專(zhuān)利名稱(chēng):計(jì)算設(shè)備中的惡意軟件檢測(cè)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于操作計(jì)算設(shè)備的方法,并且更具體地涉及一種 改進(jìn)的方法�,用于對(duì)計(jì)算設(shè)備中的惡意軟件進(jìn)行掃描。
背景技術(shù):
在本發(fā)明的上下文中��,術(shù)語(yǔ)"計(jì)算設(shè)備"包括但不限于臺(tái)式和膝上
型計(jì)算機(jī)���、個(gè)人數(shù)字助理(PDA)�����、移動(dòng)電話�、智能電話�、數(shù)碼相機(jī)和 數(shù)碼音樂(lè)播放器。其還包括將上述一種或多種類(lèi)別的設(shè)備的功能與很多 其他工業(yè)和家用電子設(shè)備結(jié)合在一起的綜合設(shè)備�����。
現(xiàn)在廣泛的共識(shí)是�,惡意程序(惡意軟件)對(duì)計(jì)算設(shè)備的影響具有 顯著的風(fēng)險(xiǎn)�,特別是當(dāng)計(jì)算設(shè)備通過(guò)網(wǎng)絡(luò)連接到其他設(shè)備的時(shí)候���。對(duì)于 此惡意軟件的所有實(shí)例而言����,通常被稱(chēng)為病毒��。然而��,安全專(zhuān)家在很多 不同類(lèi)型的惡意軟件之間進(jìn)行區(qū)分����。最近的互聯(lián)網(wǎng)文章 (Http:〃en.wikipedia.org/wiki/Malware )才示"i只并描述了十一種不同類(lèi)型, 其包括病毒����、蠕蟲(chóng)����、瓦比特(Wabbit)、木馬��、后門(mén)(backdoor)��、間 諜軟件、偵測(cè)(Exploit)����、引導(dǎo)工具(rootkit)、鍵盤(pán)記錄器(key logger )���、 撥號(hào)器(dialer)以及瀏覽器強(qiáng)盜(Browser Hijacker )��。
惡意軟件可以以不同方式獲得對(duì)計(jì)算設(shè)備的登錄��。很多感染的發(fā)生 是因?yàn)橛糜诒黄垓_以安裝攜帶該感染的軟件�。進(jìn)入設(shè)備的這條路徑可以 通過(guò)證書(shū)��、認(rèn)證�、安轉(zhuǎn)軟件包驗(yàn)證以及其他代碼項(xiàng)目(例如宏)來(lái)相對(duì) 容易地監(jiān)視。然而�,用戶并不總是留意在安裝階段給出的有關(guān)不信任軟 件危險(xiǎn)的警示。此外����,惡意軟件并不局限于可安裝的可執(zhí)行程序,并且 可以通過(guò)其他手段例如電子郵件和電子郵件附件來(lái)傳播����。
為此���,計(jì)算設(shè)備越來(lái)越多地配備反病毒軟件。此軟件傳統(tǒng)上的工作 是通過(guò)連上主機(jī)操作系統(tǒng)的文件系統(tǒng)����,并在文件被寫(xiě)入或從盤(pán)片上被讀 取的時(shí)候掃描該文件。在此掃描過(guò)程中��,它們搜索可以被用作簽名或指 紋的唯 一 字節(jié)系列來(lái)識(shí)別惡意軟件�。大多數(shù)個(gè)人計(jì)算機(jī)用戶意識(shí)到如果
該方法是有效的,則他們需要將針對(duì)此類(lèi)軟件的病毒定義文件保持最新�����。
由于即刻(on-the-fly)掃描的處理是易錯(cuò)的(例如����,其不能檢測(cè)到 可移動(dòng)介質(zhì)上潛在的惡意軟件感染),所以大多數(shù)類(lèi)型的防病毒軟件總 是以更深的批處理模式周期的運(yùn)行���,在此期間整個(gè)軟件系統(tǒng)的完整內(nèi)容 被分析以查找上述所稱(chēng)的指紋。
