技術領域

本發明主要涉及檢測惡意計算機程序，并且更具體地涉及檢測隱藏在程序中的程序指令。

背景技術

通常，計算機病毒和其他惡意軟件都是通過搜索與惡意軟件相關的各位(bit)的簽名模式來進行檢測的。設計病毒和其他類型的惡意軟件以避開病毒掃描軟件檢測的方法之一就是使其惡意代碼在存儲的可執行程序模塊中混淆或打亂為無法識別的格式。然后，在程序主動執行時，被打亂的代碼就自行整理為可執行代碼以使CPU能夠執行所述代碼。例如，惡意指令序列中的不同部分在開始執行之前能夠以不可操作和無法識別的形式在程序中散布和分段，并且在隨后的執行期間重新定位和組合以使其變為可操作。這種技術被稱作病毒混淆。混淆的病毒可以被設計為使得可能要在程序模塊執行若干次之后惡意代碼才能組合完畢并做好執行準備。本發明的目標是檢測混淆的惡意軟件。

發明內容

本發明的實施例提供了一種用于確定計算機存儲器內的計算機程序是否為惡意的系統、方法和程序產品。計算機程序包括一條或多條計算機程序指令，每一條計算機程序指令被定位在計算機存儲器內能夠由此開始執行的地址處。在執行計算機程序指令之前，計算機先在存儲器內識別出與計算機程序中一條或多條計算機程序指令的位置相對應的一個或多個地址。在執行計算機程序指令期間，計算機在計算機程序中識別出位于存儲器內另外地址處的另外的計算機程序指令，并且作為響應，計算機做出計算機程序具有惡意標記的指示。

在本發明的某些實施例中，執行計算機程序指令之前識別出的一條或多條計算機程序指令是在計算機程序中出現的一種或多種預定程序指令類型的計算機程序指令，并且在執行計算機程序指令期間識別出的其他程序指令是在計算機程序中出現的并非在執行之前識別出的一種或多種預定程序指令類型之一的計算機程序指令。

在本發明的另一些實施例中，一種或多種預定的程序指令類型至少包括生成程序指令的操作系統中斷類型。

在本發明的又一些實施例中，執行期間的識別由執行生成程序指令的操作系統中斷類型的計算機程序指令時調用的例行程序實施。

在本發明的又一些實施例中，計算機向計算機程序中插入自定義程序指令，自定義程序指令是生成程序指令的操作系統中斷類型。在執行計算機程序之前，計算機先在存儲器內識別出與一種或多種預定程序指令類型的計算機程序中所有的計算機程序指令的位置相對應的一個或多個地址。執行計算機程序指令期間，計算機在執行插入的自定義程序指令時在計算機程序中識別出位于存儲器內另外地址處的一種或多種預定程序指令類型之一的另外的計算機程序指令，并且作為響應，計算機做出計算機程序具有惡意標記的指示。

在本發明的又一些實施例中，給出計算機程序具有惡意標記的指示的計算機包括至少一種以下的功能：程序終止，程序暫停，生成警報，向日志文件內輸出條目。

在本發明的又一些實施例中，其他指令在執行之前被混淆，并且其他指令在執行期間被解除混淆。

附圖說明

圖1是根據本發明實施例的惡意軟件檢測系統的功能性方塊圖。

圖2是根據本發明實施例示出了圖1中惡意軟件檢測系統的一方面的步驟的流程圖。

圖3是圖2中流程圖的延續，示出了根據本發明實施例的惡意軟件檢測系統的一方面的步驟。

圖4是根據本發明實施例在圖1的計算設備內的硬件和軟件的方塊圖。

具體實施方式

現參照附圖詳細介紹本發明的實施例。

圖1是根據本發明實施例針對不受信任的程序102運行的惡意軟件檢測系統100的功能性方塊圖。在一個優選實施例中，惡意軟件檢測系統100包括全都在計算設備114內安裝和執行的執行前掃描模塊104、運行時掃描模塊106、感興趣的程序指令列表108、存儲器地址映射110以及處理可疑代碼的例行程序112。

在本發明的優選實施例中，計算設備114可以是大型機或小型機、筆記本電腦、平板電腦或手提式個人計算機(PC)或者臺式計算機。通常，正如參照圖4更詳細介紹的那樣，計算設備114可以是任意的可編程電子設備，具有能夠接收和服務來自主動運行的不受信任程序102的中斷請求的操作系統函數，用于加載不受信任程序102的加載函數，以及用于分別處理存儲和運行執行前掃描模塊104和運行時掃描模塊106的軟件要求的充足的易失性存儲器。