当前位置: 首页 > 专利查询>迈克菲公司专利>正文

防止任务调度恶意软件的执行制造技术

技术编号:10471669 阅读:85 留言:0更新日期:2014-09-25 10:17
一种用于防止恶意软件攻击的方法,包括以下步骤:在电子设备上检测访问任务调度器的尝试,确定关联于访问所述任务调度器的尝试的实体,确定所述实体的恶意软件状态,以及,基于所述实体的恶意软件状态,允许或者拒绝到所述任务调度器的尝试的访问。所述任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序。

【技术实现步骤摘要】
【国外来华专利技术】防止任务调度恶意软件的执行
概括地说,本专利技术涉及计算机安全和恶意软件保护,具体地说,涉及防止执行任务调度恶意软件。
技术介绍
在计算机和其他电子设备上的恶意软件感染非常具有侵入性并且难以检测和修理。反恶意软件解决方案可能要求匹配恶意代码或者文件的签名与评估的软件以确定软件对于计算系统是有害的。恶意软件可以通过使用多态可执行文件伪装自己,其中恶意改变自身以避免被反恶意软件解决方案检测。在这样的情况下,反恶意软件解决方案在零日攻击(zero-dayattack)中可能不能够检测新的或者变形的恶意软件。恶意软件可以包括,但不限于间谍软件、隐匿工具、密码窃取器、垃圾邮件、钓鱼攻击源、拒绝服务攻击源、病毒、登录器、木马、广告软件、或者产生不想要的活动的任何其他的数字内容。
技术实现思路
在一个实施例中,一种用于防止恶意软件攻击的方法包括以下步骤:检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用。在另一个实施例中,一种制品包括计算机可读介质和在计算机可读介质上承载的计算机可执行指令。指令可由处理器读取。当读取并且执行指令时,促使处理器检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态、以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序。在另一个实施例中,一种用于防止恶意软件攻击的系统包括:耦合到存储器的处理器和由处理器执行的反恶意软件模块。反恶意软件模块驻留在存储器内,并且通信地耦合到在电子设备上的任务调度器。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序。反恶意软件模块被配置用来检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态、以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。附图说明为了对本专利技术和它的特征和优势的更完全理解,现在结合附图参考以下描述,其中:图1是用于防止执行任务调度恶意软件的示例系统的图示;图2是被配置用来在特定的时间或者间隔执行工作的任务调度器设定的图示;图3是通过访问任务调度器操作的恶意软件的示例操作的图示;图4是用于防止恶意尝试访问任务调度器的系统的示例操作的图示;图5是用于防止恶意尝试访问任务调度器的系统的示例操作的进一步的图示;以及图6是用于防止执行任务调度恶意软件的方法的示例实施例。具体实施方式图1是用于防止执行任务调度恶意软件的示例系统100的图示。这样的恶意软件可以由任务调度器116在系统100上发起,或者作为被调度的用于由任务调度器116执行的结果。系统100可以包括电子设备102、反恶意软件模块114、名誉服务器104、网页名誉服务器106、目的地服务器110、和用户111。反恶意软件模块114可以被配置用来基于任务调度监测或者扫描电子设备102以寻找恶意软件。反恶意软件模块114可以被配置用来在电子设备102上检测尝试访问、修改、或者使用任务调度器116。反恶意软件模块114可以被通信地耦合到以下设备并且配置用来与以下设备通信:反恶意软件签名数据库120、名誉服务器104、和/或网页名誉服务器106,以确定有关于任务调度器116的检测到的行动是否包括恶意感染。反恶意软件模块114可以被配置用来与用户111通信以便例如,提供结果或者确定校正的行动。反恶意软件模块114可以被配置为:响应于检测到尝试访问、修改、或使用任务调度器116,采取一个或多个校正行动。在一个实施例中,可以在电子设备102上执行反恶意软件模块114。可以在可执行文件、脚本、函数库、或者任何其他合适的机制中实现反恶意软件模块114。可以在电子设备102上加载并且执行反恶意软件模块114。反恶意软件模块114可以通过网络108或者任何其他合适的网络或者通信方案,通信地耦合到名誉服务器104和/或网页名誉服务器106。在另一个实施例中,反恶意软件模块114可以在与电子设备102分离的设备上执行。在这样的实施例中,反恶意软件模块114可以通过网络通信地耦合到电子设备102。反恶意软件模块114可以被配置用来在云计算方案中操作,包括驻留在网络108上的软件。在这样的实施例中,反恶意软件模块114可以扫描电子设备104而不在电子设备101上执行。反恶意软件模块114可以通过网络108,通信地耦合到名誉服务器104和/或网页名誉服务器106。名誉服务器104和/或网页名誉服务器106可以包括在网络108上的服务器。反恶意软件模块114可以通信地耦合到系统100的用户111。用户111可以包括人类用户、配置用于管理电子设备102的操作的网络服务器、网络安全设定和偏好、或者任何其他合适的机制。在一个实施例中,反恶意软件模块114可以显示结果给用户111并且接受选择的校正行动。在另一个实施例中,反恶意软件模块114可以被配置用来访问用户111以传送在电子设备102上发现的条件,并且作为结果,确定将要采取的规则或者行动。网络108可以包括任何合适的网络、一系列网络、或者其中的部分,用于在电子设备104、用户111、监控器102、名誉服务器104、网页名誉服务器106、或者目的地服务器110之间通信。这样的网络可以包括但不限于:互联网、内部网、广域网、局域网、回程网络、点对点网络、或者其中任何组合。电子设备102可以包括可配置用来翻译和/或执行程序指令和/或处理数据的任何设备,包括但不限于:计算机、台式机、服务器、膝上计算机、个人数字助理、或者智能电话。电子设备102可以包括通信地耦合到存储器130的处理器128。处理器128可以包括,例如,配置用来翻译和/或执行程序指令和/或处理数据的微处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、或者任何其他数字的或模拟的电路。在一些实施例中,处理器128可以翻译和/或执行存储在存储器130中的程序指令和/或处理存储在存储器130中的数据。存储器130可以被配置为:部分地或者全部地作为应用存储器、系统存储器、或者两者都是。存储器130可以包括被配置用来保持和/或容纳一个或多个存储器模块的任何系统、设备、或者装置。每个存储器模块可以包括被配置用来在一段时间中保持程序指令和/或数据的任何系统、设备、或装置(例如,计算机可读介质)。反恶意软件模块114的指令、逻辑、或数据可以驻留在存储器130中供处理器128执行。电子设备102可以包括任务调度器116,其被配置用来调度执行脚本、应用程序、可执行文件、进程、或者在电子设备102上的其他实体。例如,任务调度器116可以被配置用来在指定的时间调度目的地文件126的加载和执行。任务调度器116可以由例如,脚本、应用程序、可执行文件、进程、批处理文件、或者在电子设备102上的其他实体实现。在一个实施例中,任务调度器116可以被配置为无需用户介入而操作。任务调度器116可以被配置为在电子设备102的引导或者启动时发起。在另一个本文档来自技高网...
防止任务调度恶意软件的执行

