恶意对象的执行剖析检测制造技术

在示例中，提供了用于恶意软件对象的执行剖析检测的系统和方法。执行剖析（EXP）引擎可以结合二进制文件翻译引擎（BTE）来提供。二者可以操作在可信执行环境（TEE）内。由于许多恶意软件对象做出关于主机应用的存储器使用的假设，因此当那些假设证明不正确时它们可能导致异常。EXP引擎可以在BTE执行其翻译功能时经由BTE前摄地检测这样的异常。因此，在二进制文件在系统上运行之前可以检测恶意行为，并且可以提供补救措施。

【技术实现步骤摘要】
【国外来华专利技术】恶意对象的执行剖析检测对相关申请的交叉引用本申请要求享有2014年12月23日提交的题为“EXECUTIONPROFILINGDETECTIONOFMALICIOUSOBJECTS”的美国非临时专利申请号14/582,163的益处和优先权，该美国非临时专利申请以其整体通过引用并入本文。
本申请涉及计算机安全领域，并且更特别地涉及用于恶意对象的执行剖析检测的系统和方法。
技术介绍
恶意和其它不想要的对象可以包括自身包含可执行代码的可执行对象和意图由父代过程加载并且然后感染父代过程的恶意静态对象二者。在一个示例中，恶意对象利用在软件包的特定版本中发现的安全漏洞，例如，特定版本可能包括准许堆栈破坏利用的漏洞，其中恶意对象利用恶意软件例程的地址盖写子例程调用的返回地址。当子例程从其堆栈弹出返回地址并且发布“返回”指令时，控制被传递到恶意软件例程。这样的利用依赖于可能仅在包的非常特定的版本中发现的漏洞，并且必须假设准确的版本号（或者至少具有准确漏洞的版本）。如果恶意软件对象尝试结合其中对漏洞已经打补丁的版本来执行，可能发生软件异常。恶意软件通常利用未归档的内部结构来利用软件中的易损性。作为结果本文档来自技高网...

【技术保护点】
一种计算装置，包括：包括过程的存储器；以及包括执行剖析引擎的一个或多个逻辑元件，所述执行剖析引擎可操作用于：审查所述过程的至少部分；确定所述过程的所述至少部分产生异常条件；以及将所述过程指定为潜在恶意的。

【技术特征摘要】
【国外来华专利技术】2014.12.23 US 14/5821631.一种计算装置，包括：包括过程的存储器；以及包括执行剖析引擎的一个或多个逻辑元件，所述执行剖析引擎可操作用于：审查所述过程的至少部分；确定所述过程的所述至少部分产生异常条件；以及将所述过程指定为潜在恶意的。2.权利要求1所述的计算装置，其中执行剖析引擎至少部分地提供在可信执行环境中。3.权利要求1所述的计算装置，其中执行剖析引擎还可操作用于使所述过程经受附加的安全分析以标识恶意行为。4.权利要求3所述的计算装置，其中使所述过程经受附加的安全分析包括使所述过程经受计算机化的深入审查。5.权利要求3所述的计算装置，其中使所述过程经受附加的安全分析包括指定所述过程以供人类安全分析员分析。6.权利要求1-5中任一项所述的计算装置，其中执行剖析引擎至少实现在硬件中。7.权利要求1-5中任一项所述的计算装置，还包括二进制文件翻译引擎，其可操作用于将所述过程从第一形式翻译成第二形式。8.权利要求7所述的计算装置，其中第二形式排除存储器的直接操纵。9.权利要求7所述的计算装置，其中二进制文件翻译引擎至少部分地提供在可信执行环境中。10.权利要求7所述的计算装置，其中二进制文件翻译引擎可操作用于将所述过程翻译成可仪表化形式。11.权利要求7所述的计算装置，其中执行剖析引擎和二进制文件翻译引擎中的至少一个至少部分虚拟化。12.权利要求1-5中任一项所述的计算装置，其中执行剖析引擎还可操作用于对照恶意软件经常使用的地址列表和地址范围来检查转移目标地址。13.权利要求1-5中任一项所述的计算装置，其中执行剖析引擎还可操作用于核实所述过程被合法软件模块所拥有。14.具有存储在其上的指令的一个或多个计算机...

【专利技术属性】
技术研发人员：GW达尔歇尔，山田康一，PR尚穆加夫拉于塔姆，JP辛赫，
申请(专利权)人：迈克菲有限责任公司，
类型：发明
国别省市：美国,US