[发明专利]恶意软件分析方法

权利要求书

1.一种恶意软件分析方法，其特征是：包括如下步骤：

步骤1，初始化虚拟机，并利用管理计算设备使恶意软件在从辅助源引导的虚拟机和物理计算设备两者上进行分析，并且管理计算设备可以比较恶意软件在每个虚拟机和物理计算设备上的行为；

步骤2，判断并确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为；

步骤3，响应于确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为，管理计算设备使恶意软件分析计算设备从网络导入，其中恶意软件分析计算设备被配置为当从网络引导时从映像安装服务器接收基础硬盘驱动器映像；

步骤4，管理计算设备然后在接收到基础硬盘驱动器映像之后使恶意软件分析计算设备对网络的访问被阻止；

步骤5，管理计算设备然后使恶意软件分析计算设备从基础硬盘驱动器映像重新启动；

步骤6，管理计算设备然后再将第一恶意软件安装到恶意软件分析计算设备上；

步骤7，分析第一恶意软件在恶意软件分析计算设备上的行为。

2.如权利要求1所述的一种恶意软件分析方法，其特征是：步骤3中包括使用多个恶意软件分析计算设备来分析恶意软件分析。

3.如权利要求2所述的一种恶意软件分析方法，其特征是：所述恶意软件分析设备对任何其他组件的网络访问可以被阻止。

4.如权利要求2所述的一种恶意软件分析方法，其特征是：所述恶意软件分析设备对网络访问可以被限制到被设计用于测试恶意软件的网络的有限子集。

5.如权利要求1所述的一种恶意软件分析方法，其特征是：步骤5，使用启用IP的电源板来使恶意软件分析计算设备从基础硬盘驱动器映像重新启动。

6.如权利要求5所述的一种恶意软件分析方法，其特征是：通过控制通过管理计算设备提供给电源板的电源，以选择性地循环关闭然后打开提供给恶意软件分析计算设备的电源。

7.如权利要求1所述的一种恶意软件分析方法，其特征是：所述恶意软件分析计算设备的引导顺序偏好使设备最初尝试从网络引导，然后，如果该请求超时，则从其硬盘引导。

8.如权利要求7所述的一种恶意软件分析方法，其特征是：当由于缺乏网络访问而从硬盘引导时，将从已安装的基本硬盘驱动器映像进行引导。

9.如权利要求7所述的一种恶意软件分析方法，其特征是：恶意软件分析计算设备一旦重新启动，恶意软件分析计算设备可能没有恶意软件并且可以完全类似于用户使用的真正物理机器，此时最小化恶意软件变体仅显示良性行为的几率。

10.如权利要求9所述的一种恶意软件分析方法，其特征是：在恶意软件分析计算设备上模仿用户动作。

11.如权利要求9所述的一种恶意软件分析方法，其特征是：在恶意软件分析设备以及虚拟机和/或物理计算设备上模仿用户动作。

12.如权利要求10或11所述的一种恶意软件分析方法，其特征是：更容易受到攻击的网络的其他部分，可以免受恶意软件的任何不利影响。

13.如权利要求12所述的一种恶意软件分析方法，其特征是：所述恶意软件分析计算设备对网络的访问可以被受管交换机阻止或解除阻止。

14.如权利要求13所述的一种恶意软件分析方法，其特征是：所述恶意软件分析设备在安装恶意软件时和在初始分析之后提供更实质性的分析。

15.如权利要求14所述的一种恶意软件分析方法，其特征是：所述更实质性的分析包括生成通知来提醒IT员工或专业人员在虚拟机上检测到恶意软件，或者虚拟机和物理计算设备上的行为存在差异；如果在恶意软件分析设备上分析相同的样本，IT员工或专业人员可以直接监控安装和分析。