用于恶意软件检测的存储器跟踪制造技术

设备可以将被测进程加载到与设备相关联的虚拟存储器中。虚拟存储器可以包括多个存储器页面。设备可以将恶意软件检查元件和存储器跟踪元件插入到被测进程中，并且可以向存储器跟踪元件提供与被测进程相关联的事件的通知。设备可以使用存储器跟踪元件标识多个存储器页面中的一个或多个存储器页面。一个或多个存储器页面可以被指派给被测进程并由被测进程使用。设备可以基于标识的一个或多个存储器页面来生成与被测进程相关联的存储器映射，该存储器映射可以包括将一个或多个存储器页面标识为被指派给被测进程并由被测进程使用的信息。

Memory tracking for malware detection

【技术实现步骤摘要】
用于恶意软件检测的存储器跟踪相关申请本申请根据35U.S.C.§119对在2018年7月16日提交的印度专利申请No.201841026426要求优先权，该印度专利申请的内容通过整体引用的方式被并入本文。
技术介绍
恶意软件或者恶意的软件可以包括旨在对计算机系统、计算机系统的用户和/或计算机网络恶意地起作用的软件。在一些情况下，恶意软件可以包括病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、和/或类似的。
技术实现思路
根据一些实施方式，设备可以包括一个或多个存储器，以及一个或多个处理器，以将被测进程加载到与设备相关联的虚拟存储器中，其中虚拟存储器包括多个存储器页面。一个或多个处理器可以将恶意软件检查元件和存储器跟踪元件插入到被测进程中。一个或多个处理器可以使用恶意软件检查元件向存储器跟踪元件提供与被测进程相关联的事件的通知。一个或多个处理器可以使用存储器跟踪元件并且基于通知中所包括的信息，标识多个存储器页面中的一个或多个存储器页面，其中一个或多个存储器页面被指派给被测进程，并且由被测进程使用。一个或多个处理器可以使用存储器跟踪元件并且基于标识的一个或多个存储器页面，生成与被测进程相关联的存储器映射，其中存储器映射包括将一个或多个存储器页面标识为被指派给被测进程并且由被测进程所使用的信息，以及其中存储器映射用于确定被测进程是否包括恶意软件。根据一些实施方式，非瞬态计算机可读介质可以存储包括一个或多个指令的指令，当由设备的一个或多个处理器执行时，使得一个或多个处理器将被测进程加载到与设备相关联的虚拟存储器中，其中虚拟存储器包括多个存储器页面。一个或多个指令可以使得一个或多个处理器将恶意软件检查元件和存储器跟踪元件插入到被测进程中。一个或多个指令可以使得一个或多个处理器使用恶意软件检查元件向存储器跟踪元件提供与被测进程相关联的事件的通知。一个或多个指令可以使得一个或多个处理器使用存储器跟踪元件并且基于通知中所包括的信息，标识多个存储器页面中的一个或多个存储器页面，其中一个或多个存储器页面被指派给被测进程，并且由被测进程使用。一个或多个指令可以使得一个或多个处理器使用存储器跟踪元件并且基于标识的一个或多个存储器页面，生成与被测进程相关联的存储器映射，其中存储器映射包括将一个或多个存储器页面标识为被指派给被测进程并且由被测进程使用的信息。一个或多个指令可以使得一个或多个处理器使用存储器跟踪元件并且使用存储器映射跟踪一个或多个存储器页面以确定被测进程是否包括恶意软件。根据一些实施方式，方法可以包括由设备将被测进程加载到与设备相关联的虚拟存储器中，其中虚拟存储器包括多个存储器页面。方法可以包括由设备将恶意软件检查元件和存储器跟踪元件插入到被测进程中。方法可以包括由设备和使用恶意软件检查元件向存储器跟踪元件提供与被测进程相关联的事件的通知。方法可以包括由设备和使用存储器跟踪元件并且基于通知中所包括的信息，标识多个存储器页面中的一个或多个存储器页面，其中一个或多个存储器页面被指派给被测进程，并且由被测进程使用。