公开/公告号CN102012801A
专利类型发明专利
公开/公告日2011-04-13
原文格式PDF
申请/专利权人 北京安天电子设备有限公司;
申请/专利号CN201010547730.5
申请日2010-11-17
分类号G06F9/30(20060101);G06F9/455(20060101);
代理机构
代理人
地址 100085 北京市海淀区农大南路1号硅谷亮城2-521
入库时间 2023-12-18 02:09:16
法律状态公告日
法律状态信息
法律状态
2020-06-02
专利权质押合同登记的注销 IPC(主分类):G06F9/30 授权公告日:20131009 登记号:2018990001084 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 解除日:20200508 申请日:20101117
专利权质押合同登记的生效、变更及注销
2018-12-14
专利权质押合同登记的生效 IPC(主分类):G06F9/30 登记号:2018990001084 登记生效日:20181119 出质人:北京安天网络安全技术有限公司 质权人:上海浦东发展银行股份有限公司哈尔滨分行 发明名称:反病毒虚拟机硬件加速系统 授权公告日:20131009 申请日:20101117
专利权质押合同登记的生效、变更及注销
2017-05-10
专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F9/30 变更前: 变更后: 申请日:20101117
专利权人的姓名或者名称、地址的变更
2013-10-09
授权
授权
2013-07-24
著录事项变更 IPC(主分类):G06F9/30 变更前: 变更后: 申请日:20101117
著录事项变更
2011-06-01
实质审查的生效 IPC(主分类):G06F9/30 申请日:20101117
实质审查的生效
2011-04-13
公开
公开
查看全部
技术领域
本发明涉及计算机安全领域,特别涉及反病毒虚拟机硬件加速技术。
背景技术
反病毒虚拟机是现代反病毒引擎的重要组成部分,对于经过加密变形的多形性病毒,虚拟机可将病毒解密还原,进而进行特征码扫描来对抗加密变形;对于目前常见的病毒进行加壳以对抗特征码扫描的手段,虚拟机可完成自动解密或脱壳处理。
由于反病毒虚拟机需要对病毒代码进行一定步数的虚拟执行,因此是反病毒引擎中对资源消耗较重的部分,反病毒引擎虚拟执行代码的速度会直接影响反病毒引擎的性能,因此大部分反病毒引擎在实现反病毒虚拟机时,不得不在虚拟机虚拟执行代码的兼容性和速度之间做出选择,以在不过度影响反病毒引擎性能的前提下,对抗一部分加密变形和加壳处理的病毒。
现有计算机反病毒引擎中的反病毒虚拟机均通过运行在计算机上的CPU来实现,这种方式带来的问题是,计算机上的CPU资源不可能全部分配给反病毒虚拟机使用,如果对所有的x86体系结构CPU指令进行虚拟执行,则反病毒虚拟机虚拟执行的速度很低,严重影响了反病毒引擎的性能;如果只对病毒常用的一部分x86体系结构CPU指令进行虚拟执行,则容易被病毒利用不能被虚拟执行的x86指令。同时,脱壳处理所需的虚拟执行步数和兼容性要求都高于解密还原,现有的通过虚拟机进行自动脱壳的方式在效率和兼容性上都不能满足需求。
发明内容
本发明提供了一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低,兼容性差的问题。
本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM、RAM和复位电路;
所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引擎控制的复位电路进行复位,并向ROM发送执行系统引导信号;
所述的ROM根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病毒虚拟机结束标识。
所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识和反病毒虚拟机结束标识。
所述的复位电路用于接收计算机上的反病毒引擎在指定时间内未检测到述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线与计算机上的反病毒引擎进行交互。
所述的系统中,所述的ROM包括固化在ROM上的固件,所述固件执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病毒虚拟机结束标识。
所述的系统中,所述的嵌入式CPU是x86体系结构嵌入式CPU、非x86体系结构嵌入式CPU或非x86体系结构嵌入式MCU。
如果所述的嵌入式CPU是x86体系结构嵌入式CPU,则ROM和RAM通过南桥芯片和北桥芯片连接;
如果所述的嵌入式CPU是非x86体系结构嵌入式CPU或MCU,且内部集成有内存控制器,则ROM和RAM直接连接;
如果所述的嵌入式CPU是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌入式MCU的内部集成了大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。
所述的系统中,所述的RAM包含主内存和共享RAM。
所述的系统中,所述的嵌入式CPU和ROM通过共享RAM与计算机上的反病毒引擎进行交互。
所述的系统中,所述的共享RAM通过PCI或PCI Express总线与计算机上的反病毒引擎进行数据交互。
本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和RAM,所述的系统可以安装在PCI或PCI Express板卡上,当所述的ROM接收到嵌入式CPU发送的执行系统引导信号后, ROM上的固件执行系统引导,实现反病毒虚拟机功能;所述的ROM检测到RAM中的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病毒虚拟机对病毒体进行解密或脱壳;反病毒虚拟机处理完毕后,向RAM中的指定地址写入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在未检测到所述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。通过附加硬件对反病毒虚拟机进行加速,解决了以软件解释执行方式仿真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低的问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种反病毒虚拟机硬件加速系统示意图;
