CN1476554A

CN1476554A - 分析型虚拟机

Info

Publication number: CN1476554A
Application number: CNA018179142A
Authority: CN
Inventors: 彼得・A・J・凡得梅德; 彼得·A·J·凡得梅德
Original assignee: vCIS Inc
Current assignee: vCIS Inc
Priority date: 2000-10-24
Filing date: 2001-08-28
Publication date: 2004-02-18
Also published as: AU2001286849A1; WO2002035328A1; CA2426065A1; US20020056076A1; EP1330692A1; US7146305B2; JP2004517390A; TW538376B

Abstract

分析型虚拟机(AVM)使用软件处理器对计算机代码进行分析，包括寄存器，用于存储表示通过在虚拟机内虚拟地执行代码识别的行为的行为标志。AVM包括一个序列发生器，用于存储在行为标志寄存器中设置行为标志的序列。AVM通过在一个完全的虚拟机上模拟被分析的代码的执行对机器性能进行分析并记录观察到的行为。当模拟和分析完成时，AVM将行为标志寄存器和序列发生器返回到实机器并终止。

Description

分析型虚拟机

优先权声明和相关中请

本申请优选于2000年10月24日提出的序列号为No.60/242,939的美国临时专利申请，该申请在这里全部加以引用。本申请与2000年8月18日提出的序列号为No.09/642,625的美国专利申请有关，该申请在这里全部加以引用。

技术领域

本发明涉及虚拟机系统，具体来说，涉及适用于进行自动代码分析并能分析包括呈现给计算机系统的可执行程序的数据的虚拟机系统。

背景技术

检测包括诸如病毒之类的程序的恶意代码已经是个人计算机时代普遍所关心的事。随着诸如因特网之类的通信网络的增长和数据交换的扩大，包括使用电子邮件进行通信的迅速发展，通过通信或文件交换而发生的对计算机的传染已经越来越成为值得注意的问题。感染呈现各种各样的形式，但通常都与计算机病毒、特洛伊木马程序或其他形式的恶意代码相关。最近通过电子邮件发动的病毒攻击事件对于传播速度和破坏的范围都给人留下了深刻的印象，使得因特网服务提供商(ISP)和各种各样的公司都发生了服务问题，并丧失了发送电子邮件的能力。在许多情况下，充分地防止文件交换或通过电子邮件发生的传染的努力使计算机用户感到非常不便。人们希望有更好的检测和处理病毒攻击的策略。

一个用于检测病毒的常规方法是签名扫描。签名扫描系统使用从已知的恶意代码提取出来的样本代码模式，并对其他程序代码进行扫描以发现是否有这些模式发生。有时候首先通过模拟对被扫描的程序代码进行解密，并对所产生的代码进行扫描以便发现签名或函数签名。这种签名扫描方法的主要局限性是，只能检测已知的恶意代码，即，只有匹配已知恶意代码的存储的样本签名的代码才被确定为被感染。所有以前没有识别的病毒或恶意代码以及在上次对签名数据库进行更新之后创建的所有病毒或恶意代码都将不会被检测到。因此，此方法不能检测到新创建的病毒；也不会检测到带有其中以前提取的并包含在签名数据库中的签名已经被改写的代码的病毒。

此外，如果签名在代码中不以预期的方式对准，签名分析方法也不能识别病毒的存在。或者，病毒的作者可能通过操作码替换或通过向病毒函数中插入伪码或随机码来模糊病毒的身份。也可以插入无价值的代码，以在一定的程度上改变病毒的签名，从而使签名扫描程序无法被检测到，而不会减弱病毒繁殖和提供其有效负载的能力。

另一种病毒检测策略是完整性检查。完整性检查系统从已知的良性应用程序代码中提取代码样本。代码样本与程序文件中的诸如可执行程序标头和文件长度以及程序文件的创建日期和创建时间之类的信息存储在一起。每隔一定的时间对照此数据库检查程序文件，以确保程序文件没有被修改。基于完整性检查的病毒检测系统的一个主要缺点是，当对应用程序进行任何修改时会发出大量的病毒活动的警告。例如，当用户将计算机的操作系统升级或安装或升级应用程序软件时，完整性检查程序将生成很长的已修改的文件的列表。用户难以确定何时警告表示对计算机系统的真正的攻击。

