[go: up one dir, main page]

RU2514142C1 - Способ повышения эффективности работы аппаратного ускорения эмуляции приложений - Google Patents

Способ повышения эффективности работы аппаратного ускорения эмуляции приложений Download PDF

Info

Publication number
RU2514142C1
RU2514142C1 RU2012156445/08A RU2012156445A RU2514142C1 RU 2514142 C1 RU2514142 C1 RU 2514142C1 RU 2012156445/08 A RU2012156445/08 A RU 2012156445/08A RU 2012156445 A RU2012156445 A RU 2012156445A RU 2514142 C1 RU2514142 C1 RU 2514142C1
Authority
RU
Russia
Prior art keywords
instructions
emulation
emulator
file
accelerator
Prior art date
Application number
RU2012156445/08A
Other languages
English (en)
Inventor
Сергей Юрьевич Белов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012156445/08A priority Critical patent/RU2514142C1/ru
Priority to US13/852,778 priority patent/US8943596B2/en
Priority to EP13166594.5A priority patent/EP2750037B1/en
Priority to CN201310652562.XA priority patent/CN103678126B/zh
Application granted granted Critical
Publication of RU2514142C1 publication Critical patent/RU2514142C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45516Runtime code conversion or optimisation
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

Изобретение относится к области эмуляции приложений. Техническим результатом является повышение эффективности работы аппаратного ускорения эмуляции приложений. Согласно одному из вариантов реализации предлагается способ ускорения эмуляции процесса, запущенного из исполняемого файла, включающий следующие этапы: эмулируют исполнение файла по инструкциям; при выполнении условия запуска аппаратного ускорителя эмулятора переводят процесс эмуляции исполнения файла в аппаратный ускоритель; производят исполнение файла по инструкциям с помощью аппаратного ускорителя до вызова исключения или вызова API-функции; переводят процесс эмуляции исполнения файла обратно в эмулятор; оценивают эффективность исполнения файла по инструкциям с помощью аппаратного ускорителя; меняют условия запуска аппаратного ускорителя эмулятора в зависимости от полученного значения эффективности; повторяют приведенные этапы не менее двух раз. 2 з.п. ф-лы, 5 ил.

