防止不良程序的安装和执行的系统和方法技术方案

本发明专利技术涉及防止不良程序的安装和执行的系统和方法。公开了用于控制程序在计算机上的安装的系统和方法。示例性的系统配置成：检测未知程序在计算机上的安装；暂停未知程序的安装；在安全环境下执行未知程序；检测未知程序的不良行为，该不良行为包括：该程序在用户不知情的情况下执行的行为、用于访问在计算机上的个人用户数据的行为、以及利用计算机的其它程序或操作系统影响用户工作的行为；基于所检测到的程序的不良行为确定未知程序是否是不良的；当未知程序被确定为不良的时，提示用户选择是否允许或禁止不良程序在计算机上的安装；以及当未知程序被确定为不是不良的时，允许未知程序在计算机上的安装。

【技术实现步骤摘要】

本专利技术总体涉及计算机安全领域，更具体地涉及防止不良程序的安装和执行的系统和方法。
技术介绍
许多计算机用户经常面对恶意程序(也被称作恶意软件)的操作的后果，该恶意程序可阻塞用户的计算机、引起个人数据的盗用、散布垃圾邮件以及执行其他的恶意行为。同时，反病毒行业也没有停歇且已经研发出可以有效地抗衡甚至未知的恶意程序的反病毒技术，例如仿真、行为分析和应用控制。此类反病毒技术在许多情况下可以降低用户的计算机感染恶意软件的风险或者减小该感染所造成的损害。随着恶意程序的发展，不直接地实施恶意行为但是能够频繁地骚扰用户或者强迫用户采取不必要的行为(例如，支付对于其功能特征是无用的程序的许可)的应用程序，近来已经变得更为常见。此类应用程序经常被称作不良程序、害虫软件(pestware)或垃圾软件。通常将它们称作不良程序。这些不良程序的不良行为包括但不限于：●浏览器的主页、搜索引擎、以及全部可能的浏览器附件(插件)的安装的未经许可的变化，其经常引起浏览器的不需要的操作。这些变化为最常见的不良行为。●这类应用程序经常被称作FakeAV，一种假冒反病毒软件。一方面，它不对用户或其数据造成任何危害，但是另一方面，它持续地建议购买对于无用的功能特征(其起作用，但实际上不带来任何好处)的许可。●优化器程序以及优化操作系统的操作(通过清除暂存文件、寄存器的未使用的分支等)的实际有用的实用程序。存在许多付费的优化器程序，其不执行有用的行为，而是仅仅包含通知用户被执行的“有用的”行为的界面。●此外，频繁地出现在不良软件的列表中的特征为间谍软件程序，在用户不知情的情况下，这些间谍软件程序可收集关于用户及其计算机的数据。用户自愿安装此类软件的情形(更多时候是由于缺乏注意)是可能的。不良程序通常不执行在多数国家可引起犯罪刑事制裁的类型的任何犯罪行为(例如，散布恶意程序或者发送垃圾邮件)，且不良程序也具有合法程序的全部标志，即图形界面、许可协议等。然而，用户经常不满意他们的操作，即程序不断地显示其界面的窗口、或者不能够满足所需的功能特征，从而导致用户希望清除这些程序且不再次安装这些程序的结果。目前，已知用于检测和清除此类程序的方法。例如，微软公司在其用于清除不良程序的实用程序中向其用户提供了通过指出不良程序的“不良性”指标来辨别不良程序的选项，上述“不良性”指标包括：缺乏图形用户界面(GraphicalUserInterface，GUI)、缺乏关于程序的操作的信息、显示广告等。然而，此类技术无法免于某些缺陷，例如此类技术不能够防止安装不良程序或者取消已进行的变化(使已进行的变化“回退”)。因此，需要更为有效的用于检测和阻断包含不合用户需要的功能特征的程序的操作的方案。
技术实现思路