校验和监视系统通过为每一个程序文件生成循环冗余校验(CRC)值来检测病毒。对程序文件的修改是通过CRC值的变化来检测的。与完整性检查系统相比，校验和监视的优点在于，恶意代码更难以躲避监视。另一方面，校验和监视也表现出与完整性检查系统一样的局限性，因为也会发出许多假的警告，难以鉴别哪些警告是真实的病毒或感染。

行为拦截系统通过与目标计算机的操作系统交互并监视可能存在恶意的行为来检测病毒活动。检测到这样的恶意行为时，操作就会被阻止，并向用户发出通知，即将发生可能存在危险的操作。可能存在恶意的代码可以由用户允许以执行此操作。这使得行为拦截系统稍微有点不可靠，因为系统的有效性取决于用户输入。此外，常驻的行为拦截系统有时也会被恶意代码检测到并将其停用。

另一种用于检测感染的传统策略是利用诱饵文件。此策略通常与其他病毒检测策略一起使用以检测现有和活动的感染。这意味着，恶意代码目前正在目标计算机上运行并正在修改文件。当诱饵文件被修改时，就说明检测到了病毒。许多病毒能察觉到诱饵文件，并不会修改太小、从它们的结构明显地看出是诱饵的文件，或在文件名中具有预先确定的内容的文件。

很明显，需要更好的用于检测病毒及其他类型的恶意代码的方法。

本发明利用虚拟机技术的某些特征。“虚拟机”的概念在当前技术中是已知的，虚拟机具有各种用途。“虚拟机”的优点包括能够执行不会在其他环境下的硬件平台上执行的代码，如为其他硬件平台设计的代码。虚拟机技术还可以应用在多用户和多处理系统中，在这些系统中，每一个进程都在其自己的虚拟机内运行。

虚拟机已经应用于各种各样的计算机功能，如在计算机硬件和高级语言(HLL)之间的接口中(授予Hoskins的美国专利No.5,872,978)、实机器的联网以构成并行处理器(授予Walsh等人的美国专利No.5,774,727)以及创建多任务处理或多用户计算机环境(授予Kaneda等人的美国专利No.4,400,769)。虚拟机还可以应用于需要跨平台HLL代码可移殖性的场合(授予Alexander，III等人的美国专利No.6,118,940)。

发明内容

本发明的一个目标是提供一种用于进行计算机代码行为分析的虚拟机系统，虚拟机系统具有软件处理器。处理器存储了行为记录，包括行为标志，这些标志表示通过在虚拟机内虚拟地执行接受分析的计算机代码而观察到的计算机代码行为。序列发生器存储了在接受分析的计算机代码的虚拟执行期间在行为记录中设置行为标志的序列。提供了表示宿主实计算机系统的模拟内存和模拟操作系统，接受分析的计算机代码与模拟内存和模拟操作系统进行交互，以生成行为标志。在终止虚拟机之前，虚拟机将表示行为记录的数据传递到宿主实计算机系统。

本发明的另一个目标是提供一种用于进行计算机代码行为分析的并具有软件处理器的虚拟机系统。虚拟机包括一种寄存器或结构，用于存储行为标志，这些标志表示通过在虚拟机内虚拟地执行接受分析的计算机代码而观察到的计算机代码行为。虚拟机还包括一种寄存器或结构，用于存储在行为标志寄存器或结构中设置行为标志的序列。寄存器或结构在虚拟机内存储了到接受分析的计算机代码的所有入口点。结构存储了中断矢量地址，这些地址指向在初始化虚拟机时加载到由虚拟机预留的内存中的中断服务例程。一个内存结构模拟输入和输出端口，另一个内存结构模拟处理器内存。一个或多个操作系统模拟壳模拟由接受分析的计算机代码将要在其中操作的实操作系统返回的值。

