对使用链接文件的恶意软件进行检测和响应制造技术

用于对通过计算机上的进程生成链接文件进行监视，以及基于链接文件是否指向（target）有恶意的对象或由有恶意的进程生成来执行防护进程的方法、系统和装置，包括编码在计算机存储介质上的计算机程序。在一个方面中，一种方法，包括：监视包括指向对象的目标路径的第一文件的生成；响应于监视第一文件的生成：确定该目标路径是否是统一资源定位符；响应于确定该目标路径是统一资源定位符，识别促使了第一文件被生成的进程；确定该进程是否是禁止的进程；响应于确定该进程是禁止的进程，对该进程和第一文件执行一个或多个防护进程；响应于确定该进程不是禁止的进程，确定该统一资源定位符是否是禁止的统一资源定位符；响应于确定该统一资源定位符是禁止的统一资源定位符，对该进程和第一文件执行一个或多个防护进程。

【技术实现步骤摘要】
【国外来华专利技术】
本说明书涉及恶意软件防护软件。
技术介绍
恶意软件是任何种类的有恶意的软件，诸如计算机病毒、特洛伊木马、间谍软件以及有恶意的活动内容。恶意软件可以经由受感染的电子邮件附件、共享文件或有恶意的网站来散布。恶意软件还可以经由促使执行诸如下载恶意软件的有恶意的活动的链接文件来难以觉察地散布。恶意软件可以附着到文件，因此，当受感染的文件执行时，恶意软件在用户不知情或未经用户许可的情况下同样地执行并且例如自复制。其他恶意软件指向计算机的存储器，并且在计算机打开、修改或创建文件时感染文件。ー些恶意软件能够潜伏，并且不会示出任何存在的迹象，例如键捕捉软件、监视软件等。恶意软件防护软件一般通过为有恶意的代码对计算机的存储器和盘驱动器进行扫描来进行操作。扫描可以通过将文件的签名与已知恶意软件的签名进行比较来执行。然而，如果恶意软件防护软件缺乏更新的签名，则有恶意的进程和链接可能未被检测到。进ー步，链接可以被用来下载对于其不存在签名，但是从位置仍然知道是危险的新的恶意软件。在这样的情况和其他情况下，恶意软件防护软件不能阻止对计算机系统的损害。
技术实现思路
本说明书描述了与以下有关的技木基于监视链接文件和创建链接文件的进程来检测恶意软件并且阻止来自恶意软件的损害。总的来说，在本说明书中描述的主题的ー个有创新性的方面可以在包括以下动作的方法中具体化监视包括指向对象的目标路径的第一文件的生成；响应于监视第一文件的生成识别促使了第一文件被生成的进程；确定该进程是否是禁止的进程；响应于确定该进程是禁止的进程，对该禁止的进程和第一文件执行ー个或多个防护进程；响应于确定该进程不是禁止的进程，确定目标路径是否是统ー资源定位符；响应于确定该目标路径是统ー资源定位符，确定该统ー资源定位符是否是禁止的统ー资源定位符；响应于确定该统ー资源定位符是禁止的统ー资源定位符，对第一文件执行ー个或多个防护进程。这个方面的其他实现包括被配置成执行方法的动作的对应的系统、装置和编码在计算机可读存储设备上的计算机程序。 在本说明书中描述的主题的另ー个有创新性的方面可以在包括以下动作的方法中具体化监视包括指向对象的目标路径的第一文件的生成；响应于监视第一文件的生成确定该目标路径是否是统ー资源定位符；响应于确定该目标路径是统ー资源定位符，识别促使了第一文件被生成的进程；确定该进程是否是禁止的进程；响应于确定该进程是禁止的进程，对该进程和第一文件执行ー个或多个防护进程；响应于确定该进程不是禁止的进程，确定该统ー资源定位符是否是禁止的统ー资源定位符；响应于确定该统一资源定位符是禁止的统ー资源定位符，对该进程和第一文件执行ー个或多个防护进程。这个方面的其他实现包括被配置成执行方法的动作的对应的系统、装置和编码在计算机可读存储设备上的计算机程序。在本说明书中描述的主题的另一个有创新性的方面可以在编码有计算机程序的计算机存储介质中具体化，该程序包括当由数据处理装置执行时促使该数据处理装置执行操作的指令，所述操作包括监视基于统ー资源定位符来生成请求的第一文件的生成；响应于监视第一文件的生成识别促使了第一文件被生成的进程；确定该进程是否是禁止的进程；响应于确定该进程是禁止的进程，对该进程和第一文件执行ー个或多个防护进程；响应于确定该进程不是禁止的进程，确定该统ー资源定位符是否是禁止的统ー资源定位 符；响应于确定该统ー资源定位符是禁止的统ー资源定位符，对该进程和第一文件执行ー个或多个防护进程。