公开了防止不良程序的安装和执行的系统和方法。在一个示例性方面中，一种系统通过以下方式来控制程序在计算机上的安装：检测未知程序在计算机上的安装；暂停所述未知程序的安装；在安全环境下执行所述未知程序；检测所述未知程序的不良行为，所述不良行为包括：所述程序在用户不知情的情况下执行的行为、用于访问在所述计算机上的个人用户数据的行为、以及利用所述计算机的其它程序或操作系统影响用户工作的行为；基于所检测到的所述程序的所述不良行为确定所述未知程序是否是不良的；当所述未知程序被确定为不良的时，提示所述用户选择是否允许或禁止所述不良程序在所述计算机上的安装；以及当所述未知程序被确定为不是不良的时，允许所述未知程序在所述计算机上的安装。在一个示例性方面中，为了确定所述未知程序是否是不良的，所述系统可将数值型权重分配给所检测到的所述不良行为，其中，在用户不知情的情况下执行的不良行为的数值型权重比利用其它程序或操作系统影响用户工作的其它不良行为的数值型权重大。在一个示例性方面中，为了确定所述未知程序是否是不良的，所述系统可计算所检测到的所述不良行为的所述数值型权重的总和；以及当所有的检测到的不良行为的所述数值型权重的总和超过预定的阈值时，将所述未知程序指定为不良的。在另一示例性方面中，所述系统还可保存是否允许或禁止所述未知程序在所述计算机上的安装的用户选择；以及当以后试图在所述用户的计算机上安装或执行相同的程序时，自动地执行所保存的所述用户选择，而不再次提示所述用户。在另一示例性方面中，为了允许所述不良程序在所述计算机上的安装，所述系统还可防止所述程序的一个或多个检测到的不良行为的执行。在另一示例性方面中，防止所述程序的一个或多个检测到的不良行为的执行还包括：针对活跃的不良的图形用户界面(GUI)元素的存在情况，分析所述程序的安装程序的GUI；以及停用所述程序的安装程序的所检测到的不良的GUI元素。在另一示例性方面中，所述不良行为还可包括以下行为中的至少一者：修改网络设置、修改浏览器设置、在所述计算机的桌面上创建图标和激活弹出窗口。在另一示例性方面中，一种系统可通过以下方式来控制程序的执行：检测在计算机上安装的未知程序；识别由所述未知程序在所述计算机上执行的不良行为，其中，所述不良行为包括以下行为中的至少一者：所述程序在用户不知情的情况下执行的行为、用于访问在所述计算机上的个人用户数据的行为、以及利用所述计算机的其它程序或操作系统影响用户工作的行为；基于所识别的所述程序的所述不良行为确定所述未知程序是否是不良的；当所述未知程序被确定为不良的时，提示所述用户选择是否允许或禁止所述不良程序在所述计算机上的执行；以及当所述未知程序被确定为不是不良的时，允许所述未知程序在所述计算机上的执行。在另一示例性方面中，所述系统还可保存是否允许或禁止所述未知程序在所述计算机上的执行的用户选择；以及当以后试图在所述用户的计算机上执行相同的程序时，自动地执行所保存的所述用户选择，而不再次提示所述用户。在另一示例性方面中，为了允许所述不良程序在所述计算机上的执行，所述系统可防止所述程序的一个或多个检测到的不良行为的执行。在另一示例性方面中，为了防止所述程序的一个或多个检测到的不良行为的执行，所述系统还可针对活跃的不良的图形用户界面(GUI)元素的存在情况，分析所述程序的安装程序的GUI；以及停用所述程序的安装程序的所检测到的不良的GUI元素。上述示例性方面的简要概括用于提供本专利技术的基本理解。该概括不是全部构思方面的扩展性综述，且既不是旨在识别全部方面的关键要素或重要要素也不是旨在勾画本专利技术的任何方面或全部方面的范围。其唯一的目的在于以简化形式呈现出一个或多个方面作为本专利技术下面的更为详细的描述的前奏。为了完成上述内容，本专利技术的一个或多个方面包括在权利要求中所描述的特征和特别指出的特征。附图说明合并到本说明书中且构成本说明书的一部分的附图示出了本专利技术的一个或多个示例性方面，以及与详细描述一起用于阐述这些示例性方面的原理和实现方式。图1示出防止不良程序在用户的计算机系统上的安装和执行的示例性系统。图2A示出防止不良程序的安装的示例性方法。图2B示出利用取消不良行为来防止不良程序的安装的示例性方法。图2C示出潜在不良程序的安装程序的窗口的示例。图3示出防止不良程序的执行的示例性方法。图4示出其上可实现所公开的系统的和方法的通用计算机系统的示例。具体实施方式在此本文档来自技高网...