附图说明

图1说明了带有DOS MZ型的可执行或二进制文件的分析型虚拟机的配置。

图2说明了带有高级语言(HLL)程序代码的分析型虚拟机的配置。

图3说明了运行PE、NE或LE Windows可执行的代码的分析型虚拟机的配置。

图4显示了运行二进制(COM或SYS)可执行文件和运行Visual Basic(VB)可执行文件的分析型虚拟机的内存映像。

图5A和5B概要说明了由分析型虚拟机的一个优选实施例生成的列出了行为模式的表格、序列发生器和入口点结构。

图6显示了执行二进制机器代码的分析型虚拟机的优选实施例的简要过程流程图。

图7显示了执行HLL的分析型虚拟机的优选实施例的简要过程流程图。

具体实施方式

本发明的优选实施例提供了一种分析型虚拟机(AVM)系统，该系统在模拟计算机系统内执行程序代码，方式类似于代码在实计算机系统中的执行方式。分析型虚拟机的优选实施例不允许物理输入或输出发生，也不允许在接受分析的程序代码和实的或物理的计算机系统之间进行任何交互。相反，输入和输出操作、系统调用与指令都是以对接受分析的代码透明的方式模拟的。在正在被分析的代码执行期间，系统功能、操作系统应用程序编程接口(API)调用、输入和输出命令以及对预先定义的存储位置的变更都会由分析型虚拟机记录下来。优选情况下，分析型虚拟机将记录的数据作为行为模式和表示在虚拟执行期间设置行为模式位的序列的序列结构返回到实的或物理的计算机系统。

这里描述的分析型虚拟机(AVM)计划用于自动代码功能分析和行为提取中。“代码”是已标记化或源代码文本格式的二进制机器代码或高级语言(HLL)。分析型虚拟机从传递给它的入口点表中的每一个入口点执行接受分析的代码。在虚拟地执行代码时，AVM监视系统调用、输入/输出(I/O)操作和内存存取。无论是机器语言指令还是高级语言指令都在AVM的模拟中央处理单元(CPU)内执行。由应用程序代码调用的操作系统功能、应用程序代码执行的输入/输出端口读取和写入操作和内存读出和写入操作都在AVM环境内模拟。

早先的分析系统在没有虚拟执行的情况对代码进行扫描。在这样的系统中，对应用程序代码进行扫描以发现函数调用或目标代码片断(授予Arnold等人的美国专利No.5,440,723)。该扫描方法具有若干个缺点，第一个缺点是代码模式匹配可能与实际执行的代码不同步。该扫描方法的另一个缺点是，对函数的直接访问，即，不会检测到没有通过记录的调用结构的函数访问。此外，内存中的被代码执行填满的控制字段不存在，因此在该扫描方法中不会被分析。第三个缺点是，编写恶意代码的人可能通过将“无用”的代码插入到函数模板或通过以非常规的方式调用函数来伪装该代码的实函数。由于这些缺点，扫描分析系统总不是人们所希望的那样。

本发明的优选实施例像这里所讲述的那样使用分析型虚拟机。这样的虚拟机从每一个入口点开始与实的程序流同步执行应用程序代码。当使用这样的特别优选的分析型虚拟机时，可以获得应用程序代码内包含的函数的准确表现。“无用”指令在伪装代码中不再有效。如果AVM以特别优选的方式实现以便像实机器那样响应，那么以非常规的方式调用函数将会无效。

正如下面将详细地讲述的，与传统的本机相比，在代码分析中利用虚拟机具有一个优点，即，通过在安全的环境内执行代码来对代码进行分析。这里的“安全”是指这样的事实，实计算机系统的操作系统、程序和数据不与接受分析的代码进行交互，因此不会被接受分析的代码损害。尽管如此，分析与正常的代码执行同步进行，仿佛代码是使用实处理系统在本机上执行的。

因此，分析型虚拟机的优选实施例可以容纳许多操作系统和硬件平台，以便进行模拟。可以灵活地修改计算系统的结构。此外，还可以监控系统的操作。在某些目前优选的实施例中，监控功能被嵌入到AVM的虚拟操作系统内部，以分析未知的程序代码的行为。图1显示了一个物理计算机系统内的AVM的当前实施例的方框图。与基于编译器的虚拟机类似，AVM处理代码流的流动。与基于编译器的虚拟机不同的是，在执行代码时调用虚拟操作系统功能。

图1显示了一个计算机系统的结构，该系统运行已经被初始化的AVM的一个实例，以便执行DOS MZ型可执行文件或DOS二进制COM或SYS程序，包括这样的程序使用的启动扇区加载器。标有100的方框内的区域表示实机器，即，包括物理中央处理单元(CPU)、物理内存和用户输入和输出通道的计算机的硬件。输入和输出通道包括键盘、鼠标、视频显示器、磁盘驱动器及连接到处理单元的其他外围设备。操作系统102与处于执行过程中的设备驱动程序和应用程序一起存储在物理内存中，可能在其他虚拟机内。所有这样的软件都由实中央处理单元(CPU)105执行。方框图中显示了一个设备驱动程序，它是文件系统挂钩设备驱动程序101。文件系统挂钩设备驱动程序101挂到实操作系统文件系统，并通知启动AVM的应用程序对存储在硬盘驱动器上的文件进行了修改。

