技術領域

本公開內容涉及數據認證和驗證。

背景技術

在計算機包含病毒或特洛伊木馬時，可執行文件(例如二進制映像、目標代碼、便攜式可執行文件(PE)、宏、類Visual?Basic腳本(VBS)的腳本等)在計算機上運行是危險的。病毒是特別是在違反用戶意愿且用戶不知情時更改盤上的二進制映像的程序或代碼。病毒也可自己復制。可不斷復制自己的簡單病毒相對易于生成。即使是簡單的病毒也是危險的，因為它們可迅速地使用所有可用存儲器并使系統中斷。一些病毒能在網絡上傳送自己并繞過安全系統。與病毒不同，特洛伊木馬不復制自己但它們會是破壞性的，從而常常冒充可由信任用戶啟動的良性應用程序。一類特洛伊木馬是聲稱使計算機擺脫病毒、但相反將病毒引入計算機的程序。

一種識別已遭病毒或特洛伊木馬破壞的可執行代碼的方法包括在將可執行文件安裝或下載到計算設備上時使用受信任的密碼散列。密碼散列或簡稱散列將可執行文件編譯成簡化形式或摘要。受信任散列被稱為好的代碼，或在創建散列時(在構建時)表示未遭破壞的代碼。為了產生可執行文件(即二進制映像、可執行代碼、腳本、宏等)的受信任散列，對包括諸如數據的關聯資源的可執行文件執行報文摘要或校驗和計算，以在從一個位置到另一個位置傳送可執行文件之前獲得第一受信任結果(例如在構建時)。對所傳送的可執行文件進行相同的計算以獲得第二結果。該第一受信任結果與第二結果作比較，以確定所接收到的可執行文件是原來發送的相同數據。例如，如果前后計算結果相匹配，則所接收的數據可能是準確的。否則，所接收到的可執行文件已遭破壞。這樣，可有效地降低下載或安裝遭破壞二進制映像的風險。

盡管在安裝時驗證文件的常規技術減少了安裝與受信任散列相關聯的文件的風險，但這些常規技術不會降低從不受信任源安裝文件(例如無受信任散列或文件簽名)、在文件已被安裝到計算設備上之后執行文件、或執行作為基本輸入輸出系統(BIOS)一部分的文件的風險。與將文件從不受信任源安裝到計算系統相關聯的問題是眾所周知的。更糟糕的是，在安裝時驗證完整性的文件可在安裝后遭到破壞，從而使得任何初始可信度驗證估算作廢。此外，當今的計算機系統沒有在受信任和可疑或惡意可執行對象代碼之間進行分辨的內在機制。在文件被載入BIOS固件內的情形中，當文件在引導操作期間被載入以便執行時，常規系統通常在此時沒有使足夠的代碼完整性校驗基礎結構到位(載入)，來作為引導過程的一部分在文件執行之前充分地對該文件執行代碼完整性校驗或任何其它類型的病毒、間諜軟件、或其它惡意軟件(malware)校驗。

發明內容

描述了用于確認可執行文件完整性的系統和方法。在一方面，這些系統和方法確定可執行文件正在被引入執行路徑。該可執行文件然后鑒于多重惡意軟件校驗自動地估算，以檢測該可執行文件是否表示一類惡意軟件。多重惡意軟件校驗被集成到沿執行路徑的操作系統可信度驗證過程中。

附圖說明

在附圖中，組件參考標號的最左位標識該組件首次出現的特定附圖。

圖1示出用于驗證可執行文件的可信度的一個示例性系統。

圖2示出用于驗證可執行文件的可信度的一個示例性過程。

圖3示出適當計算環境的一個示例，在該計算環境中用于驗證可執行文件的可信度的系統和方法可完整或部分地實現。

具體實施方式

縱覽

用于驗證可執行文件的可信度的系統和方法通過提供集成到操作系統(OS)中的綜合性可信度驗證工具解決了常規代碼完整性校驗技術和獨立(非集成)惡意軟件校驗的限制。該可信度驗證工具包括在可執行文件被載入到系統中時、以及在代碼被映射到存儲器中以便執行時自動調用的多個可信度驗證器。這些可信度驗證器各自確定可執行代碼是否來自受信任源(例如由受信任證書權威機構簽名的代碼)、并進一步估算該可執行代碼以找出特洛伊木馬(代碼完整性)、病毒、間諜軟件、和/或其它類型的已知惡意軟件。已知的惡意軟件是與已知惡意軟件簽名或其它已知惡意軟件特征相關聯的惡意軟件。