技術領域

本發明涉及計算機網絡安全領域，特別涉及一種防止惡意代碼探測虛擬環境的方法及系統。

背景技術

隨著計算機技術的發展，人們對計算機信息技術的需求與依賴也越來越強。人們的生產、生活都離不開計算機技術。計算機的廣泛使用也伴隨著計算機的安全問題。一些人由于利益的驅使或者價值觀的錯誤導向，利用計算機安全漏洞，通過惡意程序對用戶的計算機信息進行竊取，對計算機系統進行破壞，給人們造成了經濟損失。為了防止這一現象的惡化，計算機安全人員開發了一系列的查毒殺毒軟件，檢測計算機惡意程序。而為了躲避殺毒軟件或者病毒分析軟件的分析與查殺，計算機惡意程序也是不斷更新，在躲查免殺方面做了很多掩飾。由于虛擬環境（如沙箱環境或者虛擬機環境）與用戶使用的物理機在系統環境上有著一定的區別。惡意代碼通過對這些環境上用戶信息數據的對比來判斷該環境為用戶環境還是病毒或者木馬檢測的虛擬環境。若偵測到為惡意代碼的檢測環境，它將退出執行或者進行代碼載體的自刪除操作。這種惡意代碼的環境檢測行為影響了對病毒的分析與檢測。

發明內容

本發明針對上述問題提出了一種防止惡意代碼探測虛擬環境的方法及系統，解決了虛擬環境被惡意代碼識別出，而無法進行檢測的問題。

一種防止惡意代碼探測虛擬環境的方法，包括：

獲取惡意代碼樣本，分析所述惡意代碼樣本，獲取用于判斷虛擬環境的判斷條件；

提取所述判斷條件中所使用的參數或數據，以及所使用的API接口；

HOOK所述API，獲取虛擬環境中的參數或數據，逐一判斷所述虛擬環境中的參數或數據是否與所述判斷條件中所使用的參數或數據相同，如果是，則根據所述參數或數據的格式，隨機修改或生成新的參數或數據替換原有參數或數據，或修改所述API的返回值，并觸發執行相關惡意代碼；否則直接觸發執行相關惡意代碼。

所述的方法中，所述虛擬環境包括虛擬機和沙箱。

所述的方法中，所述的用于判斷虛擬環境的判斷條件包括：操作系統信息及硬件信息。

所述方法中，

所述操作系統信息包括：操作系統用戶名、系統服務特征字符串及開發腳本語言環境；

所述硬件信息包括：BIOS信息、設備映射信息及CPU數量。

一種防止惡意代碼探測虛擬環境的系統，包括：

樣本分析模塊，用于獲取惡意代碼樣本，分析所述惡意代碼樣本，獲取用于判斷虛擬環境的判斷條件；

參數提取模塊，用于提取所述判斷條件中所使用的參數或數據，以及所使用的API接口；

數據修改模塊，用于HOOK所述API，獲取虛擬環境中的參數或數據，逐一判斷所述虛擬環境中的參數或數據是否與所述判斷條件中所使用的參數或數據相同，如果是，則根據所述參數或數據的格式，隨機修改或生成新的參數或數據替換原有參數或數據，或修改所述API的返回值，并觸發執行相關惡意代碼；否則直接觸發執行相關惡意代碼。

所述的系統中，所述虛擬環境包括虛擬機和沙箱。

所述的系統中，所述的用于判斷虛擬環境的判斷條件包括：操作系統信息及硬件信息。

所述的系統中，所述操作系統信息包括：操作系統用戶名、系統服務特征字符串及開發腳本語言環境；

所述硬件信息包括：BIOS信息、設備映射信息及CPU數量。

本發明綜合考慮惡意代碼識別虛擬環境的多種方法，通過集成注冊表，用戶名，特殊文件路徑，腳本語言環境等信息，HOOK對這些信息進行識別的API，動態隨機的修改用來被作為虛擬環境識別標志的數據，來防止惡意代碼的探測。

本發明提出了一種防止惡意代碼探測虛擬環境的方法及系統，所述方法通過獲取并分析惡意代碼樣本用于判斷虛擬環境的判斷條件；提取判斷條件中所使用的參數或數據，以及所使用的API接口；HOOK所述API，獲取虛擬環境中的參數或數據，逐一判斷所述虛擬環境中的參數或數據是否與所述判斷條件中所使用的參數或數據相同，如果是，則根據參數或數據的格式，隨機修改或生成新的參數或數據替換原參數或數據，并觸發執行相關惡意代碼。本發明還相應提供了系統結構。通過本發明的方法，能夠有效使虛擬環境躲避開惡意代碼的探測。

附圖說明

為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。