在先申請

本申請要求于2013年4月26日提交的、2013119285號俄羅斯聯邦專利申請的優先權，并且通過引用將其并入本文。

技術領域

本發明總地涉及信息處理和通信技術，并且尤其涉及用于評估配置為在受信進程的地址空間中執行的一段代碼（即程序指令）是否包含惡意代碼的計算機安全裝置和方法。

背景技術

隨著計算機設備的應用領域的擴張，各種惡意程序的數目也在增長，諸如網絡蠕蟲、木馬程序和計算機病毒。一般地，惡意程序的目的是獲得對計算機系統的控制，以實施諸如竊取機密信息的動作。

用來檢測惡意程序的途徑之一涉及分析應用的行為。該途徑基于對由應用所調用的函數的攔截以及基于它們的后續研究。該研究發現各種可疑動作，諸如由非受信進程（例如從相對最近出現在系統中的文件所啟動的進程）對訪問系統文件的嘗試。

該類型的用于檢測惡意程序的常規途徑往往具有一個實質性缺陷。該缺陷歸因于以下事實：使用例如程序或操作系統漏洞的惡意代碼可以在受信進程的地址空間中實現以創建線程或以在現有進程的線程之中被啟動，其將代表該進程并且在該進程的特權級別上執行。在該情況下，由惡意代碼所發起的并且以上作為示例所論述的對訪問系統文件的嘗試將不被認為是可疑的，因為它將代表受信進程被執行。使用上述感染模式的惡意程序在本領域中被稱為“漏洞利用（exploit）”。

惡意代碼可以代表其被執行的受信進程的示例是svchost.exe——Microsoft操作系統家族中的、用于從動態庫所加載的服務的進程。在操作系統中，可以為在系統注冊表的特殊分區中所注冊的服務中的每一個啟動該進程的幾個拷貝。如果惡意程序成功注冊為這類服務，那么惡意程序代碼將在svchost.exe進程之一的地址空間中被執行。

瀏覽器進程可以被認為是傳統地由惡意程序所利用的受信進程的另一個示例。如果存在漏洞，則位于由用戶所訪問的頁面上的惡意代碼可以在瀏覽器進程的地址空間中被自動地下載并啟動。

已經提出了旨在檢測使用以上所論述的感染模式的惡意代碼的若干解決方案。

例如，在一種途徑中，如7,228,563號美國專利中所公開的，當調用危險函數（例如新進程創建函數）時，確定對該函數進行調用的代碼在存儲器中的地址。如果調用代碼不位于其中可執行代碼存儲被允許的存儲器區域中，則對函數的調用被視為可疑的并且被強行終止。非可執行的存儲器區域可以特別是進程的虛擬地址空間中的動態分配的存儲器的區域（堆）。該區域用來將由進程所動態創建的數據對象放置在為進程所分配的存儲器中。因為上面提到的區域包含數據，所以在該區域中的可執行代碼的存在是非典型的并且被視為是可疑的。

如在8,230,499號美國專利中所公開的，另一種途徑旨在檢測在瀏覽器進程的地址空間中執行的惡意代碼。在下載函數（例如UrlDownloadToFileA、UrlDownloadToFileW、UrlDownloadToCacheFileA和UrlDownloadToCacheFileW）的攔截處，確定所調用的函數的返回地址；如果返回地址位于堆中，則禁止下載。

應該注意，當使用上面提到的途徑時，如果惡意代碼位于地址空間的可執行區域中，則其將不會被檢測。另外，無例外地對所有進程進行危險函數的調用的驗證是耗資源的任務并且可以導致正在由用戶運行的應用的“凍結”。

因此存在對于在提供對惡意代碼的有效和高效的檢測的同時克服缺陷的解決方案的需要，所述缺陷諸如以上所論述的那些。

發明內容