一种扫描计算设备的存储器中的病毒的方法,其中仅需要对被标记为可执行的存储器页面进行扫描。可以通过将页面从可写入改变为可执行的API,或者通过已经对可执行页面进行了修改的内核通知,来触发扫描。本发明专利技术的高效在于其使得很多先前的文件系统扫描成为多余;这节省了功率,并使得设备执行更快。其还更加安全,因为其检测其他方法所不能达到的病毒,并且在执行点这样做。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于操作计算设备的方法,并且更具体地涉及一种 改进的方法,用于对计算设备中的恶意软件进行扫描。
技术介绍
在本专利技术的上下文中,术语"计算设备"包括但不限于台式和膝上型计算机、个人数字助理(PDA)、移动电话、智能电话、数码相机和 数码音乐播放器。其还包括将上述一种或多种类别的设备的功能与很多 其他工业和家用电子设备结合在一起的综合设备。现在广泛的共识是,恶意程序(恶意软件)对计算设备的影响具有 显著的风险,特别是当计算设备通过网络连接到其他设备的时候。对于 此恶意软件的所有实例而言,通常被称为病毒。然而,安全专家在很多 不同类型的恶意软件之间进行区分。最近的互联网文章 (Http:〃en.wikipedia.org/wiki/Malware )才示"i只并描述了十一种不同类型, 其包括病毒、蠕虫、瓦比特(Wabbit)、木马、后门(backdoor)、间 谍软件、侦测(Exploit)、引导工具(rootkit)、键盘记录器(key logger )、 拨号器(dialer)以及浏览器强盗(Browser Hijacker )。恶意软件可以以不同方式获得对计算设备的登录。很多感染的发生 是因为用于被欺骗以安装携带该感染的软件。进入设备的这条路径可以 通过证书、认证、安转软件包验证以及其他代码项目(例如宏)来相对 容易地监视。然而,用户并不总是留意在安装阶段给出的有关不信任软 件危险的警示。此外,恶意软件并不局限于可安装的可执行程序,并且 可以通过其他手段例如电子邮件和电子邮件附件来传播。为此,计算设备越来越多地配备反病毒软件。此软件传统上的工作 是通过连上主机操作系统的文件系统,并在文件被写入或从盘片上被读 取的时候扫描该文件。在此扫描过程中,它们搜索可以被用作签名或指 紋的唯 一 字节系列来识别恶意软件。大多数个人计算机用户意识到如果该方法是有效的,则他们需要将针对此类软件的病毒定义文件保持最新。由于即刻(on-the-fly)扫描的处理是易错的(例如,其不能检测到 可移动介质上潜在的恶意软件感染),所以大多数类型的防病毒软件总 是以更深的批处理模式周期的运行,在此期间整个软件系统的完整内容 被分析以查找上述所称的指紋。然而,仅扫描文件系统的反病毒软件不能捕获所有的恶意软件。已 知的是,存在文件系统之外的其他途径来对设备进行感染。已知可以被 恶意软件侦测以允许其代码在计算设备上执行的安全漏洞在 一 定规贝'J的 基础上,在控制计算设备的操作系统或在一般使用的软件包中被发现。Http:〃en.wikipedia.org/wiki/Exploit (计算机科学)的文章中列出了 多种此类侦测,包括緩冲器溢出、整数溢出、存储器出错、格式化串攻 击、竟态条件、跨站脚本执行、跨站起请求伪造以及SQL感染病虫。通 过很多途径进入设备的恶意软件可能完全驻留在存储器中,并且不能通 过扫描文件系统来检测。这种类型的恶意软件的例子将被称为蠕虫,其 通过在通信堆栈中侦测薄弱点而从一个机器的存储器中传播到另 一个机 器的存储器。为此,反病毒软件通常检查易失性存储器(RAM)的内容以及文件 系统的内容,从而查找各种类型的存储器驻留恶意软件的签名。应当注意的是,所有的计算设备均潜在地受到恶意软件攻击,而不 仅仅是台式或膝上型计算机。已经在其他计算设备上侦测到安全漏洞, 包括电池供电的移动设备。具体而言,很明显的是,对于移动计算设备 例如智能电话(其在长时间中保持加电或待机并通常使用非易失性闪速 存储器技术)而言,与处于采用易失性动态RAM并可以依靠规则地断电 以清除存储器驻留恶意软件的电网供电计算机上的恶意软件相比,基于 存储器的恶意软件例如蠕虫显然更加危险。