一种用于保护电子设备的技术,其可以包括:判定多个规则,监控电子设备的执行,基于所述规则来生成通知:已经发生所述操作中的一个,以及基于所述通知和操作模式,判定所述操作是否指示恶意软件。所述规则可以包括对被监控的电子设备的多个实体的识别、对被监控的实体之间的一个或多个操作的识别,以及对被监控的操作模式的识别。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的实施例概括而言涉及计算机安全和恶意软件保护,并且更具体地,涉及剖析(profiling)代码执行。
技术介绍
计算机和其它电子设备上的恶意软件感染是非常具有侵犯性并且难以检测和修复的。反恶意软件方案可能要求恶意代码或文件的签名与评估的软件相匹配,以判定该软件对于计算系统是有害的。恶意软件可以通过使用在其中恶意软件改变自身以避免被反恶意软件方案检测到的多态程序或可执行文件来伪装自己。在这种情况下,反恶意软件方案可能在零日攻击中没能检测到新的或变形的恶意软件。恶意软件可以包括但不限于,间谍软件、木马(rootkit)、密码盗窃程序、垃圾邮件、钓鱼攻击源、拒绝服务攻击源、病毒、记录器、广告软件、或产生不期望的活动的任意其它数字内容。附图说明为了更全面地理解本专利技术的实施例及其特征和优点,现在结合附图参考以下说明,在附图中:图1是用于剖析代码执行的系统100的示例性实施例的图示;图2是恶意软件访问规则的示例性实施例的图示;图3是用于判定用于剖析代码执行的规则或恶意软件访问规则逻辑的方法的示例性实施例的图示;以及图4是用于剖析代码执行的方法的示例性实施例的图示。具体实施方式图1是用于剖析代码执行的系统100的示例性实施例的图示。系统100可以被配置为当电子设备上的代码被动态地加载并执行时剖析代码的执行。通过剖析代码的执行,系统100可以监控表明为恶意软件的执行模式的执行。在一个实施例中,系统100可以执行这种监控,而无需使用操作系统或应用挂接。在另一实施例中,系统100可以通过使用在处理器上加载的异常来执行这种监控。在又一个实施例中,系统100可以通过记录和评估不同地址空间之间的转变而执行对代码执行的剖析。系统100可以包括反恶意软件模块110,其被配置为评估电子设备102是否被恶意软件感染。反恶意软件模块110可以驻留在电子设备102上或在与电子设备102通信地耦合的电子设备上。反恶意软件模块110可以与电子设备102的处理器106以及与恶意软件访问规则逻辑108通信地耦合。反恶意软件模块110可以被配置为访问恶意软件规则逻辑108,以判定监控电子设备的存储器104的哪些部分。此外,反恶意软件模块110可以被配置为访问恶意软件规则逻辑108,以判定监控从存储器的给定部分到另一部分的什么转变。反恶意软件模块110可以被配置为通过例如将处理器106配置为当在第一定义地址空间(或范围)到第二定义地址空间(或范围)之间发生转变时生成异常,从而将这种规则定义到处理器106。处理器106可以被配置为将结果异常发送到反恶意软件模块110。反恶意软件模块110可以被配置为访问恶意软件访问规则逻辑108,以判定处理器106所检测到的转变以及先前判定出的转变是否满足序列、状态图模型或与恶意软件相关联的其它规则。恶意软件访问规则逻辑108可以驻留在电子设备102上,或者驻留在由反恶意软件模块110可访问的任意其它电子设备上。在一个实施例中,恶意软件访问规则逻辑108可以驻留在与反恶意软件模块110通信耦合的网络上的反恶意软件服务器上。在另一个实施例中,恶意软件访问规则逻辑108可以加载到存储器104、处理器106或反恶意软件模块110上。可以以任意适当的方式来实现恶意软件访问规则逻辑108,所述任意适当的方式例如利用服务器、代理、应用、模块、脚本、库、函数、逻辑、数据库、文件、表格或其它数据结构或实体。恶意软件访问规则逻辑108可以包括定义要监控的存储器104的区域、要监控的转变、要监控的I/O端口、用于读取或写入的存储器区域或表明是恶意软件的转变序列的任意适当的信息。恶意软件访问规则逻辑108可以包括:积极规则,通过所述积极规则将监控的操作或序列认为是安全的;消极规则,通过所述消极规则将监控的操作或序列认为是恶意的。此外,恶意软件可以操纵合法软件中的执行的预期顺序,使得个体操作不是恶意的并且实际上与合法软件相关,但是以这种操作是恶意的顺序的序列进行。这种恶意软件可以包括例如返回导向编程(ROP)。通过使用组合规则中的积极规则,可以消除一个或多个对恶意软件的“误报”识别。电子设备102可以以任意适当方式实现。