方法可以包括由设备和使用存储器跟踪元件并且基于标识的一个或多个存储器页面，生成与被测进程相关联的存储器映射，其中存储器映射包括将一个或多个存储器页面标识为被指派给被测进程并且由被测进程使用的信息。方法可以包括由设备并且基于存储器映射确定被测进程是否包括恶意软件。附图说明图1A-1D是本文描述的示例实施方式的示意图。图2是可以在其中实现本文所描述的系统和/或方法的示例环境的示意图。图3A和3B是图2的一个或多个设备的示例组件的示意图。图4是用于恶意软件检测的用于存储器跟踪的示例过程的流程图。图5是用于恶意软件检测的用于存储器跟踪的示例过程的流程图。图6是用于恶意软件检测的用于存储器跟踪的示例过程的流程图。具体实施方式以下示例实施方式的详细描述参考附图。不同附图中的相同的附图标记可标识相同或者相似的元件。存储器页面可以标识已经被指派给进程和/或由进程使用的虚拟存储器的部分。被指派给进程的存储器页面可以被以这种方式划分：使得存储器页面可以由进程的不同元件使用。在一些情况下，被指派给进程和/或由进程使用的存储器页面可以在进程基于各种条件执行时改变(诸如请求附加存储器页面的进程、访问新存储器页面的进程、和/或类似的)。此外，进程的元件可以决定使用/重写与相同的进程中的另一模块相关联的存储器页面，例如，如果该进程是恶意的，这可能发生。在一些情况下，被指派给恶意进程的存储器页面可以提供关于恶意进程的大量信息，这可以导致改进的工件(artifact)和情报收集，并且因此导致改进的恶意软件检测。然而，恶意软件检查工具(例如，虚拟沙箱环境、二进制检测工具、和/或类似的)可以将恶意软件检查元件(例如，函数库、可执行脚本、动态链接库(DLL)、和/或其他)插入恶意进程，这可能使得难以确定恶意进程正在使用指派给恶意进程的哪些内存页以及恶意软件检查元件正在使用哪些内存页，这降低了恶意软件检查工具的功效。本文描述的一些实施方式提供了一种能够标识被指派给进程并且由进程使用的存储器页面，并且将存储器页面报告给恶意软件检查工具的设备。例如，该设备可以将恶意软件检查元件和存储器跟踪元件包括到该进程中，并且可以使用该存储器跟踪元件，从被指派给该进程并且由该恶意软件检查元件使用的存储器页面来标识被指派给该进程并由该进程使用的存储器页面。然后，恶意软件检查工具可以检查被指派给该进程并由该进程使用的存储器页面，这改进了来自进程的工件提取，这进而提高了恶意软件检测准确性，并且增加了来自进程的危害指标符(IOC)的提取。图1A-1D是本文描述的示例实施方式100的示意图。如图1A-1D所示，示例实施方式100可以包括检查平台。在一些实施方式中，检查平台可以包括服务器设备、用户设备(例如，台式计算机、膝上型计算机、手持式计算机或设备、和/或类似的)、网络设备、基于云的平台、和/或类似的。如图1A所示，检查平台可以包括可以被虚拟化并呈现为虚拟存储器的物理内存和/或物理存储器。检查平台的虚拟存储器可以被分段为多个存储器页面(例如，存储器页面1到存储器页面n，其中n>1，统称为“存储器页面”，并且单独地称为“存储器页面”)。虽然存储器页面用于描述实施方式100，但是用于虚拟存储器的部分的其他单元也可以用于描述实施方式100。在一些实施方式中，检查平台可以将虚拟存储器的一个或多个存储器页面指派给应用程序、进程、和/或类似的，以便应用程序、进程等可以由检查平台的处理器执行(如果进程是恶意的或者怀疑是恶意的，则可以称为引爆进程)。在一些实施方式中，进程可以是软件应用程序、软件脚本、软件文件、软件代码、网页地址(例如，统一资源定位符(URL))和/或可由处理器执行的软件的另一形式。在一些实施方式中，检查平台可以执行被测进程，使得检查平台可以在被测进程执行时分析被测进程，以确定进程的行为是否是恶意的(诸如是否被测进程试图安装rootkit、尝试安装后本文档来自技高网...