当前的反病毒软件严重地依赖于对文件系统进行扫描。然而,用于 此目的的现存方法的问题在于 直到执行批处理扫描,它们才能检测到良好隐藏的或多形态的病毒 如果病毒丝毫不依赖于被写入到盘片(例如纯网络病毒),则其 不可能被检测到 其对每次文件存取增加开销(即使是非执行程序,当它们包含嵌 入的可4丸行文件时) 在操作系统层次上有效实施通常要求扫描器与文件系统驱动器联 合定位,其自身可以打开安全薄弱点,因为如果病毒攻击扫描器自身的 话,则其可以获得对整个文件系统的无约束存取 特别地,深度扫描可以产生可执行程序或其他文件的很多扫描,即使不对它们进行调用;并且使设备的操作减慢,这在功率节约方面非常低效。在电池供电的设备中,对功率的任何不必要使用对设备的功能 发挥都是有害的,而即使在电网供电的设备上,也不赞成这样,因为能 源浪费对全球变暖和环境恶化产生影响。如上所述,由于已经意识到对文件系统的扫描不能检测到存储器恶 意软件,所以当前的反病毒软件通常还扫描设备存储器。然而,扫描存储器的现有方法也具有下列缺点 当反病毒软件首次加载或以固定时间间隔加载时触发存储器扫 描,任何恶意软件可能已经在存储器特定部分被扫描的时候被执行 通过存储器内容的改变,触发存储器扫描,有必要对所有此类改 变进行侵略性扫描,这导致了性能极度恶化 需要扫描整个设备存储器,这在计算设备具有数G字节存储器的 时候开销显著,这加剧了上述问题 在实现请求分页(demand paging )的系统中(其中一部分虚拟存 储器保持在盘片上),扫描器还需要意识到哪部分存储器实际上驻留在 交换(swap)文件中,以免其对性能产生更进一步的恶化 扫描存储器对于电池供电的设备而言是特别繁重的,因为连续扫 描存储器的方案可以导致功耗的很大上升。此外,如以上结合操作盘片 所述,对功率的任何不必要使用对电池供电设备的功能发挥均有损害, 而即使在电网供电的设备上,也不赞成这样,因为能源浪费对全球变暖 和环境恶化产生影响。
技术实现思路
在保持对恶意软件的签名或指紋进行扫描的相同详细方法的同时, 本专利技术公开了计算设备如何被设置用于实现以下列方式来检测和抗击恶意代码感染的系统即比现存的防病毒软件扫描解决方案更加有效并且 更力口强健。根据本专利技术的第一方面,提供一种操作计算设备的方法,其中,所 述设备通过以下方式来防护于可执行恶意软件a. 将程序从所述设备上的不可执行存储器分离;以及b. 仅允许执行来自于可执行存储器的任何代码;以及c. 使用第一软件实体,其能够就恶意软件仅扫描所述设备上的可执 行存储器。根据本专利技术第二方面,提供一种计算设备,其被设置用于根据第一 方面的方法来4喿作。根据本专利技术第三方面,提供一种操作系统,用于使计算设备根据第 一方面的方法来操作。附图说明现在将参照附图并通过进 一 步示例的方式来描述本专利技术的实施方 式,其中图1示出了根据本专利技术的病毒扫描方法的流程图2示出了其中存储器页面被标记为可执行和只读时的病毒扫描方法的流程图;以及图3示出了根据本专利技术的病毒扫描方法的流程图,其中修改后的存储器页面被扫描。具体实施例方式本专利技术背后的理解是在盘片上存储的可执行代码其自身是无害的。 即使当该代码加载到存储器中,其仍然不产生伤害。仅当该代码执行的 时候,它才有机会产生伤害。因此,如果可以找到识别将要被执行的代 码的方法,则可以完全省却对存储器的整个内容进行扫描,扫描文件系 统读取和写入,以及对恶意软件搜索中整个文件系统的深度本文档来自技高网...
【技术保护点】
一种操作计算设备的方法,其中,所述设备通过以下方式来防护于可执行恶意软件: a.将可执行程序从所述设备上的不可执行存储器分离;以及 b.仅允许执行来自于可执行存储器的任何代码;以及 c.使用第一软件实体,所述第一软件实体能够就恶意软件仅扫描所述设备上的可执行存储器。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:乔纳森狄克逊,
申请(专利权)人:西姆毕恩软件有限公司,
类型:发明
国别省市:GB[英国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。