然而�,僅掃描文件系統(tǒng)的反病毒軟件不能捕獲所有的惡意軟件。已 知的是��,存在文件系統(tǒng)之外的其他途徑來(lái)對(duì)設(shè)備進(jìn)行感染。已知可以被 惡意軟件偵測(cè)以允許其代碼在計(jì)算設(shè)備上執(zhí)行的安全漏洞在 一 定規(guī)貝'J的 基礎(chǔ)上����,在控制計(jì)算設(shè)備的操作系統(tǒng)或在一般使用的軟件包中被發(fā)現(xiàn)。
Http:〃en.wikipedia.org/wiki/Exploit (計(jì)算機(jī)科學(xué))的文章中列出了 多種此類(lèi)偵測(cè)����,包括緩沖器溢出、整數(shù)溢出����、存儲(chǔ)器出錯(cuò)、格式化串攻 擊����、竟態(tài)條件、跨站腳本執(zhí)行�����、跨站起請(qǐng)求偽造以及SQL感染病蟲(chóng)�。通 過(guò)很多途徑進(jìn)入設(shè)備的惡意軟件可能完全駐留在存儲(chǔ)器中,并且不能通 過(guò)掃描文件系統(tǒng)來(lái)檢測(cè)���。這種類(lèi)型的惡意軟件的例子將被稱(chēng)為蠕蟲(chóng)�,其 通過(guò)在通信堆棧中偵測(cè)薄弱點(diǎn)而從一個(gè)機(jī)器的存儲(chǔ)器中傳播到另 一個(gè)機(jī) 器的存儲(chǔ)器。
為此��,反病毒軟件通常檢查易失性存儲(chǔ)器(RAM)的內(nèi)容以及文件 系統(tǒng)的內(nèi)容�����,從而查找各種類(lèi)型的存儲(chǔ)器駐留惡意軟件的簽名�����。
應(yīng)當(dāng)注意的是��,所有的計(jì)算設(shè)備均潛在地受到惡意軟件攻擊���,而不 僅僅是臺(tái)式或膝上型計(jì)算機(jī)�����。已經(jīng)在其他計(jì)算設(shè)備上偵測(cè)到安全漏洞�, 包括電池供電的移動(dòng)設(shè)備����。具體而言,很明顯的是�����,對(duì)于移動(dòng)計(jì)算設(shè)備 例如智能電話(其在長(zhǎng)時(shí)間中保持加電或待機(jī)并通常使用非易失性閃速 存儲(chǔ)器技術(shù))而言��,與處于采用易失性動(dòng)態(tài)RAM并可以依靠規(guī)則地?cái)嚯?以清除存儲(chǔ)器駐留惡意軟件的電網(wǎng)供電計(jì)算機(jī)上的惡意軟件相比�����,基于 存儲(chǔ)器的惡意軟件例如蠕蟲(chóng)顯然更加危險(xiǎn)��。
當(dāng)前的反病毒軟件嚴(yán)重地依賴(lài)于對(duì)文件系統(tǒng)進(jìn)行掃描�。然而,用于 此目的的現(xiàn)存方法的問(wèn)題在于
直到執(zhí)行批處理掃描�,它們才能檢測(cè)到良好隱藏的或多形態(tài)的病
毒
如果病毒絲毫不依賴(lài)于被寫(xiě)入到盤(pán)片(例如純網(wǎng)絡(luò)病毒),則其 不可能被檢測(cè)到
其對(duì)每次文件存取增加開(kāi)銷(xiāo)(即使是非執(zhí)行程序����,當(dāng)它們包含嵌 入的可4丸行文件時(shí))
在操作系統(tǒng)層次上有效實(shí)施通常要求掃描器與文件系統(tǒng)驅(qū)動(dòng)器聯(lián) 合定位,其自身可以打開(kāi)安全薄弱點(diǎn)����,因?yàn)槿绻《竟魭呙杵髯陨淼?話,則其可以獲得對(duì)整個(gè)文件系統(tǒng)的無(wú)約束存取
特別地����,深度掃描可以產(chǎn)生可執(zhí)行程序或其他文件的很多掃描����,
