根据本发明专利技术的第一方面,提供了一种保护计算机系统免于遭受恶意软件的方法,当在仿真计算机系统中执行所述恶意软件时,所述恶意软件试图阻止检测或分析。所述方法包括:确定可执行文件是否应该被识别为合法的,如果不是,则执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。
技术介绍
Malware是malicous software (恶意软件)的缩写,其用作一种术语,指示被设计为在未经所有者同意的情况下潜入计算机系统或破坏计算机系统的任何软件。恶意软件可以包括计算机病毒、蠕虫、特洛伊木马、后门、广告软件、间谍软件和任何其它恶意且讨厌的软件。当设备被恶意软件程序感染时,因为感染可能创建讨厌的处理器活动、存储器使 用和网络业务,所以用户经常会注意到讨厌行为和系统性能劣化。感染还可能会造成稳定性问题,从而导致应用程序或系统范围上的崩溃。受感染设备的用户可能错误地认为低性能是由软件缺陷或硬件问题导致的,从而采取不适当的补救措施,但实际原因却是用户没有意识到的恶意软件感染。此外,即使恶意软件感染不会在设备性能上造成可察觉的变化,其也可能会执行其它恶意功能,比如潜在地监视和窃取有价值的商业、个人和/或金融信息,或者劫持设备使得其用于一些非法目的。许多终端用户使用防病毒软件来检测恶意软件,可能地,去除恶意软件。为了检测恶意软件文件,防病毒软件必须具有从设备上存在的所有其它文件中识别出恶意软件文件的方法。典型地,这需要防病毒软件具有包括“签名”或“指纹”的数据库,这些“签名”或“指纹”是各个恶意软件程序文件的特性。当防病毒软件的供应商识别到新的恶意软件威胁时,对威胁进行分析且产生这种威胁的签名。于是,恶意软件“已知”,并且其签名可以分发给终端用户以更新其本地防病毒软件数据库。使用依靠签名扫描来检测恶意软件的方法仍然使计算机易受到签名还未被分析的“未知”恶意软件程序的攻击。为了解决这个问题,除了扫描恶意软件签名之外,大多数防病毒应用程序附加地采用启发式分析。这种方法包括一般规则的应用,旨在将任意恶意软件的行为与干净/合法程序区分开来。例如,监视PC上所有程序的行为,如果某程序试图将数据写入可执行程序,则防病毒软件可以将此行为标记为可疑行为。启发法可以基于诸如API调用、经由互联网发送数据的尝试等行为。为了检测和/或分析恶意软件程序,通常有用的是在隔离的环境或测试系统(此外称为虚拟机或仿真器)中运行程序。虚拟机或仿真器包括模仿真实计算机系统的多种部件的功能的程序。例如,使用Linux 操作系统的计算机可以运行模仿Windows 操作系统提供的环境的虚拟机。这可以包括CPU、存储器、通信接口和任何关联硬件的仿真。通过在仿真环境中运行程序,任何恶意活动都可以被限制在虚拟环境中,而不会使底层计算机系统有风险。于是,可以观察仿真环境内的程序的行为,和用于将程序识别为恶意软件的任何恶意软件签名或恶意行为。此外,对于已经是恶意软件的程序或者怀疑是恶意软件的程序,防病毒工程师通常在仿真环境中运行该程序,以分析或“调试”其行为。这允许防病毒工程师对恶意软件程序进行反向工程,从而确定检测方法并为受程序感染的计算机杀毒。因此,恶意软件创建者试图避免使用了仿真和/或调试技术的恶意软件检测和分析工具。为此,恶意软件创建者设计了对何时在仿真环境中执行和/或区域何时被调试进行检测的恶意软件。如果这种恶意软件程序确定其正在仿真环境中执行和/或正被调试,就会尽快终止或者改变行为以不执行任何恶意活动或可疑行为。
技术实现思路
本专利技术的目的在于,提供一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。根据本专利技术的第一方面,提供了一种保护计算机系统免于遭受恶意软件的方法,当在仿真计算机系统中执行所述恶意软件时,所述恶意软件试图阻止检测或分析。所述方法包括确定可执行文件是否应该被识别为合法的,如果不是,则执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。优选地,在非仿真计算机系统中执行该文件。 可以在计算机系统中执行所述确定可执行文件是否应该被识别为合法的步骤。备选地,计算机系统向服务器发送可执行文件或可执行文件的标识符,并从服务器接收对文件是否应该被识别为合法的加以指示的响应。所述确定可执行文件是否应该被识别为合法的步骤可以包括以下任一项确定标识了合法可执行文件的数据库中是否包括所述可执行文件的标识符,如果是,则将所述可执行文件识别为合法的;确定标识了违禁可执行文件的数据库中是否包括所述可执行文件的标识符,如果否,则将所述可执行文件识别为合法的;以及确定关于可执行文件的、包括对每个可执行文件的合法性加以表示的值的数据库中是否包括所述可执行文件的标识符,如果是,确定与所述可执行文件相关联的值是否超过可执行文件被认为是合法时的阈值。所述向可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信;以及利用对在仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。所述指定通信可以包括函数调用、消息和事件中的任一项。根据本专利技术的第二方面,提供了一种包括计算机程序代码装置的计算机程序,在所述程序在计算机上运行时,所述计算机程序代码装置适于执行第一方面的所有步骤。根据本专利技术的第三方面,提供了一种在计算机可读介质上实现的根据第二方面的计算机程序。根据本专利技术的第四方面,提供了一种计算机系统。所述计算机系统包括存储器,存储器存储可执行文件;以及处理器,用于确定所述可执行文件是否应该被识别为合法的;以及如果不是,则在计算机系统中执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。处理器还可以被配置为产生包括所述可执行文件或所述可执行文件的标识符的消息以发送至服务器,并处理从服务器接收的响应以确定所述响应是否指示文件应该被识别为合法的。计算机系统还可以包括用于向服务器发送消息的发送机和用于从服务器接收响应的接收机。存储器还可以被配置为对标识了合法可执行文件的数据库进行存储,以及处理器还可以被配置为确定所述标识了合法可执行文件的数据库中是否包括可执行文件的标识符。备选地,存储器还可以被配置为对标识了违禁可执行文件的数据库进行存储,以及处理器还可以被配置为确定所述标识了违禁可执行文件的数据库中是否包括可执行文件的标识符。作为另一备选,存储器还可以被配置为存储关于可执行文件的信息的数据库,所述数据库包括对每个可执行文件的合法性加以表示的值,以及处理器还可以被配置为确定可执行文件的数据库中是否包括可执行文件的标识符。优选地,处理器还可以被配置为,如果数据库中包括可执行文件的标识符,则确定与可执行文件相关联的值是否超过了可执行文件被认为是合法时的阈值。处理器还可以被配置为在可执行文件的执行期间,拦截可执行文件与计算机系统之间的指定通信,并且利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通 目。根据本专利技术的第五方面,提供了一种检测潜在恶意软件的方法。所述方法包括执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示,监视所述可执行文件的行为,以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。所述执行可执行文件同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括在非仿真计算机环境中执行所述可执行文件,在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信,以及利用对本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:杨诺·尼美拉,米科·海彭恩,圣特里·康加斯,
申请(专利权)人:F赛酷公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。