Description

Область техники
Изобретение относится к антивирусным решениям, а более конкретно к способам повышения эффективности работы аппаратного ускорения эмуляции приложений.
Уровень техники
Структура современных программ, в том числе вредоносных, представляет собой сложный набор инструкций: переходов, вызовов процедур, циклов и т.д. Стоит отметить, что сложность исполняемых файлов постоянно увеличивается, что связано с ростом популярности языков программирования высокого уровня, а также с усложнением компьютерной техники и операционных систем. Вредоносные приложения могут совершать ряд характерных действий, таких как кража паролей и других конфиденциальных данных пользователя, включение компьютера в бот-сеть для проведения DDoS-атак или рассылки спама, блокирование корректного функционирования системы с целью вымогательства денежных средств у пользователя за восстановление работоспособности и другие отрицательные и нежелательные с точки зрения пользователя действия.
Рассмотрим пример последовательности выполнения приложения, показанный на Фиг.1. Последовательность выполнения программы складывается из так называемых базовых блоков, т.е. последовательности машинных инструкций, выполняемых до первого перехода (передачи управления). На Фиг.1 в виде прямоугольников с содержащимися в них инструкциями схематически отображены базовые блоки, связанные между собой переходами, как условными, так и безусловными. На языке ассемблера инструкциями могут быть такие команды, как MOV, ADD, LEA и другие; в качестве примеров условных переходов могут быть приведены инструкции JZ или JNA; в качестве примера инструкции безусловного перехода - JMP. Важно отметить, что большая часть кода выполняется не один раз, а несколько: это связано с тем, что выполнение кода по большей части представляет собой выполнение циклов и подпрограмм. Особенно актуально это для вредоносных приложений, в которых присутствует упаковка (сжатие) кода ("Compiler Techniques for Code Compaction" by Saumya Debray, William Evans, Robert Muth and Bjorn De Sutter) с последующей распаковкой кода при непосредственном выполнении, что требует большого количества циклических операций.
Один из методов исследования потенциально вредоносной программы основывается на использовании эмулятора, применяемого в антивирусном приложении для анализа поведения программы. Существуют различные способы эмуляции. Одним из них является программная имитация процессора, памяти и других устройств путем создания виртуальных копий регистров процессора, памяти и набора инструкций процессора. Таким образом, инструкции программы исполняются не на реальном процессоре, а на его виртуальной копии, а вызовы системных API-функций перехватывают в эмуляторе и имитируют или пересылают (в случае «чтения») ответ обратно в эмулируемое приложение. Таким образом работают все стандартные эмуляторы в настоящий момент.
В основе исполнения эмулируемых инструкций процессора, как правило, лежит динамическая трансляция инструкций при эмуляции. Под динамической трансляцией подразумевается перевод (трансляция) инструкций из исходного набора (т.е. эмулируемых инструкций) в целевой набор инструкций, который должен быть выполнен с помощью эмулятора. Разберем динамическую трансляцию на примере трансляции одной инструкции.
Исходная инструкция:
mov eax, [edi]
Оттранслированный псевдокод состоит из следующего набора шагов:
1. Чтение edi;
2. Чтение памяти по адресу, полученному в 1-й операции;
3. Запись в еах значения, считанного из памяти во 2-й операции. Кроме того, каждый шаг подобного псевдокода будет содержать
определенное количество машинных инструкций, в результате чего одна исходная инструкция при трансляции приводит к выполнению десятков и даже сотен инструкций на процессоре. Отметим, что однажды оттранслированный код при повторном исполнении не требуется транслировать заново, так как операция по трансляции кода уже была выполнена. Учитывая, что большая часть кода выполняется в рамках циклов, динамическая трансляция активно используется для процессов эмуляции уже достаточно давно и подробно раскрыта в таких публикациях, как US80603 56, US5751982, US6631514, US20030093775.
Для противодействия эмуляции программного кода создатели вредоносных программ используют различные подходы, которые могут основываться на ограничениях, связанных с процессом эмуляции и реализацией эмулятора в антивирусных решениях. Один из таких подходов заключается в том, чтобы добавить в код программы большое количество инструкций, которые не несут вредоносной составляющей, однако требуют времени для эмуляции. Учитывая тот факт, что время, отведенное на эмуляцию программного кода, является ограниченным, чтобы не вызывать недовольство пользователя (как правило, это время может составлять несколько секунд), то процесс эмуляции может остановиться до начала выполнения вредоносного кода. Один из методов борьбы с таким подходом описан в патенте US7603713, который заключается в выполнении ряда инструкций на реальном процессоре, существенно ускоряя процесс эмуляции неизвестных приложений.
Однако подобный подход также включает недостаток, связанный с тем, что выполнение инструкций на реальном процессоре прекращается, например, при вызове исключения или API-функции. Далее под исключением будет подразумеваться исключительная ситуация, возникшая при выполнении программы (например, деление на ноль, ошибка чтения страницы памяти, неверный код машинной команды и т.д.), а под вызовом API-функцией - вызов одной из базовых функций интерфейсов программирования приложений операционных систем (например, для ОС Windows это будет Win32 API). С учетом того, что процесс инициализации ускорителя эмуляции, описанного в патенте US7603713, достаточно ресурсоемок (код ускорителя работает в режиме ядра), эффективность работы ускорителя может быть низкой в том случае, если после своей ресурсоемкой инициализации он выполнит всего несколько инструкций на реальном процессоре, после чего последует исключение или вызов API-функции, что приведет к возврату обработки инструкций в стандартный эмулятор и необходимости инициализировать ускоритель в следующий раз снова.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом повышения эффективности работы аппаратного ускорения эмуляции приложений.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в повышении эффективности работы аппаратного ускорения эмуляции приложений.
Согласно одному из вариантов реализации, предлагается способ ускорения эмуляции процесса, запущенного из исполняемого файла, включающий следующие этапы: эмулируют исполнение файла по инструкциям; при выполнении условия запуска аппаратного ускорителя эмулятора переводят процесс эмуляции исполнения файла в аппаратный ускоритель; производят исполнение файла по инструкциям с помощью аппаратного ускорителя до вызова исключения или вызова API-функции; переводят процесс эмуляции исполнения файла обратно в эмулятор; оценивают эффективность исполнения файла по инструкциям с помощью аппаратного ускорителя; меняют условия запуска аппаратного ускорителя эмулятора в зависимости от полученного значения эффективности; повторяют приведенные этапы не менее двух раз.
В одном из частных вариантов реализации эффективность оценивается по следующей формуле:
E = N K
Figure 00000001
 ,
где N - количество тактов процессора, которое ушло на обработку инструкций с помощью ускорителя, а
