根據(jù)本發(fā)明專利技術(shù)的第一方面,提供了一種保護(hù)計算機(jī)系統(tǒng)免于遭受惡意軟件的方法,當(dāng)在仿真計算機(jī)系統(tǒng)中執(zhí)行所述惡意軟件時,所述惡意軟件試圖阻止檢測或分析。所述方法包括:確定可執(zhí)行文件是否應(yīng)該被識別為合法的,如果不是,則執(zhí)行所述可執(zhí)行文件,同時向所述可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示。
【技術(shù)實現(xiàn)步驟摘要】
【國外來華專利技術(shù)】
本專利技術(shù)涉及一種保護(hù)計算機(jī)系統(tǒng)免于遭受惡意軟件程序的惡意活動的方法。
技術(shù)介紹
Malware是malicous software (惡意軟件)的縮寫,其用作一種術(shù)語,指示被設(shè)計為在未經(jīng)所有者同意的情況下潛入計算機(jī)系統(tǒng)或破壞計算機(jī)系統(tǒng)的任何軟件。惡意軟件可以包括計算機(jī)病毒、蠕蟲、特洛伊木馬、后門、廣告軟件、間諜軟件和任何其它惡意且討厭的軟件。當(dāng)設(shè)備被惡意軟件程序感染時,因為感染可能創(chuàng)建討厭的處理器活動、存儲器使 用和網(wǎng)絡(luò)業(yè)務(wù),所以用戶經(jīng)常會注意到討厭行為和系統(tǒng)性能劣化。感染還可能會造成穩(wěn)定性問題,從而導(dǎo)致應(yīng)用程序或系統(tǒng)范圍上的崩潰。受感染設(shè)備的用戶可能錯誤地認(rèn)為低性能是由軟件缺陷或硬件問題導(dǎo)致的,從而采取不適當(dāng)?shù)难a(bǔ)救措施,但實際原因卻是用戶沒有意識到的惡意軟件感染。此外,即使惡意軟件感染不會在設(shè)備性能上造成可察覺的變化,其也可能會執(zhí)行其它惡意功能,比如潛在地監(jiān)視和竊取有價值的商業(yè)、個人和/或金融信息,或者劫持設(shè)備使得其用于一些非法目的。許多終端用戶使用防病毒軟件來檢測惡意軟件,可能地,去除惡意軟件。為了檢測惡意軟件文件,防病毒軟件必須具有從設(shè)備上存在的所有其它文件中識別出惡意軟件文件的方法。典型地,這需要防病毒軟件具有包括“簽名”或“指紋”的數(shù)據(jù)庫,這些“簽名”或“指紋”是各個惡意軟件程序文件的特性。當(dāng)防病毒軟件的供應(yīng)商識別到新的惡意軟件威脅時,對威脅進(jìn)行分析且產(chǎn)生這種威脅的簽名。于是,惡意軟件“已知”,并且其簽名可以分發(fā)給終端用戶以更新其本地防病毒軟件數(shù)據(jù)庫。使用依靠簽名掃描來檢測惡意軟件的方法仍然使計算機(jī)易受到簽名還未被分析的“未知”惡意軟件程序的攻擊。為了解決這個問題,除了掃描惡意軟件簽名之外,大多數(shù)防病毒應(yīng)用程序附加地采用啟發(fā)式分析。這種方法包括一般規(guī)則的應(yīng)用,旨在將任意惡意軟件的行為與干凈/合法程序區(qū)分開來。例如,監(jiān)視PC上所有程序的行為,如果某程序試圖將數(shù)據(jù)寫入可執(zhí)行程序,則防病毒軟件可以將此行為標(biāo)記為可疑行為。啟發(fā)法可以基于諸如API調(diào)用、經(jīng)由互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)的嘗試等行為。為了檢測和/或分析惡意軟件程序,通常有用的是在隔離的環(huán)境或測試系統(tǒng)(此外稱為虛擬機(jī)或仿真器)中運(yùn)行程序。虛擬機(jī)或仿真器包括模仿真實計算機(jī)系統(tǒng)的多種部件的功能的程序。例如,使用Linux 操作系統(tǒng)的計算機(jī)可以運(yùn)行模仿Windows 操作系統(tǒng)提供的環(huán)境的虛擬機(jī)。這可以包括CPU、存儲器、通信接口和任何關(guān)聯(lián)硬件的仿真。