操作系统软件102驻留于内存106中并在实机器100内操作。初始化和接收分析型虚拟机200的结果的应用程序103存在于实机器之中，在操作系统102环境内执行，与分析型虚拟机200一样。在分析型虚拟机200被初始化之后，应用程序将入口点、文件类型和包含存放程序的主入口点的分段的缓冲区传递到程序加载器预处理器211。

一旦创建了虚拟机，应用程序将预留一部分物理内存106以便由虚拟机使用。此内存块标有210并存在于物理内存106中。预处理器211准备虚拟内存块210以供分析型虚拟机使用，并创建所有相应的模拟操作系统内存块，如在虚拟地址0000到1023创建中断矢量表、在虚拟地址1024到1279创建DOS参数区域、为VGA显示器预留的程序区和内存(映射到虚拟地址0a000h)。程序加载器预处理器211创建内存控制块(MCB)，然后将入口点代码加载到此内存中。在模拟高存储区中，在IBM PC基本内存映像的640K边界上方，创建虚拟中断服务例程。接受分析的程序代码引用的所有地址被软件内存映射器207重新映射以装于此内存模式内。

在程序加载器211完成虚拟DOS内存模式的初始化之后，虚拟CPU 205开始通过预取机制203获取程序指令。取决于由软件指令解码器204获取并解码的每一个指令的第二字节(Or/m字节)，软件或虚拟CPU使用数据获取机制208和内存映射器207从寄存器堆栈206或从虚拟内存210处获取。

软件CPU 205对数据执行所希望的操作，并将结果写回由Or/m字节确定的目的地。引用的操作系统功能在操作系统模拟器201中进行模拟。中断服务在中断服务模拟器212中进行模拟，矢量存储在虚拟内存210中的地0000到1023中。高存储区中的中断服务充当中断矢量表和模拟中断服务212之间的链接。内存块210还包含系统堆栈和应用程序代码堆栈。系统和应用程序代码堆栈没有显示出来，因为它们是包含在接受分析的应用程序代码内的地址创建的，并且在应用程序与应用程序之间不同。如果控制字节Or/m指出需要从内存210中预留的虚拟堆栈区处获取数据，那么就这样做。

软件CPU 205具有预取机制203，以及指令解码器204。在获取指令并进行解码和执行之时，接受分析的程序代码就执行模拟功能。每一个模拟的功能的执行都在行为标志寄存器209中设置和重置标志，这些操作发生的序列将记录在序列发生器213中。所产生的行为标志模式，与序列发生器结构一起，被传递到启动了分析型虚拟机的应用程序。然后分析型虚拟机在目前优选的实施例中终止。

下面将进一步地以图6来说明此过程，该图显示了AVM的优选实施例内的流程的方框图。图6和其他图一样，说明了一个优选实施例，但不会对本发明的范围作出限制。程序加载器预处理器功能在左上角显示出来。应用程序传递文件类型、代码长度、入口点偏移和包含整个入口段代码的长度“len”的缓冲区以及包含在可执行文件内的SS(堆栈段)、SP(堆栈指针)、CS(代码段)和IP(指令指针)寄存器值。然后加载器预处理器预留一块物理内存以供AVM作为虚拟内存使用。此时为虚拟内存预留的内存块的大小被限制在64000h字节(十进制数409600)。然而，虚拟内存的大小与AVM的操作无关，因此不应该被视为限制。

虚拟内存映像被初始化以包含中断矢量表、BIOS参数区域、DOS参数区域、环境字符串表、程序段前缀(PSP)和显示适配器内存块(在0a000h映射)。在显示适配器内存块的上面预留了一个区域，在该区域中，为中断矢量表(IVT)内包含的1024个中断中的每个中断创建中断服务例程(ISR)。然后，剩余的内存被配置为由内存控制块(MCB)控制的内存块。由控制应用程序传递到AVM的入口段代码放在虚拟内存中的MCB内存块内。接下来，虚拟处理器的段寄存器；SS、ES、DS、CS、GS和FS被用取决于放在虚拟内存中的可执行代码的类型的值初始化。然后，寄存器堆栈EAX、EBX、ECX、EDX、ESP、EBP、ESI、EDI和标志寄存器被初始化。在行为寄存器中设置和重置标志的监视功能被嵌入到单个的操作系统调用、中断调用和API调用以及地址重映射器和中断服务例程。在每一个下一个指令处理循环期间，检查是否已经超过允许的CPU时间的最大值。优选情况下强制实行此虚拟CPU时间限制，以中断死锁状态，在死锁状态下，接受分析的代码使AVM进入一种无限循环。对CPU时间限制的适当配置可使长的解码或多形循环在处理时可能会出现死锁风险。