即使不對(duì)它們進(jìn)行調(diào)用�����;并且使設(shè)備的操作減慢����,這在功率節(jié)約方面非
常低效。在電池供電的設(shè)備中��,對(duì)功率的任何不必要使用對(duì)設(shè)備的功能 發(fā)揮都是有害的���,而即使在電網(wǎng)供電的設(shè)備上�����,也不贊成這樣�,因?yàn)槟?源浪費(fèi)對(duì)全球變暖和環(huán)境惡化產(chǎn)生影響�。
如上所述,由于已經(jīng)意識(shí)到對(duì)文件系統(tǒng)的掃描不能檢測(cè)到存儲(chǔ)器惡 意軟件�����,所以當(dāng)前的反病毒軟件通常還掃描設(shè)備存儲(chǔ)器。然而����,掃描存
儲(chǔ)器的現(xiàn)有方法也具有下列缺點(diǎn)
當(dāng)反病毒軟件首次加載或以固定時(shí)間間隔加載時(shí)觸發(fā)存儲(chǔ)器掃 描��,任何惡意軟件可能已經(jīng)在存儲(chǔ)器特定部分被掃描的時(shí)候被執(zhí)行
通過(guò)存儲(chǔ)器內(nèi)容的改變��,觸發(fā)存儲(chǔ)器掃描���,有必要對(duì)所有此類(lèi)改 變進(jìn)行侵略性掃描��,這導(dǎo)致了性能極度惡化
需要掃描整個(gè)設(shè)備存儲(chǔ)器����,這在計(jì)算設(shè)備具有數(shù)G字節(jié)存儲(chǔ)器的 時(shí)候開(kāi)銷(xiāo)顯著����,這加劇了上述問(wèn)題
在實(shí)現(xiàn)請(qǐng)求分頁(yè)(demand paging )的系統(tǒng)中(其中一部分虛擬存 儲(chǔ)器保持在盤(pán)片上),掃描器還需要意識(shí)到哪部分存儲(chǔ)器實(shí)際上駐留在 交換(swap)文件中�����,以免其對(duì)性能產(chǎn)生更進(jìn)一步的惡化
掃描存儲(chǔ)器對(duì)于電池供電的設(shè)備而言是特別繁重的,因?yàn)檫B續(xù)掃 描存儲(chǔ)器的方案可以導(dǎo)致功耗的很大上升����。此外,如以上結(jié)合操作盤(pán)片 所述��,對(duì)功率的任何不必要使用對(duì)電池供電設(shè)備的功能發(fā)揮均有損害���, 而即使在電網(wǎng)供電的設(shè)備上����,也不贊成這樣�,因?yàn)槟茉蠢速M(fèi)對(duì)全球變暖 和環(huán)境惡化產(chǎn)生影響。
發(fā)明內(nèi)容
在保持對(duì)惡意軟件的簽名或指紋進(jìn)行掃描的相同詳細(xì)方法的同時(shí)����, 本發(fā)明公開(kāi)了計(jì)算設(shè)備如何被設(shè)置用于實(shí)現(xiàn)以下列方式來(lái)檢測(cè)和抗擊惡
意代碼感染的系統(tǒng)即比現(xiàn)存的防病毒軟件掃描解決方案更加有效并且 更力口強(qiáng)健。
根據(jù)本發(fā)明的第一方面���,提供一種操作計(jì)算設(shè)備的方法���,其中,所 述設(shè)備通過(guò)以下方式來(lái)防護(hù)于可執(zhí)行惡意軟件
a. 將程序從所述設(shè)備上的不可執(zhí)行存儲(chǔ)器分離��;以及
b. 僅允許執(zhí)行來(lái)自于可執(zhí)行存儲(chǔ)器的任何代碼;以及
c. 使用第一軟件實(shí)體��,其能夠就惡意軟件僅掃描所述設(shè)備上的可執(zhí) 行存儲(chǔ)器�。
根據(jù)本發(fā)明第二方面,提供一種計(jì)算設(shè)備�,其被設(shè)置用于根據(jù)第一 方面的方法來(lái)4喿作。