通過在仿真環(huán)境中運(yùn)行程序,任何惡意活動都可以被限制在虛擬環(huán)境中,而不會使底層計算機(jī)系統(tǒng)有風(fēng)險。于是,可以觀察仿真環(huán)境內(nèi)的程序的行為,和用于將程序識別為惡意軟件的任何惡意軟件簽名或惡意行為。此外,對于已經(jīng)是惡意軟件的程序或者懷疑是惡意軟件的程序,防病毒工程師通常在仿真環(huán)境中運(yùn)行該程序,以分析或“調(diào)試”其行為。這允許防病毒工程師對惡意軟件程序進(jìn)行反向工程,從而確定檢測方法并為受程序感染的計算機(jī)殺毒。因此,惡意軟件創(chuàng)建者試圖避免使用了仿真和/或調(diào)試技術(shù)的惡意軟件檢測和分析工具。為此,惡意軟件創(chuàng)建者設(shè)計了對何時在仿真環(huán)境中執(zhí)行和/或區(qū)域何時被調(diào)試進(jìn)行檢測的惡意軟件。如果這種惡意軟件程序確定其正在仿真環(huán)境中執(zhí)行和/或正被調(diào)試,就會盡快終止或者改變行為以不執(zhí)行任何惡意活動或可疑行為。
技術(shù)實現(xiàn)思路
本專利技術(shù)的目的在于,提供一種保護(hù)計算機(jī)系統(tǒng)免于遭受惡意軟件程序的惡意活動的方法。根據(jù)本專利技術(shù)的第一方面,提供了一種保護(hù)計算機(jī)系統(tǒng)免于遭受惡意軟件的方法,當(dāng)在仿真計算機(jī)系統(tǒng)中執(zhí)行所述惡意軟件時,所述惡意軟件試圖阻止檢測或分析。所述方法包括確定可執(zhí)行文件是否應(yīng)該被識別為合法的,如果不是,則執(zhí)行所述可執(zhí)行文件,同時向所述可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示。優(yōu)選地,在非仿真計算機(jī)系統(tǒng)中執(zhí)行該文件。 可以在計算機(jī)系統(tǒng)中執(zhí)行所述確定可執(zhí)行文件是否應(yīng)該被識別為合法的步驟。備選地,計算機(jī)系統(tǒng)向服務(wù)器發(fā)送可執(zhí)行文件或可執(zhí)行文件的標(biāo)識符,并從服務(wù)器接收對文件是否應(yīng)該被識別為合法的加以指示的響應(yīng)。所述確定可執(zhí)行文件是否應(yīng)該被識別為合法的步驟可以包括以下任一項確定標(biāo)識了合法可執(zhí)行文件的數(shù)據(jù)庫中是否包括所述可執(zhí)行文件的標(biāo)識符,如果是,則將所述可執(zhí)行文件識別為合法的;確定標(biāo)識了違禁可執(zhí)行文件的數(shù)據(jù)庫中是否包括所述可執(zhí)行文件的標(biāo)識符,如果否,則將所述可執(zhí)行文件識別為合法的;以及確定關(guān)于可執(zhí)行文件的、包括對每個可執(zhí)行文件的合法性加以表示的值的數(shù)據(jù)庫中是否包括所述可執(zhí)行文件的標(biāo)識符,如果是,確定與所述可執(zhí)行文件相關(guān)聯(lián)的值是否超過可執(zhí)行文件被認(rèn)為是合法時的閾值。所述向可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示的步驟可以包括在所述可執(zhí)行文件的執(zhí)行期間,攔截所述可執(zhí)行文件與計算機(jī)系統(tǒng)之間的指定通信;以及利用對在仿真計算機(jī)系統(tǒng)中的執(zhí)行加以指示的數(shù)據(jù)來響應(yīng)所攔截的通信。所述指定通信可以包括函數(shù)調(diào)用、消息和事件中的任一項。根據(jù)本專利技術(shù)的第二方面,提供了一種包括計算機(jī)程序代碼裝置的計算機(jī)程序,在所述程序在計算機(jī)上運(yùn)行時,所述計算機(jī)程序代碼裝置適于執(zhí)行第一方面的所有步驟。根據(jù)本專利技術(shù)的第三方面,提供了一種在計算機(jī)可讀介質(zhì)上實現(xiàn)的根據(jù)第二方面的計算機(jī)程序。