IP寄存器指向虚拟内存中的入口点。此时，在虚拟执行过程中，虚拟CPU开始填充12字节预取队列。根据英特尔的奔腾指令集引用来对字节进行解码，此12字节队列中的第一个字节确定指令字的功能。指令字包括操作、中断调用或操作系统API调用。当然，在其他处理器的实施例中，其他指令集引用也是可以的，具体的细节将会有所变化。由此讨论可以看出如何为不同处理器和不同操作系统实施例来实现分析型虚拟机。

在执行一种操作的情况下，调用FetchData过程，该过程从虚拟内存、预取队列或从处理器的寄存器检索正确的数据，具体情况取决于存储在预取队列的第二个字节(Or/m字节)的值。对如此检索的数据进行处理，例如，进行加法、除法、乘法运算或通过应用于数据的大量的其他算术或逻辑操作符进行处理。然后调用SetFlags过程，该过程对执行的操作的结果进行评估，并相应地在虚拟标志寄存器中设置标志。SetSign过程调整处理结果的符号。MemRemap过程将虚拟内存中的目的地的地址作为其输入。重新映射此地址以适应为虚拟内存预留的409600字节。在MemRemap过程中对地址空间修改进行监视。

在进行中断调用的情况下，调用索引被传递到一个过程，该过程通过查寻中断矢量表(IVT)中的地址来将控制权传递到相应的中断服务例程。然后分析继续进行，在虚拟BIOS、虚拟DOS、虚拟DPMI、虚拟Windows(本机API)或在接受分析的代码(如果该代码已经修改IVT以指向其自己的某一个过程)执行相应的中断服务例程。在相应的过程中对中断功能进行监视。

在进行API调用的情况下，调用被传递到一个过程，该过程将相关的序号附加到该调用，并将控制权传递到虚拟API。此虚拟API包含模拟实操作系统API的响应而不是功能的过程。在每一个API过程中对API功能进行监视。API功能修改虚拟内存的区域，以便后来的虚拟API调用可以读回正确的和预期的结果。

此事件序列持续进行，直到遇到结束程序系统调用或执行当前段外面的远转移。每当遇到转移指令，AVM将使用原程序员计划的参数转移，但与转移指令中使用的条件一起存储在入口点表中的分支的另一端。入口点表被遍历，从入口点表中的每一个入口点执行代码。入口点表中不允许重复。当所有的入口点都已经被处理之后，所产生的行为模式与序列发生器结构一起被返回到主动进行调用的应用程序，AVM停止，并释放预留的内存块。然后实计算机系统内的主动进行调用的程序可以检查行为模式和序列发生器以评估AVM分析的代码。

图2显示了加载了代码解释器的AVM的配置，其类型适合于运行高级语言。程序加载器301将程序代码拆分成为单个的行、将程序行编成索引，并将它们放在虚拟内存310中。在此加载操作期间，从代码中提取入口点信息，并与每一个入口点引用的程序行索引一起放在入口点表中。程序代码中使用的变量通过程序代码在AVM的第二pass 中提取。变量存储在虚拟内存310中的一个变量结构中，包含变量索引、变量类型、以及变量的当前值，它们在模拟之前被初始化为零。此时，代码解释器305接收控制权并开始从入口点表中的第一入口点获取指令。指令被解释，并在从中获取指令(跳转指令)的位置对变量结构中的变量进行操作或它们调用系统服务(打开文件、写入文件等等)并执行应用程序编程接口(API)调用。系统服务在服务模拟过程312中进行模拟。Calc.Next过程308计算内存310中的下一个行号，Fetch Next过程307从该行号获取下一个指令行。行为标志寄存器302监视某些系统变量、系统服务和API调用的初始化。这些事件设置和重置行为标志寄存器302中的位。设置或重置行为寄存器标志的序列也记录在序列发生器结构309中。暂时存储器306用于暂时存储系统服务的状况，该状态稍后可以被应用程序代码引用。

