[发明专利]针对计算机的恶意软件的处理方法

说明书

一种针对计算机的恶意软件的处理方法，包括如下步骤：初始化虚拟机；将恶意软件安装到虚拟机上；将在虚拟机上分析的相同恶意软件安装到计算机上；分析计算机上的恶意软件的行为；基于对恶意软件行为的分析确定第一恶意软件在虚拟机上的行为是否不同于恶意软件在计算机上的行为；响应于确定恶意软件在虚拟机上的行为不同于恶意软件在计算机上的行为，管理计算设备生成指示恶意软件表现不同的通知；计算机管理员对通知进行响应。该方法能够有效的检测到恶意软件并能有效的保护计算机不受恶意软件的损害。

技术领域

本发明涉及一种针对计算机的恶意软件的处理方法.

背景技术

恶意软件会对计算机系统和设备构成严重危害.一旦出现在计算系统或设备上，恶意软件可能会导致相应的个人、财务或其他敏感信息的损害.尽管努力阻止或从系统中删除恶意软件，例如使用防病毒软件程序，但还是有很多计算系统感染了某种形式的恶意软件.恶意软件的广泛存在部分是由于恶意软件变体的范围和多样性.事实上，恶意软件可以采用病毒、蠕虫、特洛伊木马、键盘记录器、间谍软件、广告软件和勒索软件等形式，而且每一种的新类型都在不断产生.此外，正在不断创建许多新的恶意软件变体，通常其多样性和复杂性都在不断增加.因此导致恶意软件难处理，从而危害了计算机安全.

发明内容

本发明的一个方面提供了针对计算机的恶意软件的处理方法.恶意软件的处理方法可能使用将恶意软件有意安装在安全或隔离环境中的区域，旨在保护相同或其他计算设备免受恶意软件的任何不利影响.在某些情况下，这种类型的处理可以在虚拟机环境中完成.然而，更高级的恶意软件变体可能能够检测到它们何时处于虚拟机环境或某些其他分析环境中，因此，在被分析时要么不采取任何行动，要么仅采取良性行动.因此，这些恶意软件变体可能不会被归类为恶意软件，并且只会在实际易受攻击的环境中表现出其负面和不利影响.本发明的一个方面提供了处理这些更高级的恶意软件变体的方式，即使这些变体被设计为避免在虚拟机环境中检测.

所述针对计算机的恶意软件的处理方法包括管理计算设备初始化虚拟机.然后，管理计算设备可以将第一恶意软件安装到虚拟机上.随后，管理计算设备可以分析第一恶意软件在虚拟机上的行为.之后，管理计算设备可以使计算机从不同于主引导源的辅助引导源引导，主引导源可能是计算机上的硬盘.然后，管理计算设备可以将第一恶意软件安装到计算机上.之后，管理计算设备可以分析第一恶意软件在计算机上的行为.然后，管理计算设备可以基于分析确定第一恶意软件在虚拟机上的行为是否不同于第一恶意软件在计算机上的行为.随后，管理计算设备可以响应于确定虚拟机上的第一恶意软件的行为与计算机上的第一恶意软件的行为不同，生成指示第一恶意软件的行为不同的通知.

在某一实施例中，管理计算设备可以响应于确定第一恶意软件的行为与计算机上的第一恶意软件的行为不同，使得恶意软件分析计算设备从网络引导，其中恶意软件分析计算设备可以被配置为当从网络引导时从映像安装服务器接收基本硬盘驱动器映像.然后，管理计算设备可以导致恶意软件分析计算设备对网络的访问被阻止.之后，管理计算设备可以使恶意软件分析计算设备从基础硬盘驱动器映像重新启动.在另一实施例中，管理计算设备可以将第一恶意软件安装到恶意软件分析计算设备上，然后在恶意软件分析计算设备上分析第一恶意软件的行为.

根据某些实施例的方法，管理计算设备可以使计算机从不同于主要引导源的辅助引导源引导，其中主要引导源可以是硬盘计算机.随后，管理计算设备可以将第一恶意软件安装到计算机上.管理计算设备可以分析第一恶意软件在计算机上的行为.然后，管理计算设备可以使计算机重新启动，并且计算机可以从辅助引导源重新启动，使得它可以为随后的恶意软件分析做好准备.

在各种实施例中，计算机可以使用支持IP的电源板重新启动.在某些实施例中，在安装第一恶意软件之后，管理计算设备可以使用户动作在计算机上被模仿.在各种实施例中，可以使用自动化脚本来模仿用户动作.在一些实施例中，可以从远程用户接收用户动作.