在示例实施例中提供了用于抑制恶意调用的系统和方法。所述系统可以被配置成用于:接收函数调用;确定发起所述函数调用的存储器页面的位置;判定所述存储器页面是否与可信模块相关联;并且如果所述存储器页面不与所述可信模块相关联则阻止所述函数调用。此外,所述系统可以为所述函数调用确定返回地址,并且如果所述返回地址不属于所述可信模块则阻止所述函数调用。此外,所述系统可以为所述函数调用确定参数,判定所述参数是否是由调用所述函数的进程使用的已知参数,并且如果所述参数不是由调用所述函数的所述进程使用的所述已知参数则阻止所述函数调用。
【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及信息安全领域,并且更具体地涉及抑制恶意调用。
技术介绍
网络安全领域在当今社会中已经变得越来越重要。互联网已经使得全世界不同计算机时间能够互连。具体地,互联网提供了用于在经由各种类型的客户端设备连接至不同的计算机网络的不同用户之间交换数据的介质。虽然互联网的使用已经改变了商务和个人通信,它还已被用作工具以由恶意操作者获取对计算机和计算机网络的未授权访问以及用于有意或无意地公开敏感信息。使主机感染的恶意软件(“malware“)可能能够执行任何数量的恶意行为,如从与主机相关联的商务或个人窃取敏感信息、传播至其他主机、和/或协助分布式拒绝服务攻击、从主机发出垃圾邮件或恶意邮件等。因此,对于保护计算机和计算机网络免受恶意软件的恶意或无意利用,存在着显著的管理性挑战。附图说明为了提供对本公开及其特征和优点的更加完整地理解,结合附图参考以下说明书,其中相同的参考标号表示相同的部件,其中:图1是根据本公开的实施例的一种用于抑制恶意调用的通信系统的简化框图。图2是简化流程图,展示了根据实施例的可能与通信系统相关联的可能操作;图3是简化流程图,展示了根据实施例的可能与通信系统相关联的可能操作;图4是简化流程图,展示了根据实施例的可能与通信系统相关联的可能操作;图5是简化流程图,展示了根据实施例的可能与通信系统相关联的可能操作;图6是简化流程图,展示了根据实施例的可能与通信系统相关联的可能操作;图7是框图,展示了根据实施例的采用点对点配置安排的示例性计算系统;以及图8是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及图9是框图,展示了根据实施例的示例性处理器核。具体实施方式示例实施例图1是一种用于抑制恶意调用的通信系统100的简化框图。通信系统100可以包括电子设备110、网络112和安全服务器132。电子设备110可以包括安全程序122和操作系统136。安全程序122可以包括一个或多个安全模块124a-c、参数126、动态链接库128、程序函数130、以及安全程序接口模块138。每一个安全模块124a-c都可以是已知的或可信的安全模块,并且可以包括存储器页面132a-c。操作系统可以包括操作系统栈118和操作系统函数120。安全程序接口模块138可以包括调度路由140。恶意设备114可以包括恶意代码116。恶意代码116可以是恶意软件。电子设备110、恶意设备114以及安全服务器132可以通过网络112连接。在一个示例中,恶意设备114可以直接与电子设备110连接(例如,通过通用串行总线(USB)类型连接)。图1的元件可以采用任何适当连接(有线或无线)通过一个或多个接口彼此耦合,这为网络通信提供了可行的通路。另外,可以基于具体配置需求将图1的这些元件中的任何一个或多个与架构结合或从中移除。通信系统100可以包括能够进行传输控制协议/互联网协议(TCP/IP)通信以便在网络中传输或接收报文的配置。通信系统100还可以在适当情况下并基于具体需要结合用户数据报协议/IP(UDP/IP)或任何其他适当协议运行。在示例实施例中,通信系统100可以被配置成用于在电子设备110内帮助检测和防止恶意调用(例如,恶意异步过程调用(APC))。电子设备110可以被配置成用于当受到如利用发生法来反击安全产品的内核模式Rootkit(例如,ZeroAccess或Max++)的威胁的攻击时继续正常运行(不间断的)。在一个示例中,安全程序接口模块138可以被配置成用于检查KiUserApcDispatcher调用和ExitProcess调用。通过明确地寻找调用相关事件,安全程序接口模块138可以帮助抑制内核模式Rootkit和其他相似攻击,并且允许执行目标进程以代替终止进程。这允许更好的保护安全产品免受攻击、保护检测新攻击的能力、保护获得对未知威胁的更好的可见性的能力、以及保护清除现有威胁而不需要基于外部CDROM引导的能力。出于展示通信系统100的某些示例技术的目的,重要的是理解可以贯穿网络环境的通信。以下基础信息可以被视为可以从其中正确解释本公开的基础。对互联网的增加访问已具有增加下述软件程序的触及的非预期效果:在没有用户知会同意的情况下捕捉其私人信息的软件程序,或者在没有用户的了解和知会同意的情况下使计算机恶化的软件程序。如在此所使用的术语“恶意软件”包括任何类型的软件程序,所述软件程序被设计成用于没有所有者的知会同意的情况下混入、修改、改变、恶化、或损坏计算机系统,不管软件程序的动机,并且不管软件程序对所有者的设备、系统、网络或数据造成的结果。一种类型的恶意软件包括内核模式Rootkit的快速进化族,所述快速进化族经常感染随机系统驱动器,使用其自身的被感染的驱动器来重写其代码、并且劫持存储驱动器链来隐藏其在磁盘上的存在。