系统为每个指令行执行此事件序列，并在代码中的每一入口点继续，直到入口点表中的所有入口点都已经被处理完毕。然后，AVM与序列发生器结构一起将行为模式返回到主动进行调用的程序，并终止AVM。图7进一步说明了AVM的图2实例的过程流，该图显示了在AVM被初始化以解释并提取高级语言(HLL)程序(如VBScript代码)的行为模式之后当前AVM实施例内的过程流。语言定义关键字列表和规则定义了由处理核心解释的语言。在图7中，显示了一个关键字列表，这是一个VBA和VBS之间的交叉，但处理核心不限于这些语言。

当图7的AVM被初始化之后，实内存的409600字节(十六进制0x64000)块作为虚拟计算机内存而预留。加载器功能初始化内存，然后将传递给它的代码缓冲区作为单个的行加载到虚拟内存，行之间由回车(CR-0Dh)或CR和换行符(CR LF＝OD 0Ah)字符代码隔开。这些行被作为索引编到源结构中，每一行都被分配一个地址。对源行的处理在pass 1开始，在pass 1中，在代码中定义的所有入口点，如菜单入口、自动执行过程和附加到标准系统功能的过程都位于入口点表中。在pass 2中，存在于代码中的所有变量都被提取并放在虚拟内存内的变量结构中。每个变量都作为地址、变量类型、变量名和变量值来存储。

此后AVM处理核心开始从到代码的第一入口点获取指令。使用关键字列表和语言规则对行进行解码。从变量结构按代码行获取变量引用并进行处理。然后将变量值写回到相应的位置。在进行API调用以执行操作系统功能的情况下，虚拟API被引用，并查询API函数的内部序号，执行模拟功能，并将模拟调用值返回到HLL调用函数。在执行期间，过程流导致行为寄存器302(图2)中的标志被设置或重置，这些事件的序列存储在序列发生器结构309(图2)中。此过程持续执行，直到入口点表中的所有的入口点都被处理完毕，此时分配的内存被释放，行为寄存器值和序列发生器结构被返回到应用程序以供分析，AVM被终止。

在本实施例中，根据本发明的分析型虚拟机具有三种操作模式：高级模式、保护模式和实模式。实模式相当于诸如DOS之类的操作系统，图1和6中说明了AVM的对应的实例。高级模式可以用于分析以诸如Perl、Visual Basic或脚本语言之类的高级语言编写的程序。图2和7说明了AVM的高级模式。

AVM的保护模式实例可以用于分析32位Windows代码或Linux代码。图3说明了用于保护模式的AVM的配置。从该说明和有关高级和实模式分析型虚拟机的详细讨论中，可以很容易地看出图3的AVM的结构和操作，这里就不再赘述。与实模式实施例相比，主要区别是保护模式系统的内核和API功能。保护模式的这些方面反映了这样的事实：它已经正在运行一个虚拟机，是进行API调用而不是中断。

图4说明了这里讲述的不同模式中的分析型虚拟机使用的各种内存映像。如图所示，由不同模式的设备分析的程序的加载方式也不同。因此，为这些不同模式中的每一种模式特别配置了分析型虚拟机，并确定待分析的程序从何处开始执行以及如何对程序进行分析。这里说明的内存分配是示范性的，并可针对特定的系统进行优化。同样，未来处理器和程序也应该改变这里说明的AVM和其实现方式的准确的特征。

根据本发明的优选的实施例进行的AVM调用的最终产物是行为标志寄存器和序列发生器的内容。图5A和5B说明了被跟踪以描述接受分析的代码的特征的示范性的和目前优选的行为集。此行为列表目前是优选的，因为它准确地跟踪了可能的恶意行为，并准确地描述了代码的目前的特征。可以预料，可能需要未来的不同的行为集或对说明的行为集进行修改。序列发生器是跟踪行为标志寄存器的演变的数据结构。在行为寄存器中设置标志的序列对分析并完全描述被分析的代码的特征特别重要。序列发生器是其大小适合于准确地描述代码特征的数据结构。行为寄存器中的结束模式和存储在序列发生器中的标志设置和重置的序列都在刚刚要终止虚拟机之前传递到实机器。然后，主动进行调用的应用程序使用这些结构中的数据来描述被分析的代码的特征。