根據(jù)本發(fā)明第三方面�����,提供一種操作系統(tǒng)�����,用于使計(jì)算設(shè)備根據(jù)第 一方面的方法來(lái)操作���。
現(xiàn)在將參照附圖并通過(guò)進(jìn) 一 步示例的方式來(lái)描述本發(fā)明的實(shí)施方 式,其中
圖1示出了根據(jù)本發(fā)明的病毒掃描方法的流程圖2示出了其中存儲(chǔ)器頁(yè)面被標(biāo)記為可執(zhí)行和只讀時(shí)的病毒掃描方
法的流程圖�;以及
圖3示出了根據(jù)本發(fā)明的病毒掃描方法的流程圖,其中修改后的存
儲(chǔ)器頁(yè)面被掃描���。
具體實(shí)施例方式
本發(fā)明背后的理解是在盤(pán)片上存儲(chǔ)的可執(zhí)行代碼其自身是無(wú)害的�����。 即使當(dāng)該代碼加載到存儲(chǔ)器中��,其仍然不產(chǎn)生傷害�����。僅當(dāng)該代碼執(zhí)行的 時(shí)候���,它才有機(jī)會(huì)產(chǎn)生傷害��。因此�����,如果可以找到識(shí)別將要被執(zhí)行的代 碼的方法�����,則可以完全省卻對(duì)存儲(chǔ)器的整個(gè)內(nèi)容進(jìn)行掃描�����,掃描文件系 統(tǒng)讀取和寫(xiě)入����,以及對(duì)惡意軟件搜索中整個(gè)文件系統(tǒng)的深度掃描。通過(guò) 識(shí)別將要執(zhí)行的代碼����,可以使掃描處理更加有效。
實(shí)施本發(fā)明的基礎(chǔ)在于對(duì)于計(jì)算設(shè)備而言�,使用中央處理單元 (CPU),其可以在包含可執(zhí)行代碼的存儲(chǔ)的那些部分以及僅包含數(shù)據(jù)
的那些部分之間進(jìn)行區(qū)分���;對(duì)于計(jì)算設(shè)備中的反病毒軟件而言�����,設(shè)置一 種機(jī)制,通過(guò)該機(jī)制����,包含代碼的一部分存儲(chǔ)器的內(nèi)容何時(shí)發(fā)生變化被 通知。
合適的處理器包括符合英國(guó)劍橋ARM plc所設(shè)計(jì)的ARM架構(gòu)版本6 (ARMv6)的處理器���,以及符合美國(guó)加利福尼亞Santa Clara的因特爾公 司所設(shè)計(jì)的因特爾IA-32的那些處理器�����。和很多其他結(jié)合了存儲(chǔ)器管理 功能的處理器一樣�����,這些CPU將可存取存儲(chǔ)器劃分為頁(yè)面����。然而,如 http:〃www.arm.com/pdfs/A:RMv6—Architecture.pdf以及 http:〃cache-ww.intel.com/cn/00/00/12/93/149307 149307.pdf所公開(kāi)的,頁(yè) 面可以被標(biāo)記為不可執(zhí)行�����,在此情況下��,它們不能用于執(zhí)行代碼�����。該ARM 架構(gòu)通過(guò)為存儲(chǔ)器的每個(gè)頁(yè)面設(shè)置XN比特來(lái)實(shí)現(xiàn)此目的��,其中XN表 示從不執(zhí)行(Execute Never)��,而因特爾通過(guò)設(shè)定執(zhí)行禁用比特來(lái)實(shí)現(xiàn) 對(duì)存儲(chǔ)器頁(yè)面的標(biāo)記���。
應(yīng)用注意到���,盡管因特爾公開(kāi)了提供執(zhí)行禁用比特以阻止惡意軟件 執(zhí)行數(shù)據(jù)頁(yè)面中的代碼����,很明顯其目的是防止惡意軟件偵測(cè)的攻擊�����,例 如堆棧和緩沖器溢出�����,但是如本發(fā)明所公開(kāi)的�����,在因特爾的公開(kāi)中沒(méi)有 任何使用此機(jī)制來(lái)改進(jìn)病毒掃描操作的效率并減輕病毒掃描操作中固有 的功率浪費(fèi)的暗示�����。
