在示例中,提供了用于恶意软件对象的执行剖析检测的系统和方法。执行剖析(EXP)引擎可以结合二进制文件翻译引擎(BTE)来提供。二者可以操作在可信执行环境(TEE)内。由于许多恶意软件对象做出关于主机应用的存储器使用的假设,因此当那些假设证明不正确时它们可能导致异常。EXP引擎可以在BTE执行其翻译功能时经由BTE前摄地检测这样的异常。因此,在二进制文件在系统上运行之前可以检测恶意行为,并且可以提供补救措施。
【技术实现步骤摘要】
【国外来华专利技术】恶意对象的执行剖析检测对相关申请的交叉引用本申请要求享有2014年12月23日提交的题为“EXECUTIONPROFILINGDETECTIONOFMALICIOUSOBJECTS”的美国非临时专利申请号14/582,163的益处和优先权,该美国非临时专利申请以其整体通过引用并入本文。
本申请涉及计算机安全领域,并且更特别地涉及用于恶意对象的执行剖析检测的系统和方法。
技术介绍
恶意和其它不想要的对象可以包括自身包含可执行代码的可执行对象和意图由父代过程加载并且然后感染父代过程的恶意静态对象二者。在一个示例中,恶意对象利用在软件包的特定版本中发现的安全漏洞,例如,特定版本可能包括准许堆栈破坏利用的漏洞,其中恶意对象利用恶意软件例程的地址盖写子例程调用的返回地址。当子例程从其堆栈弹出返回地址并且发布“返回”指令时,控制被传递到恶意软件例程。这样的利用依赖于可能仅在包的非常特定的版本中发现的漏洞,并且必须假设准确的版本号(或者至少具有准确漏洞的版本)。如果恶意软件对象尝试结合其中对漏洞已经打补丁的版本来执行,可能发生软件异常。恶意软件通常利用未归档的内部结构来利用软件中的易损性。作为结果,恶意软件还可能由于关于数据结构的内部布局的错误假设而触发异常。异常可能简单地导致程序崩溃,在该情况下用户可能简单地认为文件被破坏,并且从未检测对象的恶意意图。附图说明当与随附各图一起阅读时,本公开从以下详细描述最好地理解。要强调的是,依照工业界中的标准实践,各种特征并未按比例绘制并且仅用于图示目的。事实上,各种特征的尺寸可以为了讨论的清楚性而任意地增大或减小。图1是根据本说明书的一个或多个示例的使能安全性的网络的框图。图2是根据本说明书的一个或多个示例的计算设备的框图。图3是根据本说明书的一个或多个示例的服务器的框图。图4是根据本说明书的一个或多个示例的执行剖析引擎的功能框图。图5是根据本说明书的一个或多个示例的方法的流程图。具体实施方式概述在示例中,提供了用于恶意软件对象的执行剖析检测的系统和方法。执行剖析(EXP)引擎可以结合二进制文件翻译引擎(BTE)来提供。二者可以在可信执行环境(TEE)内操作。由于许多恶意软件对象做出关于主机应用的存储器使用的假设,因此当那些假设证明不正确时它们可能导致异常。EXP引擎可以在BTE执行其翻译功能时经由BTE前摄地检测这样的异常。因此,在二进制文件在系统上运行之前可以检测恶意行为,并且可以提供补救措施。本公开的示例实施例以下公开内容提供许多不同的实施例或示例,以用于实现本公开的不同特征。以下描述组件和布置的具体示例以简化本公开。这些当然仅仅是示例并且不意图是限制性的。另外,本公开可以在各种示例中重复参考标号和/或字母。该重复是出于简化和清楚的目的并且自身不规定所讨论的各种实施例和/或配置之间的关系。不同实施例可以具有不同的优点,并且没有特定优点是任何实施例所必然要求的。在一个示例中,本说明书的系统和方法利用基于执行剖析(EXP)和二进制文件翻译(BT)的异常监视来捕获恶意活动和所企图的恶意活动。本说明书的系统和方法因而能够分析候选恶意对象并且以合理的置信度确定其是实际的恶意对象还是善意对象。这是可能的,因为恶意软件通常做出关于存储器布局的假设并且然后企图利用那些假设来启动恶意软件有效载荷。如果那些假设不正确(例如,如果软件版本已经略微改变,使得假设不再有效),可能发生错误,从而当不允许访问时生成异常。在一个示例中,恶意软件对象包括企图基于在先假设而对存储器写入或从存储器读取的“分支”指令,或者企图由经盖写的指针和缓冲器溢出引起“分支”指令。当这些不成功时,除了访问违反异常之外,这些企图还可能生成其它异常,诸如指令无效性。执行剖析引擎可以在过程通过使用BT来执行时收集这些异常。当发现异常时,可以分析对象以得到恶意活动的指示。例如,分析无效分支企图的来源可以示出该分支没有源自合法的方式或位置。基于EXP的异常监视还可以与去到指定地址范围的控制转移的基于EXP的监视组合以得到对于将软件分类为恶意或善意而言有用的附加信息。另外,触发异常的初始访问企图可以使用去到或来自指定地址范围的执行转移的BT-EXP监视来分析。例如,存储器布局的恶意软件对象假设可以在样本之间再用。因此,可以观察以OxOCOCOCnn形式的地址(其中“nn”是最后字节范围)。监视从OxOCOCOCOO到OxOCOCOCOFF的范围可以用于分析去到和来自该范围的执行转移。然后可以针对合法性而分析发起或接收转移的代码。