公开(公告)号：US20090077544A1

公开(公告)日：2009-03-19

申请号：US11855392

申请日：2007-09-14

申请人： Ji Yan Wu

发明人： Ji Yan Wu

IPC分类号： G06F9/445

CPC分类号： G06F21/56 ,  G06F21/566

摘要： A method, system and program product for optimizing emulation of a suspected malware. The method includes identifying, using an emulation optimizer tool, whether an instruction in a suspected malware being emulated by an emulation engine in a virtual environment signifies a long loop and, if so, generating a first hash for the loop. Further, the method includes ascertaining whether the first hash generated matches any long loop entries in a storage and, if so calculating a second hash for the long loop. Furthermore, the method includes inspecting any long loop entries ascertained to find an entry having a respective second hash matching the second hash calculated. If an entry matching the second hash calculated is found, the method further includes updating one or more states of the emulation engine, such that, execution of the long loop of the suspected malware is skipped, which optimizes emulation of the suspected malware.

摘要翻译： 一种用于优化疑似恶意软件仿真的方法，系统和程序产品。 该方法包括使用仿真优化器工具识别在虚拟环境中由仿真引擎仿真的可疑恶意软件中的指令是否表示长循环，如果是，则生成循环的第一散列。 此外，该方法包括确定生成的第一散列是否匹配存储器中的任何长循环条目，并且如果是这样计算长循环的第二散列。 此外，该方法包括检查确定为找到具有与计算的第二散列匹配的相应第二散列的条目的任何长循环条目。 如果找到与计算的第二散列匹配的条目，则该方法还包括更新仿真引擎的一个或多个状态，使得跳过可疑恶意软件的长循环的执行，这优化了可疑恶意软件的仿真。

公开(公告)号：US08473931B2

公开(公告)日：2013-06-25

申请号：US13424958

申请日：2012-03-20

申请人： Ji Yan Wu

发明人： Ji Yan Wu

IPC分类号： G06F9/45 ,  G06F11/00 ,  G06F12/14

CPC分类号： G06F21/56 ,  G06F21/566

摘要： A method, system and program product for optimizing emulation of a suspected malware. The method includes identifying, using an emulation optimizer tool, whether an instruction in a suspected malware being emulated by an emulation engine in a virtual environment signifies a long loop and, if so, generating a first hash for the loop. Further, the method includes ascertaining whether the first hash generated matches any long loop entries in a storage and, if so calculating a second hash for the long loop. Furthermore, the method includes inspecting any long loop entries ascertained to find an entry having a respective second hash matching the second hash calculated. If an entry matching the second hash calculated is found, the method further includes updating one or more states of the emulation engine, such that, execution of the long loop of the suspected malware is skipped, which optimizes emulation of the suspected malware.

摘要翻译： 一种用于优化疑似恶意软件仿真的方法，系统和程序产品。 该方法包括使用仿真优化器工具识别在虚拟环境中由仿真引擎仿真的可疑恶意软件中的指令是否表示长循环，如果是，则生成循环的第一散列。 此外，该方法包括确定生成的第一散列是否匹配存储器中的任何长循环条目，并且如果是这样计算长循环的第二散列。 此外，该方法包括检查确定为找到具有与计算的第二散列匹配的相应第二散列的条目的任何长循环条目。 如果找到与计算的第二散列匹配的条目，则该方法还包括更新仿真引擎的一个或多个状态，使得跳过可疑恶意软件的长循环的执行，这优化了可疑恶意软件的仿真。

公开(公告)号：US20120180132A1

公开(公告)日：2012-07-12

申请号：US13424958

申请日：2012-03-20

申请人： Ji Yan Wu

发明人： Ji Yan Wu

IPC分类号： G06F21/00

CPC分类号： G06F21/56 ,  G06F21/566

摘要： A method, system and program product for optimizing emulation of a suspected malware. The method includes identifying, using an emulation optimizer tool, whether an instruction in a suspected malware being emulated by an emulation engine in a virtual environment signifies a long loop and, if so, generating a first hash for the loop. Further, the method includes ascertaining whether the first hash generated matches any long loop entries in a storage and, if so calculating a second hash for the long loop. Furthermore, the method includes inspecting any long loop entries ascertained to find an entry having a respective second hash matching the second hash calculated. If an entry matching the second hash calculated is found, the method further includes updating one or more states of the emulation engine, such that, execution of the long loop of the suspected malware is skipped, which optimizes emulation of the suspected malware.

摘要翻译： 一种用于优化疑似恶意软件仿真的方法，系统和程序产品。 该方法包括使用仿真优化器工具识别在虚拟环境中由仿真引擎仿真的可疑恶意软件中的指令是否表示长循环，如果是，则生成循环的第一散列。 此外，该方法包括确定生成的第一散列是否匹配存储器中的任何长循环条目，并且如果是这样计算长循环的第二散列。 此外，该方法包括检查确定为找到具有与计算的第二散列匹配的相应第二散列的条目的任何长循环条目。 如果找到与计算的第二散列匹配的条目，则该方法还包括更新仿真引擎的一个或多个状态，使得跳过可疑恶意软件的长循环的执行，这优化了可疑恶意软件的仿真。

公开(公告)号：US08176477B2

公开(公告)日：2012-05-08

申请号：US11855392

申请日：2007-09-14

申请人： Ji Yan Wu

发明人： Ji Yan Wu

IPC分类号： G06F9/45 ,  G06F11/00

CPC分类号： G06F21/56 ,  G06F21/566

摘要： A method, system and program product for optimizing emulation of a suspected malware. The method includes identifying, using an emulation optimizer tool, whether an instruction in a suspected malware being emulated by an emulation engine in a virtual environment signifies a long loop and, if so, generating a first hash for the loop. Further, the method includes ascertaining whether the first hash generated matches any long loop entries in a storage and, if so calculating a second hash for the long loop. Furthermore, the method includes inspecting any long loop entries ascertained to find an entry having a respective second hash matching the second hash calculated. If an entry matching the second hash calculated is found, the method further includes updating one or more states of the emulation engine, such that, execution of the long loop of the suspected malware is skipped, which optimizes emulation of the suspected malware.

摘要翻译： 一种用于优化疑似恶意软件仿真的方法，系统和程序产品。 该方法包括使用仿真优化器工具识别在虚拟环境中由仿真引擎仿真的可疑恶意软件中的指令是否表示长循环，如果是，则生成循环的第一散列。 此外，该方法包括确定生成的第一散列是否匹配存储器中的任何长循环条目，并且如果是这样计算长循环的第二散列。 此外，该方法包括检查确定为找到具有与计算的第二散列匹配的相应第二散列的条目的任何长循环条目。 如果找到与计算的第二散列匹配的条目，则该方法还包括更新仿真引擎的一个或多个状态，使得跳过可疑恶意软件的长循环的执行，这优化了可疑恶意软件的仿真。