根據(jù)本專利技術(shù)的第四方面,提供了一種計算機(jī)系統(tǒng)。所述計算機(jī)系統(tǒng)包括存儲器,存儲器存儲可執(zhí)行文件;以及處理器,用于確定所述可執(zhí)行文件是否應(yīng)該被識別為合法的;以及如果不是,則在計算機(jī)系統(tǒng)中執(zhí)行所述可執(zhí)行文件,同時向所述可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示。處理器還可以被配置為產(chǎn)生包括所述可執(zhí)行文件或所述可執(zhí)行文件的標(biāo)識符的消息以發(fā)送至服務(wù)器,并處理從服務(wù)器接收的響應(yīng)以確定所述響應(yīng)是否指示文件應(yīng)該被識別為合法的。計算機(jī)系統(tǒng)還可以包括用于向服務(wù)器發(fā)送消息的發(fā)送機(jī)和用于從服務(wù)器接收響應(yīng)的接收機(jī)。存儲器還可以被配置為對標(biāo)識了合法可執(zhí)行文件的數(shù)據(jù)庫進(jìn)行存儲,以及處理器還可以被配置為確定所述標(biāo)識了合法可執(zhí)行文件的數(shù)據(jù)庫中是否包括可執(zhí)行文件的標(biāo)識符。備選地,存儲器還可以被配置為對標(biāo)識了違禁可執(zhí)行文件的數(shù)據(jù)庫進(jìn)行存儲,以及處理器還可以被配置為確定所述標(biāo)識了違禁可執(zhí)行文件的數(shù)據(jù)庫中是否包括可執(zhí)行文件的標(biāo)識符。作為另一備選,存儲器還可以被配置為存儲關(guān)于可執(zhí)行文件的信息的數(shù)據(jù)庫,所述數(shù)據(jù)庫包括對每個可執(zhí)行文件的合法性加以表示的值,以及處理器還可以被配置為確定可執(zhí)行文件的數(shù)據(jù)庫中是否包括可執(zhí)行文件的標(biāo)識符。優(yōu)選地,處理器還可以被配置為,如果數(shù)據(jù)庫中包括可執(zhí)行文件的標(biāo)識符,則確定與可執(zhí)行文件相關(guān)聯(lián)的值是否超過了可執(zhí)行文件被認(rèn)為是合法時的閾值。處理器還可以被配置為在可執(zhí)行文件的執(zhí)行期間,攔截可執(zhí)行文件與計算機(jī)系統(tǒng)之間的指定通信,并且利用對仿真計算機(jī)系統(tǒng)中的執(zhí)行加以指示的數(shù)據(jù)來響應(yīng)所攔截的通 目。根據(jù)本專利技術(shù)的第五方面,提供了一種檢測潛在惡意軟件的方法。所述方法包括執(zhí)行可執(zhí)行文件,同時向所述可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示,監(jiān)視所述可執(zhí)行文件的行為,以及確定所述行為是否與仿真計算機(jī)系統(tǒng)中執(zhí)行的惡意軟件的預(yù)期行為相對應(yīng)。所述執(zhí)行可執(zhí)行文件同時向所述可執(zhí)行文件提供其正在仿真計算機(jī)系統(tǒng)中執(zhí)行的指示的步驟可以包括在非仿真計算機(jī)環(huán)境中執(zhí)行所述可執(zhí)行文件,在所述可執(zhí)行文件的執(zhí)行期間,攔截所述可執(zhí)行文件與計算機(jī)系統(tǒng)之間的指定通信,以及利用對本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點】
【技術(shù)特征摘要】
【國外來華專利技術(shù)】...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:楊諾·尼美拉,米科·海彭恩,圣特里·康加斯,
申請(專利權(quán))人:F賽酷公司,
類型:
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。