K - известное количество тактов процессора, за которое происходит перевод процесса эмуляции из эмулятора в ускоритель.
В еще одном частном варианте реализации используют динамическую трансляцию кода при низком значении эффективности.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 иллюстрирует пример последовательности выполнения приложения в виде базовых блоков.
Фиг.2 изображает применение системы аппаратного ускорения эмуляции приложений в рамках реализации, описанной в уровне техники.
Фиг.3 показывает систему, которая лежит в основе реализации настоящего изобретения.
Фиг.4 иллюстрирует способ работы настоящего изобретения.
Фиг.5 представляет пример компьютерной системы общего назначения на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
На Фиг.2 изображено применение системы ускорения выполнения инструкций исполняющейся программы в рамках реализации, описанной в патенте US7603713. Для реализации ускорения в рамках ускорителя 220 процесса 230 (который был создан из неизвестного исполняемого файла 205 при его эмуляции) состояние всех регистров виртуальной копии процессора внутри эмулятора 270 передается напрямую в хост компьютерной системы 210. Сам ускоритель 220 представляет некоторое изолированное пространство, в которое помещается контекст процесса (виртуальное адресное пространство процесса 230, потоки выполнения, открытые описатели ресурсов, таких как файлы или семафоры и т.д.) 230 для последующего выполнения в рамках хоста операционной системы 210, практически как в случае реального процесса, используя реальные ресурсы, такие как центральный процессор 240 и оперативную память 250. Некоторое количество времени инструкции процесса 230 исполняются на процессоре до вызова исключения или API-функции, при которых управление возвращается эмулятору 270. Помимо вызова исключения или API-функции также в возвращению управления в эмулятор приводят любые исключения процессора, а также исполнение инструкции RDTSC, подкачка страницы памяти. При возникновении подобных ситуаций управление передается обратно в эмулятор 270. Часть инструкций, таких как привилегированные инструкции, RDTSC, эмулируются в обычном режиме без использования ускорителя 220. К привилегированным инструкциям относятся операции ввода-вывода к периферийным устройствам, загрузка и сохранение управляющих регистров, сброс флага переключения задачи и т.д.
Анализ процесса начинается в эмуляторе, где обрабатываются первые N инструкций. N - параметр проверки, который выбирается экспертом. Это число может составлять от 100 до 10000 инструкций. При этом эвристический анализатор, как правило, после каждой инструкции, группы инструкций или по окончанию исполнения проверяет сходство выполняемого кода данного процесса с поведенческими сигнатурами известных вредоносных приложений. Сравнение происходит на основании отчета об исполнении (точнее, эмуляции исполнения) процесса, который составляет эмулятор. По отчету исполнения процесс классифицируется - в зависимости от действий процессу присваивается статус безопасного или вредоносного.
Если в результате первых N инструкций не обнаружено опасных признаков, эмулятор отправляет процесс в ускоритель. Состояние виртуального процессора и виртуальной памяти загружают в реальную систему для неразрывности исполнения процесса, после чего процесс продолжает выполнение на реальной скорости работы процессора.
Однако, как уже было отмечено ранее, эффективность работы ускорителя может быть низкой в том случае, если после своей ресурсоемкой инициализации он выполнит всего несколько инструкций на реальном процессоре, после чего последует, например, вызов исключения или вызова API-функции, что приведет к возврату обработки инструкций в стандартный эмулятор и необходимости инициализировать ускоритель в следующий раз снова.
Для решения вышеуказанной проблемы используются улучшения, которые включены в эмулятор и отображены в виде системы на Фиг.3, которая лежит в основе реализации настоящего изобретения. В рамках этой системы эмулятор также включает модуль динамической трансляции 310 и модуль оценки эффективности 320. Модуль динамической трансляции 310 осуществляет динамическую трансляцию инструкций кода неизвестного файла 205, после чего оттранслированный код сохраняется в памяти для последующего вызова. Модуль оценки эффективности 320 позволяет оценить, насколько эффективно отработал ускоритель 220. В одном из вариантов реализации эффективность Е может оцениваться по следующей формуле:
E = N K
Figure 00000001
 ,
где N - количество тактов процессора, которое ушло на обработку инструкций с помощью ускорителя 220, а
K - известное количество тактов процессора, за которое происходит перевод процесса эмуляции из эмулятора 270 в ускоритель 220. Очевидно, что если Е меньше единицы или лишь немного превышает ее, то работа ускорителя 220 неэффективна. Высокая эффективность достигается, когда величина Е значительно больше единицы, т.е. "включение" ускорителя 220 было оправдано большим количеством инструкций, которые были обработаны с его помощью. В качестве примера высокого значения эффективности можно привести значение Е>10, т.е. для некоторых вредоносных приложений повышение эффективности работы ускорителя может быть увеличено в десятки раз.
Кроме того, модуль оценки эффективности 320 запоминает, на каких базовых блоках и на каких оттранслированных инструкциях была достигнута приемлемая эффективность работы ускорителя, т.е. эффективность Е превысила заранее заданный порог, а также на каких базовых блоках эффективность Е была невысока.
Стоит отметить, что модуль динамической трансляции 310, который осуществляет динамическую трансляцию инструкций кода неизвестного файла 205, может выполнять данную операцию только для тех базовых блоков, на которых эффективность Е не была достаточно высокой и использование ускорителя нецелесообразно.
Фиг.4 иллюстрирует способ работы настоящего изобретения. На этапе 410 неизвестный файл 205 передается на эмуляцию, и на этапе 420 начинается динамическая трансляция инструкций с помощью модуля динамической трансляции 310. По мере того, как происходит эмуляция инструкций (уже оттранслированных на этапе 420) на этапе 430, на определенном этапе происходит выполнение условий запуска ускорителя (этап 440). На начальном этапе таким условием может быть эмуляция определенного количества инструкций (например, количество может варьироваться от 100 до 10000 инструкций), и если при этом не было обнаружено опасных признаков, то для ускорения процесса эмуляции подключается ускоритель 220, который работает на этапе 450 пока не произойдет, например, вызов исключения или вызова API-функции, что приведет к возврату обработки инструкций в эмулятор 270. После этого на этапе 460 происходит оценка эффективности работы ускорителя 220 и изменение условий его запуска на этапе 470. Изменение условий запуска ускорителя 220, например, предполагает:
- указание определенных базовых блоков, которые могут быть исполнены с использованием ускорителя 220 (на Фиг.1 видно, что выполнение кода по большей части представляет собой выполнение базовых блоков в виде циклов и подпрограмм, при этом только на определенной части блоков ускоритель будет эффективен);
- указание определенных инструкций, с которых должно начаться ускорение процесса эмуляции.
Фиг.5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (3)