圖1示出了本發(fā)明的一種實(shí)施方式�����,用于該計(jì)算設(shè)備的操作系統(tǒng)將 支持此種類(lèi)型的不可執(zhí)行存儲(chǔ)器頁(yè)面��。在此實(shí)施方式中���,所有存儲(chǔ)器被 默認(rèn)標(biāo)記為不可執(zhí)行��,直到其需要執(zhí)行代碼為止�,即當(dāng)其明顯未被標(biāo)記 時(shí)標(biāo)記為可執(zhí)行�����?�?梢钥吹?, 一旦實(shí)現(xiàn)此種未被標(biāo)記,則即刻的效果 是用于病毒檢查的掃描搜索空間極大地減少����,因?yàn)橹挥心切┍粯?biāo)記為可 執(zhí)行的存儲(chǔ)器頁(yè)面才需要就基于本機(jī)碼的病毒進(jìn)行掃描。仍然被標(biāo)記為 不可執(zhí)行頁(yè)面的存儲(chǔ)器頁(yè)面可以被忽略�����,因?yàn)樗麄儼拇a不能運(yùn)行 并且引起惡意傷害�。
然而,本發(fā)明另 一 實(shí)施方式是提供一種用于當(dāng)存儲(chǔ)器的可執(zhí)行頁(yè)面 其中之 一 的內(nèi)容改變時(shí)直接或通過(guò)操作系統(tǒng)來(lái)通知反病毒軟件的機(jī)制�����; 這使得能夠僅當(dāng)必要的時(shí)候才對(duì)存儲(chǔ)器進(jìn)行重新掃描,并且由此最小化 了對(duì)完整存儲(chǔ)器掃描的需要�。
有多個(gè)方式來(lái)實(shí)現(xiàn)該通知機(jī)制。兩個(gè)(但不排他)建議方法如下 1. 交互在圖2中示出了該方法��,并且該方法利用如下事實(shí)��,即很 多處理器���,包括如上所述的ARM以及因特爾架構(gòu)���,附加地能夠?qū)⒋鎯?chǔ)器 頁(yè)面標(biāo)記為寫(xiě)保護(hù),或只讀���。向計(jì)算設(shè)備上的客戶端應(yīng)用提供應(yīng)用編程 接口 (API),其中該客戶端應(yīng)用必須調(diào)用將要分配的存儲(chǔ)器區(qū)域�,從而 起可以在設(shè)備上運(yùn)行�。在此實(shí)施方式中,當(dāng)分配了存儲(chǔ)器區(qū)域時(shí)�����,與此 同時(shí)��,對(duì)于所關(guān)注的存儲(chǔ)頁(yè)面�,不可執(zhí)行比特凈皮關(guān)閉(toggle off)而寫(xiě) 保護(hù)比特被打開(kāi)(toggle on)。因此����,所使用的存儲(chǔ)的所有頁(yè)面處于可 寫(xiě)入或可執(zhí)行狀態(tài)頁(yè)面不可以同時(shí)處于可寫(xiě)入和可執(zhí)行,并且因此設(shè) 備將不允許對(duì)可執(zhí)行頁(yè)面進(jìn)行寫(xiě)入�����。因此�,可能包含惡意代碼的客戶端 應(yīng)用可以被寫(xiě)入到所要求的頁(yè)面中,因?yàn)樗麄円呀?jīng)被切換為"可寫(xiě)入"��。 然而�����,當(dāng)客戶端應(yīng)用請(qǐng)求任何頁(yè)面從可寫(xiě)入切換到可執(zhí)行的時(shí)候��,頁(yè)面 立刻被標(biāo)記為只讀����,并且被添加到待掃描列頁(yè)面列表中。只有當(dāng)反病毒 軟件成功完成其掃描之后�����,客戶端API調(diào)用才返回。如果掃描結(jié)果為清 潔���,則頁(yè)面接下來(lái)被標(biāo)記為可才丸行以及只讀�,從而所關(guān)注頁(yè)面中的客戶 端代碼可以在設(shè)備上運(yùn)行�����,但不可寫(xiě)入新的代碼�����,因?yàn)轫?yè)面被標(biāo)記為只 讀����。然而,如果掃描檢測(cè)到任何可疑代碼�,則狀態(tài)改變將失敗,并且頁(yè) 面將返回被標(biāo)記為可寫(xiě)入和不可執(zhí)行��?���?蛇x地,然后可以清除存儲(chǔ)器頁(yè) 面的整個(gè)內(nèi)容���。