在具体的示例中,在被感染的计算机上,新驱动器建立通常被称为Devicesvchost.exe(或某个其他名称)的设备,并且存储路径为Devicesvchost.exesvchost.exe的被称为svchost.exe(或某个其他名称)的伪造便携可执行(PE)文件。然后驱动器将自身附加到磁盘设备栈上并且创建被称为svchost.exe的指向以下路径的新系统进程:\\GlobalrootDevicesvchost.exesvchost.exe。此伪造进程充当一种陷阱,具体地,寻找由安全软件执行的文件操作的类型。当典型的安全扫描器试图分析Rootkit创建的svchost.exe文件时,所述Rootkit将初始化APC排列成扫描器自身的进程,然后调用ExitProcess()函数并且促使安全扫描器终止或停止如扫描的进程。同样,恶意软件可以调度恶意APC调用来执行来自反病毒或安全进程内的恶意代码。例如,这可以被用来终止安全进程或执行来自安全进程内的恶意动作。恶意软件(如Max++)通过调度将促使安全进程终止其自身的恶意APC调用来利用恶意诱饵进程技术。每当访问发生在恶意诱饵进程或发生在恶意驱动器的设备目标时,Rootkit通过调度恶意APC调用进行反击。通过这种方式,恶意代码不需要通过名称或使用具体的有针对性的攻击来攻击安全产品。他将启发式地对抗所有那些攻击。因此,Max++Rootkit以及相似类型的恶意软件能够使包括Rootkit扫描器工具和安全产品的安全产品禁用。在属于如安全可执行进程或服务的特殊进程的线程上下文中执行用户模式APC调用。当进程的线程为某个等待状态时,操作系统检查是否调度了APC。使用APC,恶意软件可以劫持线程的执行来执行在APC例程的指定地址处的新代码。恶意软件代码在目标进程中创建新页面,并且将APC调度到新页面中。操作系统将劫持进程的处于正确状态中的线程,并且调用由APC例程指定的地址。恶意软件的APC例程寻找函数ExitProcess()并且执行所述函数。因此,产品在系统的任何保护可以发生之前终止,并且将不会发生扫描或检测。存在由恶意软件使用来攻击反病毒或安全进程的各种其他攻击技术。这些技术直接以通过名称(例如,mcafee.exe,avp.exe)攻击安全进程为中心,并且经常涉及通过“打开”进程来获得访问。存在一些自我保护措施,这本文档来自技高网...
【技术保护点】
至少一种计算机可读介质,包括一条或多条指令,所述指令当由至少一个处理器执行时:接收对函数的函数调用;为所述函数调用确定返回地址;以及如果所述返回地址不属于可信模块则阻止所述函数调用。
【技术特征摘要】
【国外来华专利技术】2014.06.27 US 14/318,2421.至少一种计算机可读介质,包括一条或多条指令,所述指令当由至少一个处理器执行时:接收对函数的函数调用;为所述函数调用确定返回地址;以及如果所述返回地址不属于可信模块则阻止所述函数调用。2.如权利要求1所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述指令当由所述至少一个处理器执行时:如果所述返回地址属于所述可信模块,则允许所述函数调用。3.如权利要求1和2中任一项所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述指令当由所述至少一个处理器执行时:确定发起所述函数调用的存储器页面的位置;判定所述存储器页面是否与多个可信模块中的一个可信模块相关联;以及如果所述存储器页面不与所述多个可信模块中的一个可信模块相关联,则阻止所述函数调用。4.如权利要求3所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述指令当由所述至少一个处理器执行时:如果所述存储器页面与所述多个可信模块中的一个可信模块相关联,则允许所述函数调用。5.如权利要求1-4中任一项所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述指令当由所述至少一个处理器执行时:为所述函数调用确定参数;判定所述参数是否是由调用所述函数的进程使用的已知参数;以及如果所述参数不是由调用所述函数的所述进程使用的所述已知参数,则阻止所述函数调用。6.如权利要求5所述的至少一种计算机可读介质,进一步包括一条或多条指令,所述指令当由所述至少一个处理器执行时:如果所述参数是由调用所述函数的所述进程使用的所述已知参数,则允许所述函数调用。7.如权利要求1-6中任一项所述的至少一种计算机可读介质,其中,所述函数由安全程序调用。8.如权利要求1-7中任一项所述的至少一种计算机可读介质,其中,所述可信模块是所述安全程序的一部分。9.一种装置,包括:安全程序接口模块,所述安全程序接口模块被配置成用于:接收对函数的函数调用;确定发起所述函数调用的存储器页面的位置;判定所述存储器页面是否与可信模块相关联;以及如果所述存储器页面不与所述可信模块相关联,则阻止所述函数调用。10.如权利要求9所述的装置,其中,如果所述存储器页面与所述可信模块相关联,则允许所述函数调用。11.如权利要求9和10中任一项...
【专利技术属性】
技术研发人员:P·瑟尔,R·马图尔,
申请(专利权)人:迈克菲股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。