1. Способ ускорения эмуляции процесса, запущенного из исполняемого файла, включающий следующие этапы:
а) эмулируют исполнение файла по инструкциям;
б) при выполнении условия запуска аппаратного ускорителя эмулятора переводят процесс эмуляции исполнения файла в аппаратный ускоритель;
в) производят исполнение файла по инструкциям с помощью аппаратного ускорителя до вызова исключения или вызова API-функции;
г) переводят процесс эмуляции исполнения файла обратно в эмулятор;
д) оценивают эффективность исполнения файла по инструкциям с помощью аппаратного ускорителя;
е) меняют условия запуска аппаратного ускорителя эмулятора в зависимости от полученного значения эффективности;
ж) повторяют этапы а)-е) не менее двух раз.
2. Способ по п.1, в котором эффективность оценивается по следующей формуле:
Figure 00000001
,
где N - количество тактов процессора, которое ушло на обработку инструкций с помощью ускорителя, а
K - известное количество тактов процессора, за которое происходит перевод процесса эмуляции из эмулятора в ускоритель.
3. Способ по п.1, в котором используют динамическую трансляцию кода при низком значении эффективности.
RU2012156445/08A 2012-12-25 2012-12-25 Способ повышения эффективности работы аппаратного ускорения эмуляции приложений RU2514142C1 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2012156445/08A RU2514142C1 (ru) 2012-12-25 2012-12-25 Способ повышения эффективности работы аппаратного ускорения эмуляции приложений
US13/852,778 US8943596B2 (en) 2012-12-25 2013-03-28 System and method for improving the efficiency of application emulation acceleration
EP13166594.5A EP2750037B1 (en) 2012-12-25 2013-05-06 System and method for improving the efficiency of application emulation acceleration
CN201310652562.XA CN103678126B (zh) 2012-12-25 2013-12-05 用于提高应用仿真加速的效率的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012156445/08A RU2514142C1 (ru) 2012-12-25 2012-12-25 Способ повышения эффективности работы аппаратного ускорения эмуляции приложений