對(duì)于大多數(shù)計(jì)算機(jī)設(shè)備上的大多數(shù)現(xiàn)存軟件����,程序加載器是僅有的 需要被修改以使用上述API的實(shí)體��。任何繞過(guò)該程序加載器的企圖將不 可避免地失敗�����,因?yàn)榇祟?lèi)企圖將嘗試執(zhí)行來(lái)自不可執(zhí)行頁(yè)面中的代碼�。
2. 響應(yīng)這要求一點(diǎn)都不改變API,并且確實(shí)允許向可執(zhí)行頁(yè)面進(jìn) 行寫(xiě)入��。然而���,無(wú)論何時(shí)對(duì)可執(zhí)行頁(yè)面進(jìn)行了修改���,通過(guò)操作系統(tǒng)內(nèi)核
(kernel)來(lái)通知病毒掃描器,并且其接下來(lái)著手進(jìn)行頁(yè)面掃描�。如果發(fā) 現(xiàn)惡意代碼,則掃描器將其指示設(shè)定不可執(zhí)行頁(yè)面標(biāo)志的內(nèi)核(并可選 地清除頁(yè)面的內(nèi)容)����。為了更好的響應(yīng)���,如果沒(méi)有執(zhí)行可疑代碼的風(fēng)險(xiǎn) 的話,則掃描可以異步地進(jìn)行����;如果任何線程企圖在成功完成掃描之前 執(zhí)行該頁(yè)面中的代碼,則操作系統(tǒng)內(nèi)核可以將該線程掛起����。
響應(yīng)模式的實(shí)現(xiàn)可以通過(guò)在存儲(chǔ)器管理器中設(shè)定特殊的例外句柄
(handler),其可以在有任何企圖對(duì)可執(zhí)行頁(yè)面的內(nèi)容進(jìn)行修改時(shí)觸發(fā) 中斷���;所建議的機(jī)制對(duì)于本領(lǐng)域技術(shù)人員是熟知的��,因?yàn)槠渑c頁(yè)面默認(rèn)
相似���。然而,通知的其他方法也是可行的����,并且本發(fā)明并不受所建議機(jī) 制的限制。
上述實(shí)施方式僅提供用于示意目的而不只旨在于將本發(fā)明限制在特 定的實(shí)施方式中。本發(fā)明可以以很多方式來(lái)實(shí)施�����,并且可以實(shí)施在4艮多 不同的操作系統(tǒng)和不同的計(jì)算設(shè)備上����,而不脫離這里所公開(kāi)的本發(fā)明的范圍����。
從以上描述中可以看到,通過(guò)使用本發(fā)明產(chǎn)生了若干有益效果 文件掃描變得幾乎多余(redundant)
掃描所有可以被執(zhí)行的代碼��,并且這些代碼可以被證實(shí)為抗惡意
軟件�����;其不需要掃描�,除非存儲(chǔ)器頁(yè)面被寫(xiě)入。
這消除了文件系統(tǒng)病毒掃描鉤子程序(hook)所帶來(lái)的安全風(fēng)險(xiǎn)
和低效率����。
只需要對(duì)被標(biāo)記為可執(zhí)行的存儲(chǔ)器進(jìn)行掃描。
病毒掃描器不需要意識(shí)到二進(jìn)制文件格式中的任何變化���,或在其 上使用的任何壓縮算法中的變化���。
自修改病毒代碼將自動(dòng)地受制于完全相同的重新掃描要求