【技术保护点】
一种用于防止恶意软件攻击的方法,包括以下步骤:在电子设备上检测访问任务调度器的尝试,所述任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序;确定关联于访问所述任务调度器的尝试的实体;确定所述实体的恶意软件状态;以及基于所述实体的恶意软件状态,允许或者拒绝到所述任务调度器的尝试的访问。

【技术特征摘要】
【国外来华专利技术】2011.12.02 US 13/310,4471.一种用于防止恶意软件攻击的方法,包括以下步骤:通过确定被添加到任务调度器的信息来在电子设备上检测访问所述任务调度器的尝试,所述任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序;基于所述被添加到任务调度器的信息来确定关联于访问所述任务调度器的尝试的实体,包括确定由于将所述信息添加到所述任务调度器而要被访问的网络目的地;通过确定所述网络目的地的恶意软件状态来确定所述实体的恶意软件状态;以及基于所述实体的恶意软件状态,允许或者拒绝到所述任务调度器的尝试的访问。2.如权利要求1所述的方法,其中:确定关联于所述尝试的实体包括确定尝试访问所述任务调度器的进程;以及确定所述实体的恶意软件状态包括确定所述进程的恶意软件状态。3.如权利要求1所述的方法,其中:确定关联于所述尝试的实体包括确定尝试访问所述任务调度器的进程的源;以及确定所述实体的恶意软件状态包括确定所述源的恶意软件状态。4.如权利要求1所述的方法,其中:确定关联于所述尝试的实体包括确定由于访问所述任务调度器的尝试,而将被发起的目的地文件;以及确定所述实体的恶意软件状态包括确定所述目的地文件的恶意软件状态。5.如权利要求1所述的方法,其中:确定关联于所述尝试的实体包括:确定以下各项中的两个或更多个:尝试访问所述任务调度器的进程;尝试访问所述任务调度器的进程的源;由于访问所述任务调度器的尝试,而将被发起的目的地文件;以及由于访问所述任务调度器的尝试,而将被访问的网络目的地;确定在所述进程、所述源、所述目的地文件以及所述网络目的地中的两个或更多项之间的关系;以及确定所述实体的恶意软件状态包括确定所述进程、所述源、所述目的地文件以及所述网络目的地中的两个或更多项的恶意软件状态。6.如权利要求5所述的方法,进一步包括:确定所述进程、所述源、所述目的地文件以及所述网络目的地中的一个或多个项的恶意软件状态不是恶意的;以及拒绝到所述任务调度器的尝试的访问。7.一种用于防止恶意软件攻击的装置,包括:用于通过确定被添加到任务调度器的信息来在电子设备上检测访问所述任务调度器的尝试的模块,所述任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序;用于基于所述被添加到任务调度器的信息来确定关联于访问所述任务调度器的尝试的实体的模块,包括用于确定由于将所述信息添加到所述任务调度器而要被访问的网络目的地的模块;用于通过确定所述网络目的地的恶意软件状态来确定所述实体的恶意软件状态的模块;用于基于所述实体的恶意软件状态,允许或者拒绝到所述任务调度器的尝试的访问的模块。8.如权利要求7所述的装置,其中:用于确定关联于所述尝试的实体的模块包括用于确定尝试访问所述任务调度器的进程的模块;以及用于确定所述实体的恶意软件状态的模块包括用于确定所述进程的恶意软件状态的模块。9.如权利要求7所述的装置,其中:用于确定关联于所述尝试的实体的模块包括用于确定尝试访问所述任务调度器的进程的源的模块;以及用于确定所述实体的恶意软件状态的模块包括用于确定...

【专利技术属性】
技术研发人员:A·拉马巴塔H·V·拉马切蒂N·D·基肖尔
申请(专利权)人:迈克菲公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1