Publications (1)

Publication Number Publication Date
RU2514142C1 true RU2514142C1 (ru) 2014-04-27

Family

ID=48325436

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012156445/08A RU2514142C1 (ru) 2012-12-25 2012-12-25 Способ повышения эффективности работы аппаратного ускорения эмуляции приложений

Country Status (4)

Country Link
US (1) US8943596B2 (ru)
EP (1) EP2750037B1 (ru)
CN (1) CN103678126B (ru)
RU (1) RU2514142C1 (ru)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8528086B1 (en) * 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US10783008B2 (en) * 2017-05-26 2020-09-22 Sony Interactive Entertainment Inc. Selective acceleration of emulation
US9424089B2 (en) * 2012-01-24 2016-08-23 Samsung Electronics Co., Ltd. Hardware acceleration of web applications
US8893088B2 (en) * 2013-04-02 2014-11-18 Apple Inc. Dynamic program evaluation for system adaptation
US9335982B1 (en) 2015-04-28 2016-05-10 Microsoft Technology Licensing, Llc Processor emulation using multiple translations
EP3360043A4 (en) * 2015-10-08 2019-04-24 Siege Technologies LLC ASSESSING THE EFFECTIVENESS OF CYBER SECURITY TECHNOLOGIES
CN109977671B (zh) * 2019-03-14 2020-10-30 西安电子科技大学 一种基于编译器修改的Android锁屏型勒索软件检测方法
CN111914410B (zh) * 2020-07-16 2024-06-14 博流智能科技(南京)有限公司 SoC软硬件协同仿真加速系统及方法
CN113285855B (zh) * 2021-07-14 2021-12-07 天聚地合(苏州)数据股份有限公司 服务器监控方法及系统
CN113792522B (zh) * 2021-09-13 2025-03-07 北京爱芯科技有限公司 仿真验证方法、装置及计算设备
CN114398803B (zh) * 2022-03-25 2022-07-12 中国科学院深圳先进技术研究院 匀场联合仿真方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603713B1 (en) * 2009-03-30 2009-10-13 Kaspersky Lab, Zao Method for accelerating hardware emulator used for malware detection and analysis
RU91213U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов
RU101217U1 (ru) * 2010-03-02 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система ускорения эмуляции процессов
RU2430411C1 (ru) * 2010-03-02 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного программного обеспечения
US8060356B2 (en) * 2007-12-19 2011-11-15 Sony Computer Entertainment Inc. Processor emulation using fragment level translation

