专利名称:反病毒虚拟机硬件加速系统的制作方法
技术领域:
本发明涉及计算机安全领域,特别涉及反病毒虚拟机硬件加速技术。
背景技术:
反病毒虚拟机是现代反病毒引擎的重要组成部分,对于经过加密变形的多形性 病毒,虚拟机可将病毒解密还原,进而进行特征码扫描来对抗加密变形;对于目前常见 的病毒进行加壳以对抗特征码扫描的手段,虚拟机可完成自动解密或脱壳处理。由于反病毒虚拟机需要对病毒代码进行一定步数的虚拟执行,因此是反病毒引 擎中对资源消耗较重的部分,反病毒引擎虚拟执行代码的速度会直接影响反病毒引擎的 性能,因此大部分反病毒引擎在实现反病毒虚拟机时,不得不在虚拟机虚拟执行代码的 兼容性和速度之间做出选择,以在不过度影响反病毒引擎性能的前提下,对抗一部分加 密变形和加壳处理的病毒。现有计算机反病毒引擎中的反病毒虚拟机均通过运行在计算机上的CPU来实 现,这种方式带来的问题是,计算机上的CPU资源不可能全部分配给反病毒虚拟机使 用,如果对所有的X86体系结构CPU指令进行虚拟执行,则反病毒虚拟机虚拟执行的速 度很低,严重影响了反病毒引擎的性能;如果只对病毒常用的一部分x86体系结构CPU 指令进行虚拟执行,则容易被病毒利用不能被虚拟执行的x86指令。同时,脱壳处理所 需的虚拟执行步数和兼容性要求都高于解密还原,现有的通过虚拟机进行自动脱壳的方 式在效率和兼容性上都不能满足需求。
发明内容
本发明提供了一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿 真x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低,兼容性差的问题。本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM、RAM 和复位电路;
所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引 擎控制的复位电路进行复位,并向ROM发送执行系统引导信号;
所述的ROM根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内 存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标 识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问 RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病 毒虚拟机结束标识。所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识 和反病毒虚拟机结束标识。所述的复位电路用于接收计算机上的反病毒引擎在指定时间内未检测到述的 RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线与计
算机上的反病毒引擎进行交互。所述的系统中,所述的ROM包括固化在ROM上的固件,所述固件执行系统引 导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地 址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚 拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后, 向RAM的指定地址中写入反病毒虚拟机结束标识。所述的系统中,所述的嵌入式CPU是x86体系结构嵌入式CPU、非x86体系结 构嵌入式CPU或非X86体系结构嵌入式MCU。如果所述的嵌入式CPU是x86体系结构嵌入式CPU,则ROM和RAM通过南桥 芯片和北桥芯片连接;
如果所述的嵌入式CPU是非X86体系结构嵌入式CPU或MCU,且内部集成有内存 控制器,则ROM和RAM直接连接;
如果所述的嵌入式CPU是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌入 式MCU的内部集成了大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。所述的系统中,所述的RAM包含主内存和共享RAM。所述的系统中,所述的嵌入式CPU和ROM通过共享RAM与计算机上的反病毒
引擎进行交互。所述的系统中,所述的共享RAM通过PCI或PCI Express总线与计算机上的反
病毒引擎进行数据交互。本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和 RAM,所述的系统可以安装在PCI或PCI Express板卡上,当所述的ROM接收到嵌入式 CPU发送的执行系统引导信号后,ROM上的固件执行系统引导,实现反病毒虚拟机功 能;所述的ROM检测到RAM中的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病 毒虚拟机对病毒体进行解密或脱壳;反病毒虚拟机处理完毕后,向RAM中的指定地址写 入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在未检测到所述 的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。 