可以实现在本说明书中描述的主题的特定实现，以便认识到下面优势中的ー个或多个。检测由计算机进程生成的链接文件，并且确定链接文件或生成该链接文件的计算机进程是否是恶意软件。将阻止这样的恶意软件引起对计算机系统的损害。也将阻止指向恶意软件但是另外由非恶意软件计算机进程生成的链接文件引起对计算机系统的损害。将在附图和下面的描述中阐述在本说明书中描述的主题的ー个或多个实现的细节。主题的其他特征、方面和优势从描述、附图和权利要求将变得显而易见。附图说明图I是图示对通过计算机进程生成链接文件进行监视和响应的恶意软件防护程序的示例的框图。图2是图示用于对链接文件的生成进行监视和响应以及执行防护进程的示例过程的流程图。图3是图示用于对链接文件的生成进行监视和响应以及执行防护进程的另ー个示例过程的流程图。图4是在与远程计算机通信中用于确定生成了链接文件的计算机进程是否是禁止的进程的恶意软件防护程序的示例的框图。图5是在与远程计算机通信中用于确定链接文件所指向的对象是否是禁止对象的恶意软件防护程序的示例的框图。各个附图中相同的附图标记和名称指示相同的元素。具体实施例方式图I是图示对通过计算机进程生成链接文件进行监视和响应的恶意软件防护程序的示例的框图。如在此所使用的，“恶意软件防护程序”是任何种类的恶意软件防护软件，包括例如杀毒软件。如图I中所图示,释放者(dropper)进程104生成链接文件108。释放者进程104是作为释放者文件102的实例的计算机进程。如在此所使用的，“释放者文件”是任何种类的文件或ニ进制代码，包括包含用于生成诸如链接文件的另ー个文件的指令的计算机可执行指令。如在此所使用的，“链接文件”是任何种类的文件或ニ进制代码，其包含指向另ー个对象的目标路径或当被选择、访问或实例化时生成对另ー个对象的请求。包含在链接文件108中的目标路径110可以是统ー资源定位符(URL)。统ー资源定位符识别诸如位于计算机上的文件的资源的位置。URL所对应的资源可以位于位于网络116上的计算机上。网络116可以是计算机设备100位于其上的外部网络，诸如因特网或局域网。因此，链接文件108可以包含目标路径110，目标路径110包括与位于计算机设备100位于其上的因特网或局部网络116上的文件相对应的URL。替选地，目标路径110可以包括与存储在计算机设备100上的本地文件相对应的URL。如图I中进ー步图示的，恶意软件防护程序112包含监视和防护模块114。监视和防护模块114监视106链接文件108的生成。监视和防护模块114可以以软件代码来具体化，并且例如形成恶意软件防护程序的一部分或作为具有其自身进程、服务等的単独程序 独立地运行。响应于检测到106链接文件108的生成，监视和防护模块114收集关于释放者进程104和释放者文件102的信息。该信息可以包括释放者进程104的身份、释放者文件102的位置以及链接文件108的位置。监视和防护模块114确定释放者进程104、或链接文件108所指向的或链接文件生成对其的请求的对象是否是禁止的，作为示例如图2和图3中所图示的。监视和防护模块114基于描述释放者进程的数据，包括例如描述与释放者进程104相关联的可执行机器代码，即释放者文件102的数据，来确定释放者进程104是否是禁止的。监视和防护模块114可以使确定基于描述释放者进程的数据和描述已知的禁止的进程或文件的数据的比较，作为示例如图4中所图示的。另外，监视和防护模块114基于描述对象的数据，包括例如URL，来确定链接文件108所指向的或链接文件生成对其的请求的对象是否是禁止的。监视和防护模块114可以使确定基于描述对象的数据和描述已知的禁止对象的数据的比较，作为示例如图5中所图示的。取决于这些确定的结果，本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2009.10.15 US 12/579,6791.