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0534597B1 (en) * 1991-09-23 2000-04-26 Intel Corporation Computer system having software interrupt (INTN) instructions selectively operating in a virtual mode
US5398196A (en) 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
US5796989A (en) * 1995-03-20 1998-08-18 Apple Computer, Inc. Method and system for increasing cache efficiency during emulation through operation code organization
US5751982A (en) 1995-03-31 1998-05-12 Apple Computer, Inc. Software emulation system with dynamic translation of emulated instructions for increased processing speed
US6106565A (en) * 1997-02-27 2000-08-22 Advanced Micro Devices, Inc. System and method for hardware emulation of a digital circuit
US6026230A (en) 1997-05-02 2000-02-15 Axis Systems, Inc. Memory simulation system and method
US5978917A (en) 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6021510A (en) 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6631514B1 (en) 1998-01-06 2003-10-07 Hewlett-Packard Development, L.P. Emulation system that uses dynamic binary translation and permits the safe speculation of trapping operations
AU6211899A (en) * 1998-10-10 2000-05-01 Victoria University Of Manchester, The Program code conversion
US7275246B1 (en) 1999-01-28 2007-09-25 Ati International Srl Executing programs for a first computer architecture on a computer of a second architecture
US6763452B1 (en) 1999-01-28 2004-07-13 Ati International Srl Modifying program execution based on profiling
US6978462B1 (en) 1999-01-28 2005-12-20 Ati International Srl Profiling execution of a sequence of events occuring during a profiled execution interval that matches time-independent selection criteria of events to be profiled
US7013456B1 (en) 1999-01-28 2006-03-14 Ati International Srl Profiling execution of computer programs
US6934832B1 (en) 2000-01-18 2005-08-23 Ati International Srl Exception mechanism for a computer
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
WO2002065285A1 (en) 2001-02-14 2002-08-22 Invicta Networks, Inc. Systems and methods for creating a code inspection system
US7234167B2 (en) 2001-09-06 2007-06-19 Mcafee, Inc. Automatic builder of detection and cleaning routines for computer viruses
US7356736B2 (en) 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US20030093775A1 (en) 2001-11-14 2003-05-15 Ronald Hilton Processing of self-modifying code under emulation
US20030115479A1 (en) 2001-12-14 2003-06-19 Jonathan Edwards Method and system for detecting computer malwares by scan of process memory after process initialization
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7469419B2 (en) 2002-10-07 2008-12-23 Symantec Corporation Detection of malicious computer code
US20070038867A1 (en) 2003-06-02 2007-02-15 Verbauwhede Ingrid M System for biometric signal processing with hardware and software acceleration
US20050071824A1 (en) 2003-08-22 2005-03-31 K. N. Keerthi Bhushan Method and system for executing software on non-native platforms
US7624449B1 (en) 2004-01-22 2009-11-24 Symantec Corporation Countering polymorphic malicious computer code through code optimization
US7370361B2 (en) 2004-02-06 2008-05-06 Trend Micro Incorporated System and method for securing computers against computer virus
EP1797512B1 (en) * 2004-10-05 2010-09-08 Mentor Graphics Corporation Accelerated hardware emulation environment for processor-based systems
US7636856B2 (en) 2004-12-06 2009-12-22 Microsoft Corporation Proactive computer malware protection through dynamic translation
US7555592B1 (en) 2005-08-23 2009-06-30 Parallels Software International, Inc. Kernel acceleration technology for virtual machine optimization
EP1952240A2 (en) * 2005-10-25 2008-08-06 The Trustees of Columbia University in the City of New York Methods, media and systems for detecting anomalous program executions
US7809670B2 (en) 2005-12-09 2010-10-05 Microsoft Corporation Classification of malware using clustering that orders events in accordance with the time of occurance
US8479174B2 (en) 2006-04-05 2013-07-02 Prevx Limited Method, computer program and computer for analyzing an executable computer file
US8151352B1 (en) 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US8006155B2 (en) 2007-01-09 2011-08-23 International Business Machines Corporation Testing an operation of integrated circuitry
CN101034361A (zh) * 2007-01-18 2007-09-12 浙江大学 一种基于指令代价的编译器优化代码生成方法
US9246938B2 (en) 2007-04-23 2016-01-26 Mcafee, Inc. System and method for detecting malicious mobile program code
US7854002B2 (en) 2007-04-30 2010-12-14 Microsoft Corporation Pattern matching for spyware detection
US20120300649A1 (en) * 2007-05-21 2012-11-29 W2Bi, Inc. Mobile device throughput testing
US8145470B2 (en) 2007-06-27 2012-03-27 Microsoft Corporation Accelerated access device emulator access scheme in a hypervisor environment with child and root partitions
US8176253B2 (en) * 2007-06-27 2012-05-08 Microsoft Corporation Leveraging transactional memory hardware to accelerate virtualization and emulation
US8176477B2 (en) 2007-09-14 2012-05-08 International Business Machines Corporation Method, system and program product for optimizing emulation of a suspected malware
US7614084B2 (en) 2007-10-02 2009-11-03 Kaspersky Lab Zao System and method for detecting multi-component malware
US9779235B2 (en) 2007-10-17 2017-10-03 Sukamo Mertoguno Cognizant engines: systems and methods for enabling program observability and controlability at instruction level granularity
US8078792B2 (en) * 2008-01-22 2011-12-13 Advanced Micro Devices, Inc. Separate page table base address for minivisor
US8166276B2 (en) 2009-02-27 2012-04-24 Advanced Micro Devices, Inc. Translate and verify instruction for a processor
US20120060220A1 (en) 2009-05-15 2012-03-08 Invicta Networks, Inc. Systems and methods for computer security employing virtual computer systems
US8707300B2 (en) * 2010-07-26 2014-04-22 Microsoft Corporation Workload interference estimation and performance optimization
US20120096554A1 (en) 2010-10-19 2012-04-19 Lavasoft Ab Malware identification