【技术保护点】
一种用于控制程序的安装的方法，所述方法包括：通过硬件处理器，检测未知程序在计算机上的安装；通过所述硬件处理器，暂停所述未知程序的安装；通过所述硬件处理器，在安全环境下执行所述未知程序；通过所述硬件处理器，检测所述未知程序的不良行为，其中，所述不良行为包括以下行为中的至少一者：所述程序在用户不知情的情况下执行的行为、用于访问在所述计算机上的个人用户数据的行为、以及利用所述计算机的其它程序或操作系统影响用户工作的行为；通过所述硬件处理器，基于所检测到的所述程序的所述不良行为确定所述未知程序是否是不良的；当所述未知程序被确定为不良的时，提示所述用户选择是否允许或禁止所述不良程序在所述计算机上的安装；以及当所述未知程序被确定为不是不良的时，通过所述硬件处理器，允许所述未知程序在所述计算机上的安装。

【技术特征摘要】
2015.06.30 RU 2015125976;2015.11.18 US 14/944,8211.一种用于控制程序的安装的方法，所述方法包括：通过硬件处理器，检测未知程序在计算机上的安装；通过所述硬件处理器，暂停所述未知程序的安装；通过所述硬件处理器，在安全环境下执行所述未知程序；通过所述硬件处理器，检测所述未知程序的不良行为，其中，所述不良行为包括以下行为中的至少一者：所述程序在用户不知情的情况下执行的行为、用于访问在所述计算机上的个人用户数据的行为、以及利用所述计算机的其它程序或操作系统影响用户工作的行为；通过所述硬件处理器，基于所检测到的所述程序的所述不良行为确定所述未知程序是否是不良的；当所述未知程序被确定为不良的时，提示所述用户选择是否允许或禁止所述不良程序在所述计算机上的安装；以及当所述未知程序被确定为不是不良的时，通过所述硬件处理器，允许所述未知程序在所述计算机上的安装。2.根据权利要求1所述的方法，其中，确定所述未知程序是否是不良的还包括：将数值型权重分配给所检测到的所述不良行为，其中，在用户不知情的情况下执行的不良行为的数值型权重比利用其它程序或操作系统影响用户工作的其它不良行为的数值型权重大。3.根据权利要求2所述的方法，其中，确定所述未知程序是否是不良的还包括：计算所检测到的所述不良行为的所述数值型权重的总和；以及当所有的检测到的不良行为的所述数值型权重的总和超过预定的阈值时，将所述未知程序指定为不良的。4.根据权利要求1所述的方法，还包括：保存是否允许或禁止所述未知程序在所述计算机上的安装的用户选择；以及当以后试图在所述用户的计算机上安装或执行相同的程序时，自动地执行所保存的所述用户选择，而不再次提示所述用户。5.根据权利要求1所述的方法，其中，允许所述不良程序在所述计算机上的安装还包括：防止所述程序的一个或多个检测到的不良行为的执行。6.根据权利要求5所述的方法，其中，防止所述程序的一个或多个检测到的不良行为的执行还包括：针对活跃的不良的图形用户界面GUI元素的存在情况，分析所述程序的安装程序的GUI；以及停用所述程序的安装程序的所检测到的不良的GUI元素。7.根据权利要求1所述的方法，其中，所述不良行为还包括以下行为中的至少一者：修改网络设置、修改浏览器设置、在所述计算机的桌面上创建图标和激活弹出窗口。8.一种用于控制程序的安装的系统，所述系统包括：硬件处理器，所述硬件处理器配置成：检测未知程序在计算机上的安装；暂停所述未知程序的安装；在安全环境下执行所述未知程序；检测所述未知程序的不良行为，其中，所述不良行为包括以下行为中的至少一者：所述程序在用户不知情的情况下执行的行为、用于访问在所述计算机上的个人用户数据的行为、以及利用所述计算机的其它程序或操作系统影响用户工作的行为；基于所检测到的所述程序的所述不良行为确定所述未知程序是否是不良的；当所述未知程序被确定为不良的时，提示所述用户选择是否允许或禁止所述不良程序在所述计算机上的安装；以及当所述未知程序被确定为不是不良的时，允许所述未知程序在所述计算机上的安装。9.根据权利要求8所述的系统，其中，确定所述未知程序是否是不良的还包括：将数值型权重分配给所检测到的所述不良行为，其中，在用户不知情的情况下执行的不良行为的数值型权重比利用其它程序或操作系统影响用户工作的其它不良行为的数值型权重大。10.根据权利要求9所述的系统，其中，确定所述未知程序是否是不良的还包括：计算所检测到的所述不良行为的所述数值型权重的总和；以及当所有的检测到的不良行为的所述数值型权重的总和超过预定的阈值时，将所述未知程序指定为不良的。11.根据权利要求8所述的系统，其中，所述硬件处理器还配置成：保存是否允许或禁止所述未知程序在所述计算机上的安装的用户选择；以及当以后试图在所述用户的计算机上安装或执行相同的程序时，自动地执行所保存的所述用户选择，而不再次提示所述用户。12.根据权利要求8所述的系统，其中，允许所述不良程序在所述计算机上的安装还包括：防止所述程序的一个或多个检测到的不良行为的执行。13.根据权利要求12所述的系统，其中，防止所述程序的一个或多个检测到的不良行为的执行还...

【专利技术属性】
技术研发人员：维亚切斯拉夫·V·扎科热夫斯基，亚历山大·A·罗曼恩科，谢尔盖·V·多布罗沃斯基，尤里·G·斯洛博佳纽克，奥列格·A·尤尔津，米哈伊尔·A·帕夫尤什切克，亚历山大·A·斯特罗伊科夫，亚历山大·V·艾姆里洛耶夫，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：俄罗斯;RU