用于处理恶意软件的方法和装置
2020-01-15

用于处理恶意软件的方法和装置

本发明的一个方面提供一种将计算机对象分类为恶意软件的方法,包括在基计算机处从多个远程计算机中的每一个接收关于计算机对象的数据,该对象或类似对象存储在远程计算机上。在基计算机中,比较从多个计算机接收的关于计算机对象的数据。根据所述比较,将计算机对象分类为恶意软件。在一个实施例中,关于计算机对象的数据包括以下中的一个或多个:包含在对象内或者由所述对象组成的可执行指令;对象的大小;对象的名称;对象在各个远程计算机上的对象逻辑存储位置或路径;对象的销售商;与对象相关联的软件产品和版本;以及当创建、配置对象或对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件。

对象的签名可W包括掩码或与掩码相关,可W使用该对象建立该掩码并且其指示了该对象期望的特定类型的行为。如果允许对象在远程计算机2上运行,则即使初始签名捜索22指示对象是安全的,那么可W在掩码的参数内监控该对象的操作。掩码可W例如指示期望的对象行为;该对象合理地必须进行的、或调用呼叫远程计算机2进行的因特网连接或任何外部请求,包括可能请求开放W允许此类通信的任何端口或接口的细节;可W期望由该对象查询的任何数据库,不论是本地数据库还是局域网、广域网或因特网上的数据库;等等。因此掩码可W给出该对象的期望的"正常"行为的整体描述。

技术领域

在关于所述第一计算机对象的关键字中识别一个部分,该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中;W及,

该方法可W包括将关于受信任安装者的数据下载到计算机,在安装期间参考所述关于受信任安装者的数据,W便关于受信任安装者或由受信任安装者创建的任何对象是自动授权进行的。运便于安装已经受信任的软件。

可W由运行在远程计算机上的所谓的代理软件执行的方法允许向基计算机有效地发送数据,其最小化了数据传输和存储要求,并且还允许在基计算机处进行快速分析。

对象1删除程序对象4对象1执行对象2对象2创建注册关键字对象4

该计算机被构建和安排为在关于所述第一计算机对象的关键字中识别一个部分,该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中;W及

运些系统很好地用于防止已知的恶意对象。然而,由于它们依靠生成和/或更新的签名文件,所W在一个新的恶意软件开始存在或发布与生成或更新用于与恶意软件进行战斗的签名并且将其提供给用户之间存在着不可避免的延迟。因此,用户在一个特定时间段内处于来自于新的恶意软件的风险中,该特定时间段可能高达一周甚至更长。而且,为了尽量击败反病毒产品,恶意软件编写者使用混淆(obfuscation)技术从而试图隐藏病毒代码的签名或签名基础数据W防止检测。通常地,混淆包括加密或对病毒代码打包。

W关键字的形式发送的数据,该关键字通过关于各个远程计算机上的对象执行的哈希进程获得。

-种诸如反病毒扫描软件的典型反恶意软件产品扫描对象或应用于对象的算法结果或其部分,从而在已知指示存在病毒的对象中查找签名(signature)。通常地,处理恶意软件的方法:当新型恶意软件例如经由因特网发布时,最终检测运些恶意软件。一旦检测到新的恶意软件条目,那么该领域中的服务提供商生成试图处理运些恶意软件的签名,并且然后将运些签名发布W更新他们的反恶意软件程序。还使用了启发式化euristic)方法。

运些文档中公开的技术可W在希望详细分析文件时,用在运里的上下文中。然而,更一般地,运些文章中公开的技术并且尤其是US60/789156中公开的增强技术可W用于当运行在计算机上时提供关于文件活动的信息,因为运些文章中公开的技术模拟了文件的运行并且因此允许对文件的活动进行解释。