【技术实现步骤摘要】
本专利技术涉及计算机设备,尤其涉及保护计算机设备以免受到恶意软件的危害。
技术介绍
随着越来越多的计算机和其他计算设备通过诸如因特网等各种网络互相连接,计算机的安全性变得愈加重要,尤其是来自在网络和信息流上传递的入侵和攻击。本领域的技术人员会认识到这些攻击以许多不同的形式出现,包括但当然不限于计算机病毒、计算机蠕虫、计算机组件更换、拒绝服务攻击、甚至是误用/滥用合法的计算机系统特征,所有这些都为了非法目的利用一个或多个计算机系统的弱点。虽然本领域的技术人员会认识到各种计算机攻击在技术上互不相同,但为了本专利技术和描述简单起见,在诸如因特网等计算机网络上传播的恶意计算机程序在下文中一般会被称为计算机恶意软件或简称为恶意软件。当计算机系统被计算机恶意软件攻击或“感染”时,有害的结果各不相同,包括禁用系统设备;擦除或破坏固件、应用程序或数据文件;将潜在的敏感数据发送到网络上的另一位置;关闭计算机系统;或造成计算机系统瘫痪。然而许多(虽然不是全部)计算机恶意软件的另一个有害的方面是被感染的计算机系统被用于感染其他系统。对计算机恶意软件,尤其是对计算机病毒和蠕虫的传统防护...
【技术保护点】
一种在包含多个反病毒软件应用程序的计算设备中聚集反病毒软件应用程序的知识库以防止恶意软件的执行或传播的计算机实现的方法,所述方法包括:(a)在满足请求前截取所述请求;(b)向所述反病毒软件应用程序提供对与所述请求相关联的文件的访问;(c)使所述反病毒软件应用程序分析与所述请求相关联的文件以便确定所述文件是否包含恶意软件;以及(d)如果所述文件包含恶意软件,那么防止满足所述请求。
【技术特征摘要】
US 2004-11-8 10/984,207;US 2004-11-8 10/984,615;US1.一种在包含多个反病毒软件应用程序的计算设备中聚集反病毒软件应用程序的知识库以防止恶意软件的执行或传播的计算机实现的方法,所述方法包括(a)在满足请求前截取所述请求;(b)向所述反病毒软件应用程序提供对与所述请求相关联的文件的访问;(c)使所述反病毒软件应用程序分析与所述请求相关联的文件以便确定所述文件是否包含恶意软件;以及(d)如果所述文件包含恶意软件,那么防止满足所述请求。2.如权利要求1所述的方法,其特征在于,还包括如果所述文件不含有恶意软件,则允许满足所述请求。3.如权利要求1所述的方法,其特征在于,还包括创建一数据库,用于跟踪所述反病毒软件应用程序所分析的文件的状态。4.如权利要求3所述的方法,其特征在于,所述数据库将文件索引值与表示所述文件状态的变量相关联。5.如权利要求4所述的方法,其特征在于,将所述文件索引值与所述数据库中的变量相关联包括(a)确定所述文件索引值是否输入到所述数据库中;以及(b)如果所述文件索引值不在所述数据库中(i)从为卷上的每个文件维护唯一文件索引值的数据结构中获取所述文件索引值;以及(ii)将所述文件索引值输入到数据库中。6.如权利要求5所述的方法,其特征在于,还包括(a)如果所述文件包含恶意软件,则将一变量与所述数据库中指示所述文件含有恶意软件的文件索引值相关联;以及(b)相反,如果所述文件不含有恶意软件,则将一变量与所述数据库中指示所述文件不含有恶意软件的文件索引值相关联。7.如权利要求6所述的方法,其特征在于,还包括响应于查询返回与所述文件索引值相关联的变量。8.如权利要求6所述的方法,其特征在于,与所述数据库中的文件索引值相关联的变量由两个比特组成。9.如权利要求5所述的方法,其特征在于,为卷上的每个文件维护唯一文件索引值的数据结构是主文件表。10.如权利要求1所述的方法,其特征在于,截取所述请求包括确定所述请求是否有可能使计算设备受到恶意软件的影响。11.如权利要求10所述的方法,其特征在于,不可能使计算设备受到恶意软件的影响的请求包括(a)致使创建新文件的命令;(b)针对不包含数据的打开文件命令;以及(c)针对目录的命令。12.如权利要求1所述的方法,其特征在于,向所述反病毒软件应用程序提供对与所述请求相关联的文件的访问包括(a)创建文件映射部分对象;以及(b)使所述文件映射部分对象可被服务应用程序访问;以及(c)基于可被所述反病毒软件应用程序访问的文件映射部分对象,创建所述文件的视图。