(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113672917A(43)申请公布日2021.11.19(21)申请号202110892582.9(22)申请日2021.08.04(71)申请人安天科技集团股份有限公司地址150028黑龙江省哈尔滨市高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人吕经祥童志明(74)专利代理机构北京科衡知识产权代理有限公司11928代理人王淑静(51)Int.Cl.G06F21/56(2013.01)G06F21/53(2013.01)权利要求书3页说明书9页附图2页(54)发明名称恶意代码检测方法、装置、存储介质及电子设备(57)摘要本发明一个或多个实施例公开一种恶意代码检测方法、装置、存储介质及电子设备。其中，恶意代码检测方法，包括：以沙箱中的系统镜像模拟用户场景执行所述目标程序，其中，所述系统镜像基于用户本地的环境信息创建；对所述目标程序在执行过程中的行为进行监控；根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码，本发明实施例能够有效检测出恶意代码。CN113672917ACN113672917A权利要求书1/3页1.一种恶意代码检测方法，其特征在于，包括：以沙箱中的系统镜像模拟用户场景执行目标程序，其中，所述系统镜像基于用户本地的环境信息创建；对所述目标程序在执行过程中的行为进行监控；根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。2.根据权利要求1所述的方法，其特征在于，以沙箱中的系统镜像模拟用户场景执行目标程序，包括：根据所述系统镜像创建用户场景快照；在所述用户场景快照中执行所述目标程序。3.根据权利要求1所述的方法，其特征在于，所述环境信息包括：注册表信息、文件信息以及环境变量。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在以沙箱中的系统镜像模拟用户场景执行目标程序之前，从所述用户本地获取预先基于所述环境信息创建完成的系统镜像并上传至所述沙箱。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在以沙箱中的系统镜像模拟用户场景执行目标程序之前，获取用户本地的环境信息；根据所述环境信息创建系统镜像；将所述系统镜像上传至沙箱。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述沙箱中的历史系统镜像的创建时间，确定所述历史系统镜像中创建时间最晚的目标系统镜像，删除创建时间早于所述目标系统镜像的其他历史系统镜像。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：在以沙箱中的系统镜像模拟用户场景执行目标程序之前，获取上传至所述沙箱的所述目标程序的可执行程序代码；发出第一提示消息，其中，所述第一提示消息用于提示是否以当前模式执行所述目标程序、所述当前模式对应的时间消耗以及资源消耗情况。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：在发出所述第一提示消息之后，响应于获取到确定以当前模式执行所述目标程序的指令，发出第二提示消息，其中，所述第二提示消息用于提示用户选择使用历史系统镜像或创建新的系统镜像模拟用户场景。9.根据权利要求1至8任一项所述的方法，其特征在于，根据所述目标程序执行过程中的行为，判断所述目标程序是否是恶意程序，包括：在所述目标程序执行结束或停止执行之后，根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。10.一种恶意代码检测装置，其特征在于，包括：执行模块，被配置为以沙箱中的系统镜像模拟用户场景执行所述目标程序，其中，所述系统镜像基于用户本地的环境信息创建；监控模块，被配置为对所述目标程序在执行过程中的行为进行监控；2CN113672917A权利要求书2/3页判断模块，被配置为根据所述目标程序执行过程中的行为，判断所述目标程序的可执行程序代码是否是恶意代码。11.根据权利要求10所述的装置，其特征在于，所述执行模块具体被配置为：根据所述系统镜像创建用户场景快照；在所述用户场景快照中执行所述目标程序。12.根据权利要求10所述的装置，其特征在于，所述环境信息包括：注册表信息、文件信息以及环境变量。13.根据权利要求10所述的装置，其特征在于，所述装置还包括：第一获取模块，被配置为在以沙箱中的系统镜像模拟用户场景执行所述目标程序之前，从所述用户本地获取预先基于所述环境信息创建完成的系统镜像并上传至所述沙箱。14.根据权利要求10所述的装置，其特征在于，所述装置还包括：第二获取模块，被配置为在以沙箱中的系统镜像模拟用户场景执行所述目标程序之前，获取用户本地的环境信息；创建模块，被配置为根据所述环境信息创建系统镜像；上传模块，被配置为将所述系统镜像上传至沙箱。15.根据权利要