一种计算机实现的方法，包括 由第一计算机监视包括指向对象的目标路径的第一文件的生成； 响应于监视所述第一文件的所述生成 由所述第一计算机识别促使了所述第一文件被生成的进程； 由所述第一计算机确定所述进程是否是禁止的进程； 响应于确定所述进程是禁止的进程，由所述第一计算机对所述进程和所述第一文件执行ー个或多个防护进程； 响应于确定所述进程不是禁止的进程，由所述第一计算机确定所述目标路径是否是统ー资源定位符； 响应于确定所述目标路径是统ー资源定位符，由所述第一计算机确定所述统ー资源定位符是否是禁止的统ー资源定位符； 响应于确定所述统ー资源定位符是禁止的统ー资源定位符，由所述第一计算机对所述第一文件执行ー个或多个防护进程。2.根据权利要求I所述的计算机实现的方法，其中由所述第一计算机确定所述进程是否是禁止的进程包括 由所述第一计算机生成描述所述进程的数据； 由所述第一计算机将描述所述进程的所述数据发送给第二计算机； 由所述第一计算机从所述第二计算机接收指示所述进程是否是禁止的进程的数据；以及 由所述第一计算机响应于从所述第二计算机接收到的所述数据而确定所述进程是否是禁止的进程。3.根据权利要求2所述的计算机实现的方法，其中描述所述进程的数据包括与所述第ー进程相关联的签名。4.根据权利要求I所述的计算机实现的方法，其中由所述第一计算机确定所述统ー资源定位符是否是禁止的统ー资源定位符包括 由所述第一计算机生成描述所述统ー资源定位符的数据； 由所述第一计算机将描述所述统ー资源定位符的所述数据发送给第二计算机； 由所述第一计算机从所述第二计算机接收指示所述统ー资源定位符是否是禁止的统ー资源定位符的数据；以及 由所述第一计算机响应于从所述第二计算机接收到的所述数据而确定所述统ー资源定位符是否是禁止的统ー资源定位符。5.根据权利要求I所述的计算机实现的方法，其中对所述进程执行的所述ー个或多个防护进程包括以下中的ー个或多个 由所述第一计算机終止所述进程； 由所述第一计算机删除与所述进程相关联的ー个或多个文件； 由所述第一计算机重命名与所述进程相关联的ー个或多个文件； 由所述第一计算机隔离与所述进程相关联的一个或多个文件；以及 由所述第一计算机将与所述进程相关联的一个或多个文件发送给第二计算机以供分析。6.根据权利要求I所述的计算机实现的方法，其中对所述第一文件执行的所述ー个或多个防护进程包括以下中的ー个或多个 由所述第一计算机删除与所述第一文件相关联的ー个或多个文件； 由所述第一计算机重命名与所述第一文件相关联的ー个或多个文件；以及 由所述第一计算机隔离与所述第一文件相关联的ー个或多个文件。7.根据权利要求I所述的计算机实现的方法，其中所述第一文件是链接文件。8.一种计算机实现的方法，包括 由第一计算机监视包括指向对象的目标路径的第一文件的生成； 响应于监视所述第一文件的所述生成 由所述第一计算机确定所述目标路径是否是统ー资源定位符； 响应于确定所述目标路径是统ー资源定位符，由所述第一计算机识别促使了所述第一文件被生成的进程； 由所述第一计算机确定所述进程是否是禁止的进程； 响应于确定所述进程是禁止的进程，由所述第一计算机对所述进程和所述第一文件执行ー个或多个防护进程； 响应于确定所述进程不是禁止的进程，由所述第一计算机确定所述统ー资源定位符是否是禁止的统ー资源定位符； 响应于确定所述统ー资源定位符是禁止的统ー资源定位符，由所述第一计算机对所述进程和所述第一文件执行ー个或多个防护进程。9.根据权利要求8所述的计算机实现的方法，其中由所述第一计算机确定所述进程是否是禁止的进程包括 由所述第一计算机生成描述所述进程的数据； 由所述第一计算机将描述所述进程的所述数据发送给第二计算机； 由所述第一计算机从所述第二计算机接收指示所述进程是否是禁止的进程的数据；以及 由所述第一计算机响应于从所述第二计算机接收到的所述数据而确定所述进程是否是禁止的进程。10.根...

【专利技术属性】
技术研发人员：洛克什·库马尔，哈里纳特·维什瓦纳特·拉姆切蒂，吉里什·R·库卡尔尼，
申请(专利权)人：麦卡菲公司，
类型：发明
国别省市：