13.如权利要求12所述的方法,其特征在于,所述文件的视图每次可被一个反病毒软件应用程序访问。14.如权利要求12所述的方法,其特征在于,所述服务应用程序调度请求以便由所述反病毒软件应用程序访问所述文件。15.如权利要求12所述的方法,其特征在于,使所述文件映射部分对象可被服务应用程序访问包括将所述文件映射部分对象插入到与所述服务应用程序相关联的对象表中。16.如权利要求1所述的方法,其特征在于,所述反病毒软件应用程序访问与所述请求相关联的文件而无需实现内核模式过滤器。17.如权利要求1所述的方法,其特征在于,所述反病毒软件应用程序访问与所述请求相关联的文件而无需创建文件句柄。18.如权利要求1所述的方法,其特征在于,使所述反病毒软件应用程序分析与所述请求相关联的文件以便确定所述文件是否包含恶意软件包括(a)创建与在用户模式中执行的所述反病毒软件应用程序通信的服务应用程序;以及(b)允许所述反病毒软件应用程序向所述服务应用程序注册以及创建扫描概况。19.如权利要求18所述的方法,其特征在于,所述扫描概况定义所述反病毒软件应用程序何时会访问所述文件。20.如权利要求18所述的方法,其特征在于,所述扫描概况定义所述反病毒软件应用程序何时会为所述计算设备去除感染。21.如权利要求1所述的方法,其特征在于,所述文件是否包含恶意软件的确定是在分析所述文件的所有反病毒软件应用程序都标识出恶意软件的签名特征时作出的。22.如权利要求1所述的方法,其特征在于,所述文件是否包含恶意软件的确定是在分析所述文件的大部分反病毒软件应用程序标识出恶意软件的签名特征时作出的。23.如权利要求1所述的方法,其特征在于,所述文件是否包含恶意软件的确定是通过计算由所述反病毒软件应用程序生成的结果组的加权值并确定所述加权值是否高于预定的阈值而作出的。24.一种用于聚集反病毒软件应用程序的知识库以防止恶意软件的执行或传播的系统,所述系统包含(a)一程序模块,它能够满足输入或输出请求;(b)一内核模式服务应用程序,它用于在所述反病毒软件应用程序检测到恶意软件时防止满足所述请求;以及(c)一用户模式服务应用程序,它用于在所述反病毒软件应用程序之间调度扫描。25.如权利要求24所述的系统,其特征在于,还包括一数据映射模块,它向所述反病毒软件应用程序提供对与所述请求相关联的文件的访问。26.如权利要求25所述的系统,其特征在于,所述数据映射模块每次允许一个反病毒软件应用程序访问所述文件。27.如权利要求24所述的系统,其特征在于,所述内核模式服务应用程序与所述用户模式服务应用程序通信以截取所述请求,并使所述反病毒软件应用程序分析所述文件并确定所述文件是否含有恶意软件。28.如权利要求27所述的系统,其特征在于,还包括一扫描高速缓存,它能够跟踪由所述反病毒软件应用程序分析的文件的状态。29.如权利要求24所述的系统,其特征在于,所述反病毒软件应用程序向所述用户模式服务应用程序注册,并定义使所述反病毒软件应用程序分析所述文件的请求。30.一种在包含卷和将文件索引值与变量相关联的数据库的计算设备中的计算机实现方法,用于响应于接收文件状态被标识的通知跟踪所述文件的状态,所述方法包括(a)确定所述文件的文件索引值是否包含在所述数据库中;(b)如果所述文件的文件索引值没有包含在所述数据库中(i)获取所述文件的文件索引值;(ii)将所述文件索引值插入到所述数据库中;以及(c)设置与所述文件索引值相关联的变量的值以表示所述文件的状态。31.如权利要求30所述的方法,其特征在于,所述变量可以表示以下三个状态之一(a)受到恶意软件感染;(b)没有受到恶意软件感染;以及(c)关于是否受到恶意软件感染未知。32.如权利要求31所述的方法,其特征在于,还包括如果所述文件的状态关于是否被恶意软件感染是未知的,则使所述反病毒软件应用程序分析所述文件并确定所述文件是否包含恶意软件。33.如权利要求32所述的方法,其特征在于,还包括(a)如果所述反病毒软件应用程序确定所述文件含有恶意软件,则将所述数据库中与所述文...
【专利技术属性】
技术研发人员:AM马瑞尼斯库,AF托马斯,DA戈贝尔,M科斯蒂亚,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。