【技术保护点】
1.一种设备，包括/n一个或多个存储器；以及/n一个或多个处理器，用以：/n将被测进程加载到与所述设备相关联的虚拟存储器中，/n其中所述虚拟存储器包括多个存储器页面；/n将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中；/n使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知；/n使用所述存储器跟踪元件并且基于包括在所述通知中的信息，标识所述多个存储器页面中的一个或多个存储器页面，/n其中所述一个或多个存储器页面被指派给所述被测进程，并且由所述被测进程使用；以及/n使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面，生成与所述被测进程相关联的存储器映射，/n其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息，以及/n其中所述存储器映射将被用于确定所述被测进程是否包括恶意软件。/n

【技术特征摘要】
20180716 IN 201841026426;20180831 US 16/119,6861.一种设备，包括
一个或多个存储器；以及
一个或多个处理器，用以：
将被测进程加载到与所述设备相关联的虚拟存储器中，
其中所述虚拟存储器包括多个存储器页面；
将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中；
使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知；
使用所述存储器跟踪元件并且基于包括在所述通知中的信息，标识所述多个存储器页面中的一个或多个存储器页面，
其中所述一个或多个存储器页面被指派给所述被测进程，并且由所述被测进程使用；以及
使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面，生成与所述被测进程相关联的存储器映射，
其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息，以及
其中所述存储器映射将被用于确定所述被测进程是否包括恶意软件。


2.根据权利要求1所述的设备，其中所述一个或多个处理器还用以：
使用所述存储器跟踪元件向所述恶意软件检查元件提供指令，以向所述存储器跟踪元件提供与所述被测进程相关联的所述事件的所述通知。


3.根据权利要求1所述的设备，其中所述事件包括：所述被测进程正经由应用程序编程接口(API)被指派新的存储器页面。


4.根据权利要求1所述的设备，其中所述一个或多个处理器还用以：
使用所述恶意软件检查元件检测正被加载到所述虚拟存储器中的所述被测进程，
其中与所述被测进程相关联的所述事件的所述通知包括：
指示所述被测进程已被加载到所述虚拟存储器中的信息；以及
标识被指派给所述被测进程的存储器页面范围的信息，以及
其中当使用所述存储器跟踪元件并且基于包括在所述通知中的所述信息来标识所述多个存储器页面中的所述一个或多个存储器页面时，所述一个或多个处理器用以：
标识在所述通知中标识的所述存储器页面范围。


5.根据权利要求1所述的设备，其中所述一个或多个处理器还用以：
使用所述存储器跟踪元件并且使用所述存储器映射来跟踪所述一个或多个存储器页面。


6.根据权利要求5所述的设备，其中当跟踪所述一个或多个存储器页面时，所述一个或多个处理器用以执行以下中的至少一个：
跟踪由所述一个或多个存储器页面保持的状态，
从所述一个或多个存储器页面中提取工件，或者
基于所述一个或多个存储器页面来标识所述被测进程的危害指标符(IOC)。


7.根据权利要求6所述的设备，其中所述一个或多个处理器还用以：
向恶意软件检查工具提供用于电子取证分析的所述工件，以确定所述被测进程的恶意意图。


8.一种存储指令的非瞬态计算机可读介质，所述指令包括：
一个或多个指令，当由设备的一个或多个处理器执行时，使得所述一个或多个处理器用以：
将被测进程加载到与所述设备相关联的虚拟存储器中，
其中所述虚拟存储器包括多个存储器页面；
将恶意软件检查元件和存储器跟踪元件插入到所述被测进程中；
使用所述恶意软件检查元件向所述存储器跟踪元件提供与所述被测进程相关联的事件的通知；
使用所述存储器跟踪元件并且基于包括在所述通知中的信息，标识所述多个存储器页面中的一个或多个存储器页面，
其中所述一个或多个存储器页面被指派给所述被测进程，并且由所述被测进程使用；
使用所述存储器跟踪元件并且基于标识所述一个或多个存储器页面，生成与所述被测进程相关联的存储器映射，
其中所述存储器映射包括将所述一个或多个存储器页面标识为被指派给所述被测进程并且由所述被测进程使用的信息；以及
使用所述存储器跟踪元件并且使用所述存储器映射跟踪所述一个或多个存储器页面以确定所述被测进程是否包括恶意软件。


9.根据权利要求8所述的非瞬态计算机可读介质，其中所述事件包括以下中的至少一个：
与...

【专利技术属性】
技术研发人员：A·W·萨尔达尼亚，A·莫汉塔，S·R·达喀尔，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国;US