本發明提供了一種用于檢測計算設備上的惡意進程的計算機實現的方法，所述方法可包括：(i)識別計算設備上的一部分數據，所述一部分數據存儲在存儲器的不受限制部分并且在所述計算設備上運行進程時由所述進程訪問，(ii)分配所述計算設備內存儲器的受限制部分并且指示所述一部分數據位于存儲器的所述受限制部分，(iii)檢測在所述計算設備上運行的進程試圖使用意外訪問方法訪問存儲器的所述受限制部分中所述一部分數據，(iv)至少部分地基于所述進程試圖使用所述意外訪問方法訪問存儲器的所述受限制部分內的所述一部分數據，確定所述進程是惡意進程，并且(v)在所述計算設備上執行安全動作以防止所述惡意進程損害所述計算設備。

背景技術

攻擊者可以通過向設備上運行的進程中注入一小部分代碼(例如shellcode)來劫持或控制計算設備。例如，攻擊者可以將一部分代碼插入可執行文件中，該文件利用設備的安全缺陷打開命令外殼，攻擊者可以使用該命令外殼控制設備。由于這些攻擊的潛在有害后果(例如，未經授權分發敏感數據以及/或者用戶失去對計算設備的控制)，安全系統可能會試圖檢測和防止惡意利用計算設備上的進程。

遺憾的是，在其危害計算設備之前，用于檢測被利用的進程或其他惡意進程的傳統安全服務可能無法識別這些進程。例如，只有在進程已經執行了一個或多個可疑或危險行為之后，傳統安全技術才可確定該進程已被惡意利用。因此，本公開識別并解決了對用于檢測計算設備上的惡意進程的系統和方法的需求。

發明內容

如下面將更詳細描述的，本公開描述了用于檢測計算設備上的惡意進程的各種系統和方法。在一個示例中，用于執行此類任務的方法可以包括：(i)識別計算設備上的一部分數據，該部分數據存儲在存儲器的不受限制部分并且在計算設備上運行進程時由進程訪問，(ii)分配計算設備內存儲器的受限制部分并且指示該部分數據位于存儲器的受限制部分而不是實際存儲該部分數據的存儲器的不受限制部分，(iii)檢測在計算設備上運行的進程試圖使用意外訪問方法訪問存儲器的受限制部分中該部分數據，(iv)至少部分地基于進程試圖使用意外訪問方法訪問存儲器的受限制部分內的該部分數據，確定該進程是惡意進程，然后(v)在計算設備上執行安全動作以防止惡意進程損害計算設備。在一些實施方案中，安全動作可包括終止惡意進程并且/或者警告計算設備的管理員關于該惡意進程。

在一些示例中，識別計算設備上的該部分數據可包括識別由計算設備上的進程訪問的共享庫，以便在進程開始運行后立即執行初始任務。在這些示例中，識別共享庫可包括搜索進程環境塊(PEB)數據結構以識別共享庫的基本存儲器地址。另外在這些示例中，指示該部分數據位于存儲器的受限制部分中可包括用存儲器的受限制部分的存儲器地址重寫進程環境塊數據結構內共享庫的基本存儲器地址。

在一些實施方案中，檢測進程試圖訪問存儲器的受限制部分可包括注冊向量異常處理程序，以截取計算設備上運行的進程訪問存儲器的受限制部分的任何嘗試。另外，在一些示例中，檢測進程試圖使用意外訪問方法訪問存儲器的受限制部分可包括確定進程正在試圖使用應用編程接口(API)訪問存儲器的受限制部分，該應用編程接口未記錄為非惡意進程使用的API。

在一些實施方案中，該方法還可包括檢測在計算設備上運行的附加進程試圖使用預期訪問方法訪問存儲器的受限制部分中的該部分數據。在一個示例中，預期訪問方法可包括被記錄為由非惡意進程使用的API。在一些示例中，該方法還可包括至少部分地基于附加進程在試圖訪問存儲器的受限制部分內的該部分數據部分時使用預期訪問方法確定附加進程是非惡意的。在這些示例中，該方法可包括通過：(i)在指示該部分數據位于存儲器的受限制部分之前，識別并存儲存儲器的不受限制部分的存儲器地址，并且(ii)在檢測到非惡意進程試圖訪問存儲器的受限制部分內的該部分數據之后，向非惡意進程指示存儲器的不受限制部分的存儲器地址，從而允許非惡意進程訪問存儲器的不受限制部分內的該部分數據。