函数ID，确定所述目标程序的执行序列，并从所述执行序列中解析出所述目标程序的执行特征；

查询所述目标程序的执行特征是否属于预设执行特征黑名单中包含的恶意执行特征；