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8060356B2 (en) * 2007-12-19 2011-11-15 Sony Computer Entertainment Inc. Processor emulation using fragment level translation
US7603713B1 (en) * 2009-03-30 2009-10-13 Kaspersky Lab, Zao Method for accelerating hardware emulator used for malware detection and analysis
RU91213U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов
RU101217U1 (ru) * 2010-03-02 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система ускорения эмуляции процессов
RU2430411C1 (ru) * 2010-03-02 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного программного обеспечения

Also Published As

Publication number Publication date
US20140181970A1 (en) 2014-06-26
US8943596B2 (en) 2015-01-27
CN103678126A (zh) 2014-03-26
EP2750037A1 (en) 2014-07-02
CN103678126B (zh) 2016-08-17
EP2750037B1 (en) 2017-02-01

Similar Documents

Publication Publication Date Title
RU2514142C1 (ru) Способ повышения эффективности работы аппаратного ускорения эмуляции приложений
RU2514141C1 (ru) Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции
RU2622627C2 (ru) Способ обнаружения вредоносных исполняемых файлов, содержащих интерпретатор, посредством комбинирования эмуляторов
RU2637997C1 (ru) Система и способ обнаружения вредоносного кода в файле
EP2237186B1 (en) Method for accelerating hardware emulator used for malware detection and analysis
US10642973B2 (en) System and method of analysis of files for maliciousness and determining an action
RU2589862C1 (ru) Способ обнаружения вредоносного кода в оперативной памяти
US9117079B1 (en) Multiple application versions in a single virtual machine
US10242190B2 (en) System and method for detection of malicious code by iterative emulation of microcode
JP2018041438A5 (ru)
US11048795B2 (en) System and method for analyzing a log in a virtual machine based on a template
RU2553056C2 (ru) Система и способ сохранения состояния эмулятора и его последующего восстановления
RU2757409C1 (ru) Эмулятор и способ эмуляции
CN113821297B (zh) 仿真器和仿真方法
RU2592383C1 (ru) Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти
RU2585978C2 (ru) Способ вызова системных функций в условиях использования средств защиты ядра операционной системы
RU101217U1 (ru) Система ускорения эмуляции процессов
RU2659742C1 (ru) Способ эмуляции исполнения файлов, содержащих инструкции, отличные от машинных
EP3293660A1 (en) System and method of detecting malicious code in files
EP3361406A1 (en) System and method of analysis of files for maliciousness in a virtual machine
RU2659734C1 (ru) Способ эмуляции исполнения файлов
EP3444737B1 (en) System and method of emulating execution of files
RU2596577C2 (ru) Способ создания обработчика системных вызовов