[發明專利]用于檢測計算設備上的惡意進程的系統和方法有效
| 申請號: | 201780051579.6 | 申請日: | 2017-07-07 |
| 公開(公告)號: | CN109997138B | 公開(公告)日: | 2023-07-14 |
| 發明(設計)人: | P·費里 | 申請(專利權)人: | CA公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京律盟知識產權代理有限責任公司 11287 | 代理人: | 章蕾 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 檢測 計算 設備 惡意 進程 系統 方法 | ||
1.一種用于檢測計算設備上的惡意進程的計算機實現的方法,所述方法的至少一部分由包括至少一個處理器的計算設備執行,所述方法包括:
識別所述計算設備上的一部分數據,所述一部分數據存儲在存儲器的不受限制部分并且在所述計算設備上運行進程時由所述進程訪問;
分配所述計算設備內存儲器的受限制部分;
通過以下操作指示所述一部分數據位于存儲器的所述受限制部分而不是實際存儲所述一部分數據的存儲器的所述不受限制部分:
識別所述一部分數據的基本存儲器地址;以及
用存儲器的所述受限制部分的存儲器地址重寫所述一部分數據的所述基本存儲器地址;
檢測在所述計算設備上運行的進程試圖使用意外訪問方法訪問存儲器的所述受限制部分中的所述一部分數據;
至少部分地基于所述進程試圖使用所述意外訪問方法訪問存儲器的所述受限制部分內的所述一部分數據,確定所述進程是惡意進程;以及
在所述計算設備上執行安全動作以防止所述惡意進程損害所述計算設備。
2.根據權利要求1所述的方法,其中識別所述計算設備上的所述一部分數據包括識別由所述計算設備上的所述進程訪問的共享庫,以便在所述進程開始運行后立即執行初始任務。
3.根據權利要求2所述的方法,其中識別所述一部分數據的所述基本存儲器地址包括搜索進程環境塊數據結構以識別所述共享庫的基本存儲器地址。
4.根據權利要求1所述的方法,其中檢測所述進程試圖訪問存儲器的所述受限制部分包括注冊向量異常處理程序,以截取所述計算設備上運行的所述進程訪問存儲器的所述受限制部分的任何嘗試。
5.根據權利要求1所述的方法,其中檢測所述進程試圖使用所述意外訪問方法訪問存儲器的所述受限制部分包括確定所述進程正在試圖使用應用編程接口訪問存儲器的所述受限制部分,所述應用編程接口未記錄為非惡意進程使用的應用編程接口。
6.根據權利要求1所述的方法,還包括:
檢測在所述計算設備上運行的附加進程試圖使用預期訪問方法訪問存儲器的所述受限制部分中的所述一部分數據;
至少部分地基于所述附加進程試圖使用所述預期訪問方法訪問存儲器的所述受限制部分內的所述一部分數據,確定所述附加進程是非惡意進程;以及
允許所述非惡意進程訪問存儲器的所述不受限制部分內的所述一部分數據。
7.根據權利要求6所述的方法,其中檢測所述附加進程試圖使用所述預期訪問方法訪問存儲器的所述受限制部分包括確定所述附加進程正在試圖使用應用編程接口訪問存儲器的所述受限制部分,所述應用編程接口被記錄為非惡意進程使用的應用編程接口。
8.根據權利要求6所述的方法,其中允許所述非惡意進程訪問存儲器的所述不受限制部分內的所述一部分數據包括:
在指示所述一部分數據位于存儲器的所述受限制部分之前,識別并存儲存儲器的所述不受限制部分的存儲器地址;以及
在檢測到所述非惡意進程試圖訪問存儲器的所述受限制部分內的所述一部分數據之后,向所述非惡意進程指示存儲器的所述不受限制部分的所述存儲器地址。
9.根據權利要求1所述的方法,其中所述安全動作包括以下各項中的至少一項:
終止所述惡意進程;以及
警告所述計算設備的管理員關于所述惡意進程。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于CA公司,未經CA公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201780051579.6/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:安全的DRM不可知密鑰輪換
- 下一篇:利用基于散列的指紋檢測惡意軟件