存儲(chǔ)器掃描API不將相同的安全風(fēng)險(xiǎn)或開(kāi)銷(xiāo)表現(xiàn)為文件系統(tǒng)插件�����。 通過(guò)RAM頁(yè)面可以對(duì)很多處理可見(jiàn)的事實(shí)�����,其調(diào)用相對(duì)不頻繁(可執(zhí)行 代碼的加載遠(yuǎn)比對(duì)盤(pán)片的存取要不頻繁)并且可以通過(guò)跨越存儲(chǔ)器界限 來(lái)有效地實(shí)現(xiàn)���。API誤用的結(jié)果正好是服務(wù)的拒絕(拒絕代碼被加載) 而不是自由的文件系統(tǒng)存取。只需要向存儲(chǔ)器披露可執(zhí)行代碼�,而不是 每個(gè)曾經(jīng)加載的文件。
以及效用和可靠性方面的收益���、通過(guò)本發(fā)明節(jié)約功率所獲得的額 外效率收益���;對(duì)于電池操作的設(shè)備,這延長(zhǎng)了一組電池或單次充電的使 用�,同時(shí)針對(duì)所有計(jì)算設(shè)備的功率節(jié)約直接轉(zhuǎn)換為較少的能量浪費(fèi),較 少的全球變暖以及較少的環(huán)境污染����。
盡管已經(jīng)參考特定實(shí)施方式對(duì)本發(fā)明進(jìn)行了描述�,但需要意識(shí)到�����, 可以實(shí)施各種修改�,同時(shí)仍然保留在所附權(quán)利要求書(shū)所限定的本發(fā)明的 范圍中。
權(quán)利要求
1.一種操作計(jì)算設(shè)備的方法���,其中,所述設(shè)備通過(guò)以下方式來(lái)防護(hù)于可執(zhí)行惡意軟件a.將可執(zhí)行程序從所述設(shè)備上的不可執(zhí)行存儲(chǔ)器分離�����;以及b.僅允許執(zhí)行來(lái)自于可執(zhí)行存儲(chǔ)器的任何代碼����;以及c.使用第一軟件實(shí)體,所述第一軟件實(shí)體能夠就惡意軟件僅掃描所述設(shè)備上的可執(zhí)行存儲(chǔ)器���。
2. 根據(jù)權(quán)利要求1所述的方法���,其中����,所述計(jì)算設(shè)備上的存儲(chǔ)器包 括可以被設(shè)定為可執(zhí)行或不可執(zhí)行的頁(yè)面����。
3. 根據(jù)權(quán)利要求1或2所述的方法,其中���,所述第一軟件響應(yīng)于所描所述設(shè)備上的所述可執(zhí)行存儲(chǔ)器�����。
4. 根據(jù)權(quán)利要求3所述的方法��,其中���,所述通知是可執(zhí)行存儲(chǔ)器的 單個(gè)頁(yè)面已經(jīng)被改變,并且其中所述第一軟件實(shí)體通過(guò)僅對(duì)已經(jīng)發(fā)生改 變的頁(yè)面進(jìn)4亍掃描來(lái)進(jìn)4亍響應(yīng)�。
5. 根據(jù)權(quán)利要求4所述的方法,其中����,針對(duì)待掃描頁(yè)面的未處理的 通知或請(qǐng)求被保持在隊(duì)列中,直到它們可以被處理�����。
6. 根據(jù)權(quán)利要求3至5中任一項(xiàng)所述的方法,其中�,尋求執(zhí)行來(lái)自 被改變的可執(zhí)行存儲(chǔ)器的代碼的軟件應(yīng)用被阻止執(zhí)行來(lái)自被改變的可執(zhí) 行存儲(chǔ)器的代碼,直到已經(jīng)就惡意軟件對(duì)所述被改變存儲(chǔ)器進(jìn)行了掃描�����。
7. 根據(jù)權(quán)利要求6所述的方法����,其中,檢測(cè)被改變的可執(zhí)行頁(yè)面中 的惡意軟件使得尋求執(zhí)行其內(nèi)容的軟件應(yīng)用被中止����。
