本申请公开了--种基于虚拟化技术的潜在恶意软件分析方法及相关装置,该方法包括:当运行在虛拟化环境中的程序出现异常中断时,判断异常中断是否为挂钩异常中断;若是,则确定挂钩异常中断的异常行为类型;当异常行为类型为读写权限异常时,将挂钩异常中断对应的EPT项替换为正常代码页,以便对正常代码页进行完整性检查;当异常行为类型为执行异常时,根据挂钩代码页的目标函数执行对应的代理函数得到程序数据,以便根据程序数据进行恶意软件分析。通过挂钩异常中断的类型将正常代码页替换回挂钩代码页,以便通过完整性检查,当执行挂钩代码页对应的代理函数时获取到程序数据,在完整性检查下实现了恶意软件分析,提高了分析效率。