通过附加硬件对反病毒虚拟机进行加速,解决了以软件解释执行方式仿真x86体系结构 CPU指令执行所带来的对代码虚拟执行速度较低的问题。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技 术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发 明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提 下,还可以根据这些附图获得其他的附图。图1为本发明提供的一种反病毒虚拟机硬件加速系统示意图; 图2为本发明提供的一种反病毒虚拟机硬件加速方法流程图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明 的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一 步详细的说明。本发明提供一种反病毒虚拟机硬件加速系统,解决了以软件解释执行方式仿真 x86体系结构CPU指令执行所带来的对代码虚拟执行速度较低的问题。首先介绍本发明提供的一种反病毒虚拟机硬件加速系统,如图1所示,包括嵌 入式 CPUlOl、ROM102、RAM103 和复位电路 104 ;
所述的嵌入式CPUlOl用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒 引擎控制的复位电路进行复位,并向ROM102发送执行系统引导信号;
所述的ROM102根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工 作的内存环境,实现反病毒虚拟机功能,并检测RAM103的指定地址中是否有反病毒虚 拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒 虚拟机访问RAM103,对病毒体进行解密或脱壳,对病毒体进行解密或脱壳完毕后,向 RAM103的指定地址中写入反病毒虚拟机结束标识;
所述的RAM103接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识 和反病毒虚拟机结束标识;
所述的复位电路104,用于接收计算机上的反病毒引擎在指定时间内未检测到所述的 RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPUlOl进行硬件复位。所述的系统安装在PCI或PCI Express板卡上,通过PCI或PCI Express总线105 与计算机上的反病毒引擎进行交互。所述的系统中,所述的ROM包括固化在ROM上的固件,所述固件执行系统引 导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,并检测RAM的指定地 址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标识时,启动反病毒虚 拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后, 向RAM的指定地址中写入反病毒虚拟机结束标识。所述的系统中,所述的嵌入式CPUlOl是x86体系结构嵌入式CPU、非x86体系 结构嵌入式CPU或非X86体系结构嵌入式MCU。如果所述的嵌入式CPUlOl是x86体系结构嵌入式CPU,则ROM102和RAM103 通过南桥芯片和北桥芯片连接;
如果所述的嵌入式CPUlOl是非X86体系结构嵌入式CPU或MCU,则ROM102和 RAM103可以直接连接;
如果所述的嵌入式CPUlOl是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌 入式MCU的内部集成了大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。所述的系统中,所述的RAM103包含主内存103_1和共享RAM103-2。所述的系统中,所述的嵌入式CPUlOl和ROM102通过共享RAM103-2与计算 机上的反病毒引擎进行交互。所述的系统中,所述的共享RAM103-2通过PCI或PCI Express总线105与计算
机上的反病毒引擎进行交互。
为了便于本领域技术人员更加清楚的理解本发明,下面针对本发明提供的系统 提供了一种反病毒虚拟机硬件加速方法,适用于所述的反病毒虚拟机硬件加速系统,如 图2所示,包括如下步骤
S201 嵌入式CPU通过计算机上的反病毒引擎进行复位,并向ROM发送执行系统 引导信号;
S202 ROM接收到嵌入式CPU发送的执行系统引导信号,固化在ROM上的固件完 成系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能,进入就绪等 待状态;
S203 ROM检测RAM中的指定地址是否有反病毒虚拟机启动标识,当检测到反病 毒虚拟机启动标识时,启动反病毒虚拟机;
S204 RAM接收计算机上的反病毒引擎写入的病毒体;
S205 RAM接收计算机上的反病毒引擎写入指定地址的反病毒虚拟机启动标识,当 ROM检测到反病毒虚拟机的启动标识时,启动反病毒虚拟机; S206 反病毒虚拟机访问RAM,对病毒体进行解密或脱壳; S207反病毒虚拟机对病毒体解密或脱壳完毕后,回到就绪等待状态,向RAM中的 指定地址写入反病毒虚拟机结束标识;
