【技术实现步骤摘要】
用于恶意软件检测的存储器跟踪相关申请本申请根据35U.S.C.§119对在2018年7月16日提交的印度专利申请No.201841026426要求优先权,该印度专利申请的内容通过整体引用的方式被并入本文。
技术介绍
恶意软件或者恶意的软件可以包括旨在对计算机系统、计算机系统的用户和/或计算机网络恶意地起作用的软件。在一些情况下,恶意软件可以包括病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、和/或类似的。
技术实现思路
根据一些实施方式,设备可以包括一个或多个存储器,以及一个或多个处理器,以将被测进程加载到与设备相关联的虚拟存储器中,其中虚拟存储器包括多个存储器页面。一个或多个处理器可以将恶意软件检查元件和存储器跟踪元件插入到被测进程中。一个或多个处理器可以使用恶意软件检查元件向存储器跟踪元件提供与被测进程相关联的事件的通知。一个或多个处理器可以使用存储器跟踪元件并且基于通知中所包括的信息,标识多个存储器页面中的一个或多个存储器页面,其中一个或多个存储器页面被指派给被测进程,并且由被测进程使用。一个或多个处理器可以使用存储器跟踪元件并且基于标识的一个或多个存储器页面,生成与被测进程相关联的存储器映射,其中存储器映射包括将一个或多个存储器页面标识为被指派给被测进程并且由被测进程所使用的信息,以及其中存储器映射用于确定被测进程是否包括恶意软件。根据一些实施方式,非瞬态计算机可读介质可以存储包括一个或多个指令的指令,当由设备的一个或多个处理器执行时,使得一个或多个处理器将被测进程加载到与设备相关联的虚拟 ...
【技术保护点】
1.一种设备,包括/n一个或多个存储器;以及/n一个或多个处理器,用以:/n将被测进程加载到与所述设备相关联的虚拟存储器中,/n其中所述虚拟存储器包括多个存储器页面;/n将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中;/n使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知;/n使用所述存储器跟踪元件并且基于包括在所述通知中的信息,标识所述多个存储器页面中的一个或多个存储器页面,/n其中所述一个或多个存储器页面被指派给所述被测进程,并且由所述被测进程使用;以及/n使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面,生成与所述被测进程相关联的存储器映射,/n其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息,以及/n其中所述存储器映射将被用于确定所述被测进程是否包括恶意软件。/n
【技术特征摘要】
20180716 IN 201841026426;20180831 US 16/119,6861.一种设备,包括
一个或多个存储器;以及
一个或多个处理器,用以:
将被测进程加载到与所述设备相关联的虚拟存储器中,
其中所述虚拟存储器包括多个存储器页面;
将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中;
使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知;
使用所述存储器跟踪元件并且基于包括在所述通知中的信息,标识所述多个存储器页面中的一个或多个存储器页面,
其中所述一个或多个存储器页面被指派给所述被测进程,并且由所述被测进程使用;以及
使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面,生成与所述被测进程相关联的存储器映射,
其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息,以及
其中所述存储器映射将被用于确定所述被测进程是否包括恶意软件。
2.根据权利要求1所述的设备,其中所述一个或多个处理器还用以:
使用所述存储器跟踪元件向所述恶意软件检查元件提供指令,以向所述存储器跟踪元件提供与所述被测进程相关联的所述事件的所述通知。
3.根据权利要求1所述的设备,其中所述事件包括:所述被测进程正经由应用程序编程接口(API)被指派新的存储器页面。
4.根据权利要求1所述的设备,其中所述一个或多个处理器还用以:
使用所述恶意软件检查元件检测正被加载到所述虚拟存储器中的所述被测进程,
其中与所述被测进程相关联的所述事件的所述通知包括:
指示所述被测进程已被加载到所述虚拟存储器中的信息;以及
标识被指派给所述被测进程的存储器页面范围的信息,以及
其中当使用所述存储器跟踪元件并且基于包括在所述通知中的所述信息来标识所述多个存储器页面中的所述一个或多个存储器页面时,所述一个或多个处理器用以:
标识在所述通知中标识的所述存储器页面范围。
5.根据权利要求1所述的设备,其中所述一个或多个处理器还用以:
使用所述存储器跟踪元件并且使用所述存储器映射来跟踪所述一个或多个存储器页面。
6.根据权利要求5所述的设备,其中当跟踪所述一个或多个存储器页面时,所述一个或多个处理器用以执行以下中的至少一个:
跟踪由所述一个或多个存储器页面保持的状态,
从所述一个或多个存储器页面中提取工件,或者
基于所述一个或多个存储器页面来标识所述被测进程的危害指标符(IOC)。
7.根据权利要求6所述的设备,其中所述一个或多个处理器还用以:
向恶意软件检查工具提供用于电子取证分析的所述工件,以确定所述被测进程的恶意意图。
8.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,当由设备的一个或多个处理器执行时,使得所述一个或多个处理器用以:
将被测进程加载到与所述设备相关联的虚拟存储器中,
其中所述虚拟存储器包括多个存储器页面;
将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中;
使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知;
使用所述存储器跟踪元件并且基于包括在所述通知中的信息,标识所述多个存储器页面中的一个或多个存储器页面,
其中所述一个或多个存储器页面被指派给所述被测进程,并且由所述被测进程使用;
使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面,生成与所述被测进程相关联的存储器映射,
其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息;以及
使用所述存储器跟踪元件并且使用所述存储器映射跟踪所述一个或多个存储器页面以确定所述被测进程是否包括恶意软件。
9.根据权利要求8所述的非瞬态计算机可读介质,其中所述事件包括以下中的至少一个:
与...
【专利技术属性】
技术研发人员:A·W·萨尔达尼亚,A·莫汉塔,S·R·达喀尔,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。