图2为本发明提供的一种反病毒虚拟机硬件加速方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低的问题。
首先介绍本发明提供的一种反病毒虚拟机硬件加速系统,如图1所示,包括嵌入式CPU101、ROM102、RAM103和复位电路104;
所述的嵌入式CPU101用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引擎控制的复位电路进行复位,并向ROM102发送执行系统引导信号;
所述的ROM102根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM103的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM103,对病毒体进行解密或脱壳,对病毒体进行解密或脱壳完毕后,向RAM103的指定地址中写入反病毒虚拟机结束标识;
所述的RAM103接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识和反病毒虚拟机结束标识;
所述的复位电路104,用于接收计算机上的反病毒引擎在指定时间内未检测到所述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU101进行硬件复位。
所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线105与计算机上的反病毒引擎进行交互。
所述的系统中,所述的ROM包括固化在ROM 上的固件,所述固件执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病毒虚拟机结束标识。
所述的系统中,所述的嵌入式CPU101是x86体系结构嵌入式CPU、非x86体系结构嵌入式CPU或非x86体系结构嵌入式MCU。
如果所述的嵌入式CPU101是x86体系结构嵌入式CPU,则ROM102和RAM103通过南桥芯片和北桥芯片连接;
如果所述的嵌入式CPU101是非x86体系结构嵌入式CPU或MCU,则ROM102和RAM103可以直接连接;
如果所述的嵌入式CPU101是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌入式MCU的内部集成了大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。
所述的系统中,所述的RAM103包含主内存103-1和共享RAM103-2。
所述的系统中,所述的嵌入式CPU101和ROM102通过共享RAM103-2与计算机上的反病毒引擎进行交互。
所述的系统中,所述的共享RAM103-2通过PCI或PCI Express总线105与计算机上的反病毒引擎进行交互。
为了便于本领域技术人员更加清楚的理解本发明,下面针对本发明提供的系统提供了一种反病毒虚拟机硬件加速方法,适用于所述的反病毒虚拟机硬件加速系统,如图2所示,包括如下步骤:
S201:嵌入式CPU通过计算机上的反病毒引擎进行复位,并向ROM发送执行系统引导信号;
S202:ROM接收到嵌入式CPU发送的执行系统引导信号,固化在ROM上的固件完成系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,进入就绪等待状态;
S203:ROM检测RAM中的指定地址是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机;
S204:RAM接收计算机上的反病毒引擎写入的病毒体;
S205:RAM接收计算机上的反病毒引擎写入指定地址的反病毒虚拟机启动标识,当ROM检测到反病毒虚拟机的启动标识时,启动反病毒虚拟机;
S206:反病毒虚拟机访问RAM,对病毒体进行解密或脱壳;
S207:反病毒虚拟机对病毒体解密或脱壳完毕后,回到就绪等待状态,向RAM中的指定地址写入反病毒虚拟机结束标识;
S208:计算机上的反病毒引擎在指定时间内是否检测到RAM的指定地址中的反病毒虚拟机结束标识,如果是,则结束解密或脱壳处理,否则,执行S209;
S209:计算机上的反病毒引擎产生复位信号,发送给复位电路,通过复位电路对嵌入式CPU进行硬件复位。
本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和RAM,所述的系统可以安装在PCI或PCI Express板卡上,当所述的ROM接收到嵌入式CPU发送的执行系统引导信号后, ROM上的固件执行系统引导,实现反病毒虚拟机功能;所述的ROM检测到RAM中的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病毒虚拟机对病毒体进行解密或脱壳;反病毒虚拟机处理完毕后,向RAM中的指定地址写入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在未检测到所述的RAM中的反病毒虚拟机结束标识时产生复位信号,对嵌入式CPU进行硬件复位。通过附加硬件对反病毒虚拟机进行加速,解决了以软件解释执行方式仿真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低的问题。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
机译: 虚拟机之间的文件分发系统和方法进入虚拟机分布式系统以实施反病毒检查
机译: 优化虚拟机上文件的反病毒扫描的系统和方法
机译: 在用于进行文件的反病毒扫描的虚拟机中形成日志的系统和方法