例如,电子设备102可以包括移动设备、计算机、服务器、膝上计算机、台式计算机、板或刀片。反恶意软件模块110可以以任意适当方式实现。例如,反恶意软件模块110可以包括指令、逻辑、函数、库、共享库、应用、脚本、程序、可执行文件、对象、模拟电路、数字电路或其任意适当组合。处理器106可以包括例如微型处理器、微型控制器、数字信号处理器(DSP)、专用集成电路(ASIC),或被配置为解释和/或执行程序指令和/或处理数据的任意其它数字或模拟电路。在一些实施例中,处理器106可以解释和/或执行程序指令和/或处理存储于存储器104中的数据。存储器104可以被配置为部分或整体作为应用存储器、系统存储器或两者。存储器104可以包括被配置为保存和/或容纳一个或多个存储器模块的任意系统、设备或装置。每个存储器模块可以包括被配置为将程序指令和/或数据保留一段时间的任意系统、设备或装置(例如,计算机可读存储介质)。用于配置系统100的操作的指令、逻辑或数据(例如,如电子设备102或反恶意软件模块110的部件的配置)可以驻留在存储器104中以被处理器106执行。处理器106可以执行待由处理器的一个或多个核心执行的一个或多个代码指令。处理器核心可以遵从由代码指令所指示的指令的程序序列。每个代码指令可以由处理器的一个或多个解码器处理。解码器可以生成微操作(例如,预定格式的固定宽度的微操作)作为其输出,或者可以生成其他指令、微指令、或反应原始代码指令的控制信号。处理器106还可以包括寄存器重命名逻辑和调度逻辑,其通常分配资源并且将与转换指令相对应的操作进行入队以用于执行。在完成执行由代码指令指定的操作之后,处理器106内的后端逻辑可以收回(retire)指令。在一个实施例中,处理器106可以允许乱序执行,但是需要有序回收指令。处理器106中的回收逻辑可以采用本领域的技术人员所公知的多种形式(例如,重排序缓冲区等)。因此在执行代码期间至少根据解码器所生成的输出、硬件寄存器和寄存器重命名逻辑所使用的表格以及执行逻辑所修改的任意寄存器来变换处理器106的处理器核心。反恶意软件模块110可以被配置为本文档来自技高网...
【技术保护点】
一种用于保护电子设备的系统,包括:恶意软件访问规则逻辑的集合,包括:对被监控的所述电子设备的多个实体的识别;对在被监控的所述实体之间的一个或多个操作的识别;以及对被监控的操作模式的识别;以及处理器,其被配置为基于所述恶意软件访问规则逻辑的集合,生成通知:已经发生所述操作中的一个;反恶意软件模块,其被配置为基于所述通知和所述操作模式,来判定所述操作是否指示恶意软件。
【技术特征摘要】
【国外来华专利技术】2013.03.13 US 13/801,6501.一种用于保护电子设备的系统,包括:
恶意软件访问规则逻辑的集合,包括:
对被监控的所述电子设备的多个实体的识别;
对在被监控的所述实体之间的一个或多个操作的识别;以及
对被监控的操作模式的识别;以及
处理器,其被配置为基于所述恶意软件访问规则逻辑的集合,生成通
知:已经发生所述操作中的一个;
反恶意软件模块,其被配置为基于所述通知和所述操作模式,来判定
所述操作是否指示恶意软件。
2.根据权利要求1所述的系统,其中,被监控的所述操作包括在所述
实体之间的执行分支。
3.根据权利要求1所述的系统,其中,被监控的所述操作包括在所述
实体之间的执行分支的方向。
4.根据权利要求1所述的系统,其中,被监控的所述操作包括指定距
离的执行分支。
5.根据权利要求1所述的系统,其中,所述反恶意软件模块还被配置
为,基于所述通知和所述操作模式来识别恶意软件访问规则逻辑的额外元
素,所述恶意软件访问规则逻辑包括识别额外的实体、在实体之间的操作
或被监控的操作模式。
6.根据权利要求1所述的系统,其中,所述通知包括异常。
7.根据权利要求1所述的系统,其中,所述模式包括已经执行所述操
作的次数的枚举。
8.根据权利要求1所述的系统,其中,所述反恶意软件模块还被配置
为基于所述通知和所述操作模式来执行所述操作的原因的签名检查。
9.根据权利要求1所述的系统,其中,被监控的所述操作包括指令指
针改变。
10.根据权利要求1所述的系统,其中,被监控的所述操作包括指令
取回。
11.根据权利要求1所述的系统,其中,被监控的所述操作包括在指
令中测量的执行的持续时间。
12.一种用于保护电子设备的方法,包括:
基于恶意软件访问规则逻辑的集合来监控所述电子设备的执行,所...
【专利技术属性】
技术研发人员:I·穆蒂科,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。