【技术实现步骤摘要】
实时无签名恶意软件检测相关申请本申请根据35U.S.C.§119要求于2018年7月9日提交的印度专利申请号201841025522的优先权,其内容通过整体引用并入本文。
本公开的实施例涉及恶意软件检测,并且更具体地涉及实时无签名恶意软件检测。
技术介绍
恶意软件(即,恶意的软件)可以指被用来破坏计算机、网络设备或移动设备的操作的任何软件。这可以包括收集敏感信息、获得对私有计算机系统的访问、加密文件和/或显示不想要的广告。恶意软件可以包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、勒索软件、键盘记录器、网络钓鱼等。
技术实现思路
根据一些可能的实施方式,设备可以包括一个或多个存储器和一个或多个处理器,用以:生成第一可执行进程的一个或多个版本,其中第一可执行进程与一个或多个经确定性地定义的参数相关联,其中第一可执行进程的一个或多个版本与设备的一个或多个对应的第二可执行进程共享一个或多个公共特性,并且其中第一可执行进程的一个或多个版本是被设计为类似于一个或多个对应的第二可执行进程的一个或多个可执行进程,并且一个或多个对应的第二可执行进程是被设计为在设备上执行一个或多个功能的一个或多个合法可执行进程。一个或多个处理器可以运行第一可执行进程的一个或多个版本,以及可以在运行第一可执行进程的一个或多个版本时,监视设备的一个或多个设备参数或第一可执行进程。一个或多个处理器可以基于监视设备的一个或多个设备参数或第一可执行进程,确定一个或多个经确定性地定义的参数中的参数相对于针对参数的预期值的变化, ...
【技术保护点】
1.一种设备,包括:/n一个或多个存储器;以及/n一个或多个处理器,用以:/n生成第一可执行进程的一个或多个版本,/n其中所述第一可执行进程与一个或多个经确定性地定义的参数相关联,/n其中所述第一可执行进程的所述一个或多个版本与所述设备的一个或多个对应的第二可执行进程共享一个或多个公共特性,并且/n其中所述第一可执行进程的所述一个或多个版本是被设计为类似于所述一个或多个对应的第二可执行进程的一个或多个可执行进程,并且所述一个或多个对应的第二可执行进程是被设计为在所述设备上执行一个或多个功能的一个或多个合法可执行进程;/n运行所述第一可执行进程的所述一个或多个版本;/n在运行所述第一可执行进程的所述一个或多个版本时,监视所述设备的一个或多个设备参数或所述第一可执行进程;/n基于监视所述设备的所述一个或多个设备参数或所述第一可执行进程,确定所述一个或多个经确定性地定义的参数中的参数相对于针对所述参数的预期值的变化;以及/n基于确定所述参数的所述变化,提供指示与所述设备相关的恶意软件的存在的信息。/n
【技术特征摘要】
20180709 IN 201841025522;20180830 US 16/117,8151.一种设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
生成第一可执行进程的一个或多个版本,
其中所述第一可执行进程与一个或多个经确定性地定义的参数相关联,
其中所述第一可执行进程的所述一个或多个版本与所述设备的一个或多个对应的第二可执行进程共享一个或多个公共特性,并且
其中所述第一可执行进程的所述一个或多个版本是被设计为类似于所述一个或多个对应的第二可执行进程的一个或多个可执行进程,并且所述一个或多个对应的第二可执行进程是被设计为在所述设备上执行一个或多个功能的一个或多个合法可执行进程;
运行所述第一可执行进程的所述一个或多个版本;
在运行所述第一可执行进程的所述一个或多个版本时,监视所述设备的一个或多个设备参数或所述第一可执行进程;
基于监视所述设备的所述一个或多个设备参数或所述第一可执行进程,确定所述一个或多个经确定性地定义的参数中的参数相对于针对所述参数的预期值的变化;以及
基于确定所述参数的所述变化,提供指示与所述设备相关的恶意软件的存在的信息。
2.根据权利要求1所述的设备,其中所述一个或多个处理器还用以:
基于确定所述参数的所述变化,检测所述恶意软件的存在;
在检测到所述恶意软件的所述存在之后,确定用于移除所述恶意软件的补救技术;以及
使用所述补救技术自动移除所述恶意软件。
3.根据权利要求1所述的设备,其中所述第一可执行进程包括源代码。
4.根据权利要求1所述的设备,其中所述设备是端点设备或沙盒设备。
5.根据权利要求1所述的设备,其中所述一个或多个经确定性地定义的参数包括与针对所述第一可执行进程的经定义的行为相关联的存储器映射。
6.根据权利要求1所述的设备,其中所述第一可执行进程驻留在所述设备的所述一个或多个存储器中,并且在执行期间维持静态存储器映射。
7.根据权利要求1所述的设备,其中所述一个或多个公共特性包括以下中的至少一个:
公共文件名,
公共库链接,
公共模块链接,
公共动态链接库链接,或者
公共依赖性链接。
8.根据权利要求1所述的设备,其中所述一个或多个处理器还用以:
与执行所述第一可执行进程的所述一个或多个版本相关地执行所述一个或多个对应的第二可执行进程。
9.根据权利要求8所述的设备,其中当执行所述一个或多个对应的第二可执行进程时,所述一个或多个处理器用以:
以暂停模式执行所述一个或多个对应的第二可执行进程中的第二可执行进程;
将与对应于所述第二可执行进程的所述第一可执行进程的所述一个或多个版本中的版本相关联的可执行进程代码注入到所述第二可执行进程中;以及
基于注入所述可执行进程代码,从所述第二可执行进程执行所述第一可执行进程的所述一个或多个版本中的所述版本。
10.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由端点设备的一个或多个处理器执行时使所述一个或多个处理器:
生成第一可执行进程,
其中所述第一可执行进程与经确定性地定义的存储器映射相关联;
在所述端点设备中执行所述第一可执行进程,
其中所述第一可执行进程与所述端点设备的第二可执行进程共享一个或多个公共特性,并且
其中所述第一可执行进程是被设计为类似于所述第二可执行进程的可执行进程,并且所述第二可执行进程是被设计为在所述端点设备上执行功能的合法可执行进程;
在所述第一可执行进程的执行期间,监视所述端点设备的存储器映射或者所述第一可执行进程;
基于监视所述存储器映射,确定所述存储器映射相对于所述经确定性地定义的存储器映射的变化;
基于确定所述存...
【专利技术属性】
技术研发人员:A·W·萨尔达尼亚,A·莫汉塔,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。