前面的讨论描述了一种在实计算机上的被保护的执行环境内对应用程序(代码)进行分析的虚拟机。此分析型虚拟机(AVM)包括一种预处理器，该预处理器在由虚拟机预留的内存中创建将在其中执行应用软件程序的相应的操作系统的影像。AVM识别操作系统并按存储了应用程序的文件的标头内的文件格式和控制字段并按待分析的程序代码配置执行环境。AVM由实计算机的操作系统运行以执行AVM内包含的应用程序。在应用程序和系统软件执行环境和/或计算机硬件之间不允许直接的交互存在。

计算机免疫系统应用程序为每次分析创建AVM并在该分析完成时销毁。AVM由许多分层的壳构成。AVM壳的配置取决于需要分析的应用程序的格式；例如，如果分析本机程序代码，则加载软件CPU壳，而要是高级语言脚本或程序代码，则加载相应的语言解释器。因此，AVM的处理器核心要么作为CPU执行本机代码存在，要么作为高级语言解释器存在。应用软件程序内包含的操作系统调用是以这样的方式进行模拟的，以便使应用程序看起来似乎是在物理计算机环境内执行的。

应用程序以AVM内的多个pass执行，具体情况取决于应用软件程序的结构，并且不能以应用程序的原创建者计划的任何顺序执行。在AVM内执行的目的是进行一种分析，以便提取该程序内包含的每一种状况下的程序代码行为。一旦此目的得到满足，分析型虚拟机就终止，保留了生成的行为模式和序列发生器结构，该结构包含行为模式中记录的事件发生的顺序。

这里描述的AVM最适合用于并计划与2000年8月18日提出的序列号为N0.09/642,625的美国专利申请中描述的计算机免疫系统和方法一起使用。序列号为No.09/642,625的申请这里全部加以引用，以便进一步说明描述的分析型虚拟机的优选实施例和应用的其他方面。

Claims

1.一种用于进行计算机代码行为分析的虚拟机系统，该虚拟机系统具有软件处理器，包括：

行为记录，用于存储行为标志，这些标志表示通过在虚拟机内虚拟地执行接受分析的计算机代码所观察到的计算机代码行为；

序列发生器，用于存储在接受分析的计算机代码的虚拟执行期间在行为记录中设置行为标志的序列；以及

表示宿主实计算机系统的模拟内存和模拟操作系统，接受分析的计算机代码与模拟内存和模拟操作系统进行交互，以生成行为标志，

其特征在于，在终止虚拟机之前，虚拟机将表示行为记录的数据传递到宿主实计算机系统。

2.一种用于进行计算机代码行为分析的虚拟机系统，该虚拟机系统具有软件处理器，包括：

寄存器或结构，用于存储行为标志，这些标志表示通过在虚拟机内虚拟地执行接受分析的计算机代码所观察到的计算机代码行为；

寄存器或结构，用于存储在行为标志寄存器或结构中设置行为标志的序列；

入口点表，用于存储到在虚拟机内接受分析的计算机代码的所有入口点；

结构，用于存储中断矢量地址，这些地址指向在初始化虚拟机时加载到由虚拟机预留的内存中的中断服务例程；

模拟输入和输出端口的内存结构；

模拟处理器内存的内存结构；

一个或多个操作系统模拟壳，用于模拟由接受分析的计算机代码将要在其中操作的实操作系统返回的值。

3.根据权利要求2所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，或接受分析的计算机代码片段，并产生包括一组行为标志的行为模式。

4.根据权利要求2所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，并产生设置或重置行为标志的序列。

5.根据权利要求2所述的系统，其特征在于，软件处理器在虚拟机系统内解释高级语言。

6.根据权利要求5所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，或接受分析的计算机代码片段，并产生包括一组行为标志的行为模式。

7.根据权利要求5所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，并产生设置或重置行为标志的序列。

8.根据权利要求2所述的系统，其特征在于，软件处理器执行32位或64位程序代码，操作系统模拟壳响应应用程序编程接口调用。

9.根据权利要求8所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，或接受分析的计算机代码片段，并产生包括一组行为标志的行为模式。

10.根据权利要求8所述的系统，其特征在于，软件处理器从入口点表内定义的每一个入口点开始执行接受分析的计算机代码，并产生设置或重置行为标志的序列。