所描述的系統和方法允許保護計算機系統使其免受諸如病毒、特洛伊木馬和間諜軟件等惡意軟件影響。聲譽管理器結合反惡意軟件引擎而執行。所述聲譽管理器根據由目標進程加載的一組可執行模塊(諸如，共享庫)的聲譽來確定在所述計算機系統上執行的所述目標進程的聲譽。所述反惡意軟件引擎可經配置以采用進程特定協議來針對惡意軟件掃描所述目標進程，所述協議根據進程聲譽來選擇。被信任為非惡意的進程可因此使用比未知或不受信任進程更寬松的協議來掃描。可執行模塊的所述聲譽可為靜態的；模塊聲譽指示符可由遠程聲譽服務器存儲和/或檢索。進程聲譽可為可動態改變的，即，由所述聲譽管理器響應于進程生命周期和/或安全事件重復重新計算。

技術領域

本發明涉及用于保護計算機系統免受惡意軟件影響的系統和方法。

背景技術

惡意軟件(malicious software，也稱為malware)在世界范圍內影響大量計算機系統。惡意軟件以其許多形式(諸如，計算機病毒、蠕蟲、隱匿程序以及間諜軟件)給數百萬計算機用戶帶來嚴重的風險，從而使所述用戶容易受到數據和敏感信息丟失、身份盜竊以及生產力損失等等的影響。

安全軟件可用于檢測感染用戶的計算機系統的惡意軟件，并額外地移除此惡意軟件或停止此惡意軟件的執行。在本領域中已知若干惡意軟件檢測技術。一些惡意軟件檢測技術依賴于惡意軟件代理的代碼段與指示惡意軟件的標記庫的匹配。其它常規方法檢測惡意軟件代理的一組指示惡意軟件的行為。

安全軟件可能給用戶的計算機系統造成沉重的計算負擔。惡意軟件代理的增殖導致惡意軟件檢測例程、標記數據庫以及行為探試程序的復雜性持續增大，這會進一步減慢反惡意軟件運行。為降低計算成本，安全軟件可并入有各種優化程序，但每一此程序通常處置特定情形或類別的惡意軟件，并且無法良好地轉變到新發現的惡意軟件。

為跟上一組快速變化的威脅，強烈希望開發快速、穩健且可擴展的反惡意軟件解決方案。

發明內容

根據一個方面，一種客戶端系統包括經配置以執行目標進程的至少一個處理器，所述目標進程包括主要可執行模塊的例子和共享庫的例子，所述至少一個處理器經進一步配置以從服務器接收主要可執行模塊的第一模塊聲譽指示符和共享庫的第二模塊聲譽指示符，第一模塊聲譽指示符根據主要可執行模塊的另一例子的行為而確定。服務器經配置以與包含所述客戶端系統的多個客戶端系統一起執行反惡意軟件事務。所述至少一個處理器經進一步配置以響應于接收第一和第二模塊聲譽指示符而根據第一和第二模塊聲譽指示符確定目標進程的進程聲譽指示符，所述進程聲譽指示符指示目標進程是否可能是惡意的。所述至少一個處理器經進一步配置以響應于確定目標進程的進程聲譽指示符而根據所述進程聲譽指示符配置反惡意軟件掃描，所述反惡意軟件掃描由客戶端系統執行以確定目標進程是否是惡意的。

根據另一方面，一種服務器包括至少一個處理器，所述至少一個處理器經配置以確定主要可執行模塊的第一模塊聲譽指示符和共享庫的第二模塊聲譽指示符，所述第一模塊聲譽指示符根據主要可執行模塊的例子的行為而確定。所述至少一個處理器經進一步配置以響應于確定第一和第二模塊聲譽指示符而將所述第一和第二模塊聲譽指示符傳輸到經配置以與服務器一起執行反惡意軟件事務的多個客戶端系統的客戶端系統。所述客戶端系統經配置以執行目標進程，所述目標進程包括第一共享庫的另一例子和第二共享庫的例子。所述客戶端系統經進一步配置以根據第一和第二模塊聲譽指示符確定目標進程的進程聲譽指示符，所述進程聲譽指示符指示目標進程是否可能是惡意的。所述客戶端系統經進一步配置以響應于確定進程聲譽指示符而根據所述進程聲譽指示符配置反惡意軟件掃描，所述反惡意軟件掃描由客戶端系統執行以確定目標進程是否是惡意的。