在一个示例中,构建在BT技术上的EXP可以动态地监视程序执行的地址,包括它去到哪里和它来自哪里,并且还可以在执行指令之前检测异常条件。因此,联合BT-EXP引擎可以监视并且可靠地检测恶意软件对象访问某些地址范围的企图,包括不可访问的那些,从而在不允许访问时生成异常。有利地,这在不引入被监视过程中的执行流改变的情况下发生,所述改变在其它监视方法(诸如注册异常处置器)的情况下可能发生。值得注意的是,在执行调度API中使用钩子(hook)以监视异常调度对于捕捉所有异常条件而言并不总是可靠的。另外,在异常是由于控制转移所致的情况(这通常是对于将软件分类为恶意而言感兴趣的情况)下,在该点处进行监视将不提供关于控制转移来自的指令指针(“来自IP”)的信息。使用BT-EXP来组合该分析与控制转移监视提供附加的分类能力。现在将更加特定地参照随附各图来描述执行剖析检测的系统和方法。贯穿各图,共同的标号用于指定跨多个图共同的元件。然而,这不意图暗示本文所公开的不同实施例之间的必然或严格关系。在一些情况下,相同元件的一个或多个不同示例或种类可以以带连字符号的形式指代。因此,例如,标号1xx-1和1xx-2可以指代称为1xx的对象类的两个不同种类或示例。图1是根据本说明书的一个或多个示例的受保护的企业100的网络级图。在图1的示例中,多个用户120操作多个客户端设备110。具体地,用户120-1操作台式计算机110-1。用户120-2操作膝上型计算机110-2。并且用户120-3操作移动设备110-3。每一个计算设备可以包括适当的操作系统,诸如MicrosoftWindows、Linux、Android、MacOSX、AppleiOS、Unix或类似物。前述各项中的一些可能比另一个更常使用在一种类型的设备上。例如,台式计算机110-1,其在一个实施例中可以是工程工作站,可能更可能使用MicrosoftWindows、Linux、Unix或MacOSX中的一个。膝上型计算机110-2,其经常是具有更少定制选项的便携式现成设备,可能更可能运行MicrosoftWindows或MacOSX。移动设备110-3可能更可能运行Android或iOS。然而,这些示例不意图是限制性的。客户端设备110可以经由企业网络170通信耦合到彼此和其它网络资源。企业网络170可以是操作在一个或多个合适的联网协议上的任何合适的网络或一个或多个网络的组合,作为非限制性示例,包括例如局域网、内联网、虚拟网络、广域网、无线网络、蜂窝网络或因特网(可选地经由代理、虚拟机或其它类似的安全机构来访问)。企业网络170还可以包括一个或多个服务器、防火墙、本文档来自技高网...
【技术保护点】
一种计算装置,包括:包括过程的存储器;以及包括执行剖析引擎的一个或多个逻辑元件,所述执行剖析引擎可操作用于:审查所述过程的至少部分;确定所述过程的所述至少部分产生异常条件;以及将所述过程指定为潜在恶意的。
【技术特征摘要】
【国外来华专利技术】2014.12.23 US 14/5821631.一种计算装置,包括:包括过程的存储器;以及包括执行剖析引擎的一个或多个逻辑元件,所述执行剖析引擎可操作用于:审查所述过程的至少部分;确定所述过程的所述至少部分产生异常条件;以及将所述过程指定为潜在恶意的。2.权利要求1所述的计算装置,其中执行剖析引擎至少部分地提供在可信执行环境中。3.权利要求1所述的计算装置,其中执行剖析引擎还可操作用于使所述过程经受附加的安全分析以标识恶意行为。4.权利要求3所述的计算装置,其中使所述过程经受附加的安全分析包括使所述过程经受计算机化的深入审查。5.权利要求3所述的计算装置,其中使所述过程经受附加的安全分析包括指定所述过程以供人类安全分析员分析。6.权利要求1-5中任一项所述的计算装置,其中执行剖析引擎至少实现在硬件中。7.权利要求1-5中任一项所述的计算装置,还包括二进制文件翻译引擎,其可操作用于将所述过程从第一形式翻译成第二形式。8.权利要求7所述的计算装置,其中第二形式排除存储器的直接操纵。9.权利要求7所述的计算装置,其中二进制文件翻译引擎至少部分地提供在可信执行环境中。10.权利要求7所述的计算装置,其中二进制文件翻译引擎可操作用于将所述过程翻译成可仪表化形式。11.权利要求7所述的计算装置,其中执行剖析引擎和二进制文件翻译引擎中的至少一个至少部分虚拟化。12.权利要求1-5中任一项所述的计算装置,其中执行剖析引擎还可操作用于对照恶意软件经常使用的地址列表和地址范围来检查转移目标地址。13.权利要求1-5中任一项所述的计算装置,其中执行剖析引擎还可操作用于核实所述过程被合法软件模块所拥有。14.具有存储在其上的指令的一个或多个计算机...
【专利技术属性】
技术研发人员:GW达尔歇尔,山田康一,PR尚穆加夫拉于塔姆,JP辛赫,
申请(专利权)人:迈克菲有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。