在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码制造技术

提供了一种用于在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码的计算机程序产品、系统和方法。在应用程序代码中处理指定类型的命令，并且作为响应，执行陷阱代码以分配陷阱地址范围。在所述应用程序代码中执行所述指定类型的命令。确定访问应用程序是否访问所述陷阱地址范围。响应于确定所述访问应用程序访问了所述陷阱地址范围，执行以下中的至少一个：发送所述访问应用程序包括潜在恶意代码的通知、监视所述访问应用程序的执行、以及限制所述访问应用程序的执行。

【技术实现步骤摘要】
【国外来华专利技术】在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码
本专利技术涉及一种计算机程序产品、系统和方法，用于在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码。
技术介绍
反恶意软件，也称为反病毒软件，用于检测、防止和移除恶意软件，诸如恶意浏览器辅助对象(BHO)、浏览器劫持程序、勒索病毒(ransomware)、按键记录器、后门、rootkit、特洛伊木马、蠕虫、恶意LSP、拨号程序、欺诈工具、广告软件和间谍软件。通常，当恶意软件可能破坏数据时，对受到破坏的数据的访问被阻止，直到安全威胁被解决，以便避免可疑软件对数据的任何改变。一种称为Transomware的恶意软件对用户数据进行加密，然后，Transomware的运营商对攻击的受害者进行黑邮件发送，该攻击的受害者需要为加密密钥付费以用于对其数据进行解密。恶意代码可能试图通过从受保护存储器读取存储在系统高速缓存中的存储器数据来访问受保护存储器中的数据，作为高速缓存操作的一部分。受保护存储器包括进程不应当能够访问的系统存储器的区域，本文档来自技高网...

【技术保护点】
1.一种用于检测从存储装置访问数据的潜在恶意代码的计算机程序产品，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有包含在其中的计算机可读程序代码，所述计算机可读程序代码在被执行时执行操作，所述操作包括：/n处理应用程序代码中的指定类型的命令；/n响应于处理所述指定类型的命令而执行陷阱代码以分配陷阱地址范围；/n执行所述应用程序代码中的所述指定类型的命令；/n确定访问应用程序是否访问所述陷阱地址范围；以及/n响应于确定所述访问应用程序访问了陷阱地址范围，执行以下中的至少一个：发送所述访问应用程序包括潜在恶意代码的通知，监视所述访问应用程序的执行，以及限制所述访问应用程序的执行...

【技术特征摘要】
【国外来华专利技术】20180416 US 15/954,3341.一种用于检测从存储装置访问数据的潜在恶意代码的计算机程序产品，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有包含在其中的计算机可读程序代码，所述计算机可读程序代码在被执行时执行操作，所述操作包括：
处理应用程序代码中的指定类型的命令；
响应于处理所述指定类型的命令而执行陷阱代码以分配陷阱地址范围；
执行所述应用程序代码中的所述指定类型的命令；
确定访问应用程序是否访问所述陷阱地址范围；以及
响应于确定所述访问应用程序访问了陷阱地址范围，执行以下中的至少一个：发送所述访问应用程序包括潜在恶意代码的通知，监视所述访问应用程序的执行，以及限制所述访问应用程序的执行。


2.根据权利要求1所述的计算机程序产品，其中所述陷阱地址范围不被正在执行的所述应用程序代码访问。


3.根据权利要求1所述的计算机程序产品，其中所述指定类型的命令包括从用户模式切换到内核模式以访问内核地址的命令，并且其中所述陷阱地址范围被定义在内核地址空间中。


4.根据权利要求3所述的计算机程序产品，其中所述操作还包括：
响应于所述访问应用程序访问所述内核地址空间中未映射到高速缓存中的有效数据的地址表中的地址，接收段错误，其中响应于接收到所述段错误，执行确定所述访问应用程序是否已经访问所述陷阱地址范围。


5.根据权利要求4所述的计算机程序产品，其中所述指定类型的命令包括系统调用，其中所述系统调用在执行所述陷阱代码之后被执行。


6.如权利要求1所述的计算机程序产品，其中所述陷阱地址范围映射到地址表中的无效物理地址，其中所述确定所述访问应用程序是否已经访问所述陷阱地址范围包括当所述访问应用程序访问映射到无效位置的所述陷阱地址范围时检测生成的故障。


7.如权利要求1所述的计算机程序产品，其中执行所述陷阱代码将所述陷阱地址范围映射到地址表中，其中确定所述访问应用程序是否已经访问所述陷阱地址范围包括检测所述访问应用程序尝试使用来自所述陷阱地址范围的陷阱数据来访问计算资源。


8.根据权利要求1所述的计算机程序产品，其中响应于执行所述陷阱代码的多个实例而分配多个陷阱地址范围。


9.根据权利要求1所述的计算机程序产品，其中执行所述应用程序代码的所述处理器推测性地执行所述应用程序代码的多个条件分支的两个分支，其中取决于用于确定遍历所述多个条件分支中的哪些条件分支的条件而维持所述多个条件分支中仅一个条件分支的结果。


10.根据权利要求9所述的计算机程序产品，其中当处理所述多个条件分支时，所述陷阱代码由处理器推测性地在所述多个条件分支的一个条件分支中执行。


11.一种用于检测从存储装置访问数据的潜在恶意代码的系统，包括：
处理器；以及
具有计算机可读程序的计算机可读存储介质，所述计算机可读程序在由所述处理器执行时执行操作，所述操作包括：
处理应用程序代码中的指定类型的命令；
响应于处理所述指定类型的命令而执行陷阱代码以分配陷阱地址范围；
执行所述应用程序代码中的所述指定类型的命令；
确定访问应用程序是否访问所述陷阱地址范围；以及
响应于确定所述访问应用程序访问了所述陷阱地址范围，执行以下中的至少一个：发送所述访问应用程序包括潜在恶意代码的通知，监视所述访问应用程序的执行，以及限制所述访问应用程序的执行。


12.根据权利要求11所述的系统，其中所述指定类型的命令包括从用户模式切换到内核模式以访问内核地址的命令，并且其中所述陷阱地址范围被定义在内核地址...

【专利技术属性】
技术研发人员：L·古普塔，M·博利克，T·恩古延，M·罗比森，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US