S208 计算机上的反病毒引擎在指定时间内是否检测到RAM的指定地址中的反病毒 虚拟机结束标识,如果是,则结束解密或脱壳处理,否则,执行S209;
S209计算机上的反病毒引擎产生复位信号,发送给复位电路,通过复位电路对嵌 入式CPU进行硬件复位。本发明提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和 RAM,所述的系统可以安装在PCI或PCI Express板卡上,当所述的ROM接收到嵌入式 CPU发送的执行系统引导信号后,ROM上的固件执行系统引导,实现反病毒虚拟机功 能;所述的ROM检测到RAM中的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病 毒虚拟机对病毒体进行解密或脱壳;反病毒虚拟机处理完毕后,向RAM中的指定地址写 入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在未检测到所述 的RAM中的反病毒虚拟机结束标识时产生复位信号,对嵌入式CPU进行硬件复位。通过 附加硬件对反病毒虚拟机进行加速,解决了以软件解释执行方式仿真x86体系结构CPU 指令执行所带来的对代码虚拟执行速度较低的问题。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形 和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发 明的精神。
权利要求
1.一种反病毒虚拟机硬件加速系统,其特征在于,包含嵌入式CPU、ROM、RAM和 复位电路;所述的嵌入式CPU用于对反病毒虚拟机进行硬件加速,通过由计算机上的反病毒引 擎控制的复位电路进行复位,并向ROM发送执行系统引导信号;所述的ROM根据所述执行系统引导信号执行系统引导,建立反病毒虚拟机工作的内 存环境,实现反病毒虚拟机功能,并检测RAM的指定地址中是否有反病毒虚拟机启动标 识,当检测到反病毒虚拟机启动标识时,启动反病毒虚拟机,并使用反病毒虚拟机访问 RAM,对病毒体进行解密或脱壳,解密或脱壳完毕后,向RAM的指定地址中写入反病 毒虚拟机结束标识;所述的RAM接收计算机上的反病毒引擎写入的病毒体、反病毒虚拟机启动标识和反 病毒虚拟机结束标识; 所述的复位电路,用于接收计算机上的反病毒引擎在指定时间内未检测到所述的 RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
2.如权利要求1所述的系统,其特征在于,所述的系统安装在PCI或PCIExpress板 卡上,通过PCI或PCI Express总线与计算机上的反病毒引擎进行交互。
3.如权利要求1所述的系统,其特征在于,所述的ROM包括固化在ROM上的固件, 所述固件执行系统引导,建立反病毒虚拟机工作的内存环境,实现反病毒虚拟机功能, 并检测RAM的指定地址中是否有反病毒虚拟机启动标识,当检测到反病毒虚拟机启动标 识时,启动反病毒虚拟机,并使用反病毒虚拟机访问RAM,对病毒体进行解密或脱壳, 解密或脱壳完毕后,向RAM的指定地址中写入反病毒虚拟机结束标识。
4.如权利要求1所述系统,其特征在于,所述的嵌入式CPU是x86体系结构嵌入式 CPU、非x86体系结构嵌入式CPU或非x86体系结构嵌入式MCU ;如果所述的嵌入式CPU是x86体系结构嵌入式CPU,则ROM和RAM通过南桥芯片 和北桥芯片连接;如果所述的嵌入式CPU是非x86体系结构嵌入式CPU或MCU,且内部集成有内存 控制器,则ROM和RAM直接连接;如果所述的嵌入式CPU是非x86体系结构嵌入式MCU,且所述非x86体系结构嵌入 式MCU的内部集成有大容量ROM,则所述非x86体系结构嵌入式MCU不外接ROM。
5 如权利要求1所述的系统,其特征在于,所述的RAM包含主内存和共享RAM。
6.如权利要求5所述的系统,其特征在于,所述的嵌入式CPU和ROM通过共享 RAM与计算机上的反病毒引擎进行交互。
7.如权利要求5或6所述的系统,其特征在于,所述的共享RAM通过PCI或PCI Express总线与计算机上的反病毒引擎进行交互。
全文摘要
本发明涉及计算机安全和反病毒技术领域,提供了一种反病毒虚拟机硬件加速系统,包含嵌入式CPU、ROM和RAM,所述的系统可以安装在PCI或PCIExpress板卡上,当所述的ROM接收到嵌入式CPU发送的执行系统引导信号后,ROM上的固件执行系统引导,实现反病毒虚拟机功能;所述的ROM检测到RAM中的指定地址的反病毒虚拟机启动标识时,启动反病毒虚拟机;反病毒虚拟机对病毒体进行解密或脱壳;当反病毒虚拟机处理完毕,则回到就绪等待状态,并向RAM中的指定地址写入反病毒虚拟机结束标识;所述的复位电路接收计算机上的反病毒引擎在指定时间内未检测到所述的RAM中的反病毒虚拟机结束标识时产生的复位信号,对嵌入式CPU进行硬件复位。
文档编号G06F9/30GK102012801SQ201010547730
公开日2011年4月13日 申请日期2010年11月17日 优先权日2010年11月17日
发明者桑胜田, 肖新光, 赵世平 申请人:北京安天电子设备有限公司