内存快照存储方法、装置、计算机设备和存储介质与流程

本申请涉及信息安全，特别是涉及一种内存快照存储方法、装置、计算机设备和存储介质。

背景技术：

1、随着信息安全的发展，对于恶意程序的检测越来越受到重视。沙箱作为一个隔离的系统环境，已经被安全研究人员运用于分析不受信任的文件或程序的过程中。

2、目前，安全研究人员通过沙箱分析恶意程序往往采用生成内存快照的方式，由于单个内存快照的数据量较大，在任意时刻保存多个内存快照进行分析的方法不现实，因此安全研究人员往往将程序退出前的最后时刻的内存快照进行保存，并在回溯过程中打开特定时刻的内存快照进行分析。然而如果恶意程序在程序退出前将恶意内容抹除，则安全研究人员无法分析出其恶意内容，存在较大的安全隐患。

3、由此可见，目前虚拟执行环境仍存在内存快照保存耗时长、数据量大和帧数低的问题。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够降低内存快照保存时长、和数据量以及提高帧数的内存快照存储方法、装置、计算机设备和计算机可读存储介质。

2、第一个方面，本实施例提供了一种内存快照存储方法，所述方法包括：

3、响应于当前的内存修改操作，获取内存修改过程；

4、将所述内存修改过程存储至数据库中，所述数据库中存储有初始内存快照。

5、在其中一个实施例中，所述内存修改过程包括多个操作节点，所述操作节点中包括至少一个内存修改操作，所述响应于内存修改操作，获取内存修改过程，包括：

6、获取前一时刻的历史修改过程；

7、基于所述历史修改过程确定前一时刻的操作节点；

8、获取当前的所述内存修改操作的操作参数；

9、若所述操作参数与所述前一时刻的操作节点匹配，则将当前的所述内存修改操作合并至所述前一时刻的操作节点，得到内存修改过程。

10、在其中一个实施例中，所述获取当前的所述内存修改操作的操作参数之后还包括：

11、若所述操作参数与所述前一时刻的操作节点不匹配，则基于当前的所述内存修改操作新建操作节点，并基于新建的所述操作节点以及历史修改过程得到内存修改过程。

12、在其中一个实施例中，所述操作参数包括地址范围，若所述操作参数与所述前一时刻的操作节点匹配，则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括：

13、判断所述地址范围与所述前一时刻的操作节点的地址范围是否重合；

14、若不重合，则视为匹配，将当前的所述内存修改操作合并至所述前一时刻的操作节点。

15、在其中一个实施例中，所述操作参数包括操作时间，若所述操作参数与所述前一时刻的操作节点匹配，则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括：

16、判断所述操作时间与所述前一时刻的操作节点的时间范围是否匹配；

17、若匹配，则将当前的内存修改操作合并至所述前一时刻的操作节点。

18、在其中一个实施例中，将所述内存修改过程存储至数据库中之后，还包括：

19、获取内存快照生成指令，基于所述内存快照生成指令确定目标内存修改操作；

20、基于所述目标内存修改操作和所述内存修改过程生成目标内存快照。

21、在其中一个实施例中，所述内存修改过程包括多个操作节点，所述操作节点中包括至少一个内存修改操作，所述基于所述内存快照生成指令确定目标内存修改操作包括：

22、基于所述内存快照生成指令确定目标操作节点；

23、基于所述目标操作节点确定目标内存修改操作。

24、第二个方面，本实施例提供了一种内存快照存储装置，所述装置包括：

25、获取模块，用于响应于当前的内存修改操作，获取内存修改过程；

26、存储模块，用于将所述内存修改过程存储至数据库中，所述数据库中存储有初始内存快照。

27、第三个方面，本实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述任一项所述的方法的步骤。

28、第四个方面，本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。

29、上述内存快照存储方法、装置、计算机设备和存储介质，通过响应于当前的内存修改操作，获取内存修改过程；将所述内存修改过程存储至数据库中，所述数据库中存储有初始内存快照，相比于传统技术中在多个时刻保存完整的内存快照，可以通过记录内存修改操作本身来减少特定时刻内存快照的保存时长和数据量；内存修改过程中的每一内存修改操作均可以用于生成对应时刻的内存快照，由此提高内存快照保存的帧数，解决了当前虚拟执行环境内存快照保存耗时长、数据量大和帧数低的问题，可以达到提高快照保存效率、增加内存快照帧数和减少快照数据量的技术效果。

技术特征：

1.一种内存快照存储方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述内存修改过程包括多个操作节点，所述操作节点中包括至少一个内存修改操作，所述响应于内存修改操作，获取内存修改过程，包括：

3.根据权利要求2所述的方法，其特征在于，所述获取当前的所述内存修改操作的操作参数之后还包括：

4.根据权利要求2所述的方法，其特征在于，所述操作参数包括地址范围，若所述操作参数与所述前一时刻的操作节点匹配，则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括：

5.根据权利要求2所述的方法，其特征在于，所述操作参数包括操作时间，若所述操作参数与所述前一时刻的操作节点匹配，则将当前的所述内存修改操作合并至所述前一时刻的操作节点包括：

6.根据权利要求1所述的方法，其特征在于，将所述内存修改过程存储至数据库中之后，还包括：

7.根据权利要求6所述的方法，其特征在于，所述内存修改过程包括多个操作节点，所述操作节点中包括至少一个内存修改操作，所述基于所述内存快照生成指令确定目标内存修改操作包括：

8.一种内存快照存储装置，其特征在于，所述装置包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至权利要求7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至权利要求7中任一项所述的方法的步骤。

技术总结
本申请涉及一种内存快照存储方法、装置、计算机设备和存储介质，包括：响应于当前的内存修改操作，获取内存修改过程；将所述内存修改过程存储至数据库中，所述数据库中存储有初始内存快照。通过本方法可以解决当前虚拟执行环境内存快照保存耗时长、数据量大和帧数低的问题，达到提高快照保存效率、增加内存快照帧数和减少快照数据量的技术效果。

技术研发人员：王天博,王欣
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：
技术公布日：2024/1/12