8. 根據(jù)權(quán)利要求6或7所述的方法�����,其中���,檢測(cè)被改變的可執(zhí)行頁(yè) 面中的惡意軟件使得將對(duì)被檢測(cè)為包含所述惡意軟件的存儲(chǔ)器進(jìn)行清 除�。
9. 根據(jù)權(quán)利要求2所述的方法�����,其中,所述計(jì)算設(shè)備被設(shè)置為可 寫(xiě)入存儲(chǔ)器不能被執(zhí)行�,并且可執(zhí)行存儲(chǔ)器不能被寫(xiě)入,并且其中�,使 得第二軟件實(shí)體能夠?qū)⑺龃鎯?chǔ)器中的頁(yè)面標(biāo)記為可寫(xiě)入或可執(zhí)行。
10. 根據(jù)權(quán)利要求9所述的方法��,其中�����,尋求執(zhí)行來(lái)自一個(gè)或多個(gè)可 寫(xiě)入存儲(chǔ)器頁(yè)面的代碼的軟件應(yīng)用請(qǐng)求所述第二軟件實(shí)體使所述頁(yè)面可 執(zhí)行��,并且所述第二軟件實(shí)體并不履行該請(qǐng)求�,直到所述第一軟件實(shí)體 已經(jīng)將所述頁(yè)面標(biāo)記為只讀并且已經(jīng)就惡意軟件了掃描所述頁(yè)面。
11. 根據(jù)權(quán)利要求10所述的方法�,其中,存儲(chǔ)器頁(yè)面中惡意軟件的 檢測(cè)使得所述存儲(chǔ)器頁(yè)面被標(biāo)記為可寫(xiě)入而不是可執(zhí)行�。
12. 根據(jù)權(quán)利要求10或11所述的方法,其中�����,存儲(chǔ)器頁(yè)面中惡意軟 件的檢測(cè)使得中止尋求執(zhí)行其內(nèi)容的軟件應(yīng)用���。
13. 根據(jù)權(quán)利要求10-12中任一項(xiàng)所述的方法�����,其中�����,存儲(chǔ)器頁(yè)面中 惡意軟件的檢測(cè)使得將所述頁(yè)面的內(nèi)容清除�。
14. 一種操作計(jì)算設(shè)備的方法,包括根據(jù)權(quán)利要求3-8中任一項(xiàng)所述 的方法與根據(jù)權(quán)利要求9-13中任一項(xiàng)所述的方法的結(jié)合��。
15. —種計(jì)算設(shè)備�,其被編程以實(shí)現(xiàn)根據(jù)權(quán)利要求1-14中任一項(xiàng)所 述的方法。
16. —種操作系統(tǒng)��,其用于使計(jì)算設(shè)備按照根據(jù)權(quán)利要求1-14中任 一項(xiàng)所述的方法來(lái)執(zhí)行�����。
全文摘要
一種掃描計(jì)算設(shè)備的存儲(chǔ)器中的病毒的方法��,其中僅需要對(duì)被標(biāo)記為可執(zhí)行的存儲(chǔ)器頁(yè)面進(jìn)行掃描����。可以通過(guò)將頁(yè)面從可寫(xiě)入改變?yōu)榭蓤?zhí)行的API�����,或者通過(guò)已經(jīng)對(duì)可執(zhí)行頁(yè)面進(jìn)行了修改的內(nèi)核通知�����,來(lái)觸發(fā)掃描��。本發(fā)明的高效在于其使得很多先前的文件系統(tǒng)掃描成為多余���;這節(jié)省了功率�����,并使得設(shè)備執(zhí)行更快��。其還更加安全���,因?yàn)槠錂z測(cè)其他方法所不能達(dá)到的病毒,并且在執(zhí)行點(diǎn)這樣做�。
文檔編號(hào)G06F21/56GK101341491SQ200680048364
公開(kāi)日2009年1月7日 申請(qǐng)日期2006年12月20日 優(yōu)先權(quán)日2005年12月20日
發(fā)明者喬納森·狄克遜 申請(qǐng)人:西姆畢恩軟件有限公司