技術領域

本發明涉及計算機安全技術領域，尤其涉及一種可疑代碼分析方法及裝置。?

背景技術

可疑代碼行為分析環境在理論上是一種虛擬執行環境，而這一個虛擬執行環境的建立的理論依據就是虛擬機(virtual?machine，VM)技術。?

傳統的虛擬機技術，就是所謂的硬件級虛擬機，它的理論原理是對硬件進行虛擬化，向運行在其上的VM提供接口，每個VM上運行一個獨立的GuestOS，每個GuestOS都認為自己獨立運行在硬件之上。硬件級虛擬機的設計與實現都非常復雜，并且每一種虛擬機的具體實現方案都有所不同，比如：VmWare，Microsoft?Virtual?PC，但是它們的大體思路是一樣的，就是對硬件進行虛擬化，其中最重要的部分是CPU虛擬化，內存虛擬化和設備虛擬化。?

但是硬件級虛擬機的設計與實現是非常困難的，涉及到的技術領域也非常廣，因此到現在為止，能夠實現硬件級虛擬機的只有少數幾個大公司和幾個研究機構；硬件級虛擬機對資源占用很大，原因之一是指令的執行依靠VMM的轉化，第二是缺頁中斷需要VMM處理，第三是I/O操作也要VMM參與，此外CPU調度算法的優劣，I/O調度算法的優劣也是決定因素之一。?

為了解決硬件級虛擬機上述兩個問題，另外一種被稱作操作系統級虛擬機產生了。這種虛擬機對系統調用進行虛擬化，對運行其上的應用程序提供一個虛擬執行環境，并且提供相當程度的隔離。所有的操作系統VM都共享主機OS的內核組件，包括硬件抽象層，設備驅動，OS?kernel(操作系統內核)和OS?Executive，和系統啟動所需的組件。每個新VM啟動的操作系統環境和主機OS當時的環境是一致的。這樣，VM啟動的時延，初始化所需?要的資源都是很少的，VM在運行的時候對主機OS造成的負擔也是很小的，因為它采用的是命名空間虛擬化技術。?

操作系統級的虛擬機的優勢就是，設計與實現比較簡單，運行時負擔比較小，并且能夠提供進程間的隔離，因此在許多方面都有應用。?

在實現本發明的過程中，發明人發現現有技術中至少存在如下問題：由于操作系統級虛擬機是依賴操作系統的，所以有大部分操作系統內核是不能夠被修改的，而系統某些程序或是組件是緊密依賴與這些內核結構的，所以操作系統級的虛擬機不能完全的提供虛擬化；由于不能完全提供虛擬化，直接利用現有的操作系統級虛擬機來分析可疑代碼的行為是不合適的；利用這種理論實現的系統大部分只提到了如何將VM?APP(指虛擬機中運行的進程)限制在VM中，而沒有詳細說明如何防止VM?APP對主機系統的干擾。?

發明內容

本發明實施例提供一種可疑代碼分析方法及裝置，實現對可疑代碼的行為采集與分析在虛擬執行環境中進行，并且提供良好的隔離效果，避免可疑代碼對主機進程造成破壞。?

本發明實施例提供一種可疑代碼分析方法，包括：?

創建代碼虛擬執行環境，所述代碼虛擬執行環境創建主機系統的常用進程；啟動可疑代碼，所述可疑代碼對主機系統進行操作；將可疑代碼對主機系統的常用進程的操作重定向到所述代碼虛擬執行環境創建的進程；?

將可疑代碼對主機系統的文件系統或注冊表的操作重定向到所述代碼虛擬執行環境創建的虛擬的文件系統或虛擬的注冊表；?

記錄可疑代碼運行時的行為特征并保存為日志文件；?

將所述日志文件通過命名管道發送至所述主機系統進行分析，所述命名管道對于所述代碼虛擬執行環境中的可疑代碼是不可見的。?

本發明實施例提供一種可疑代碼分析裝置，包括：?

虛擬執行環境創建模塊，用于創建代碼虛擬執行環境，所述代碼虛擬執行環境創建主機系統的常用進程；可疑代碼啟動模塊，用于啟動可疑代碼，所述可疑代碼對主機系統進行操作；?

重定向模塊，用于將可疑代碼對主機系統的常用進程的操作重定向到所述代碼虛擬執行環境創建的進程，將可疑代碼對主機系統的文件系統或注冊表的操作重定向到所述代碼虛擬執行環境創建的虛擬的文件系統或虛擬的注冊表；?

行為記錄模塊，用于記錄可疑代碼運行時的行為特征并保存為日志文件；?

管道通信模塊，用于將所述日志文件通過命名管道發送至所述主機系統進行分析，所述命名管道對于所述代碼虛擬執行環境中的可疑代碼是不可見的。?