[发明专利]用于外来代码检测的系统和方法

权利要求书

1.一种检测对执行外来代码的尝试的方法，包括：

基于关于包含在存储器的页面中的代码将被执行的可能性的标准来标识包含所述代码的所述存储器的页面；

验证所述代码是否满足完整性测试；

如果所述代码不满足所述完整性测试，则采取至少一个动作来防止代码执行；以及

对计算机系统事件处理器函数和指向计算机系统事件处理器函数的指针检查外来代码，每个事件处理器函数是响应于包括用户动作和/或系统事件的一事件而执行的，对每个事件处理器函数的检查包括：

检查指向该事件处理器函数的每个指针，以确定指针实际上指向该事件处理器函数而不是指向别处；

检查该事件处理器函数的任何外来代码渗入；

对该事件处理器函数检查任何引用外来代码的黑客侵入。

2.如权利要求1所述的方法，其特征在于，所述标准是引用所述页面的线程堆栈。

3.如权利要求2所述的方法，其特征在于，所述页面是随机选择的。

4.如权利要求2所述的方法，其特征在于，还包括所述线程堆栈引用的附加页面，其中所述附加页面邻近所述页面，其中所述附加页面是基于所述标准标识的、并由所述完整性测试验证、且如果所述附加页面上的代码不满足所述完整性测试则采取预防动作。

5.如权利要求1所述的方法，其特征在于，所述标准是将所述页面标识为被页入到物理存储器、以及调用要被页入的所述页面的任何调用代码的页面出错历史。

6.如权利要求1所述的方法，其特征在于，所述标准包括事件处理代码，其中可以基于用户事件、计算机系统事件或它们的组合中的任一个来调用所述事件处理代码。

7.如权利要求1所述的方法，其特征在于，所述标准包括由指令指针引用的页面。

8.如权利要求1所述的方法，其特征在于，所述标准包括包含动态链接库函数的页面。

9.如权利要求1所述的方法，其特征在于，所述完整性测试包括检查所述页面的散列是否匹配一存储的散列。

10.如权利要求1所述的方法，其特征在于，所述防止代码执行的至少一个动作是以下之一：在某个随机时间点使得系统出错、使得一进程被终止并从存储器卸载、通知另一进程终止或改变行为、或者触发显示用户界面。

11.一种用于检测对执行外来代码的尝试的系统，包括：

基于关于包含在存储器的页面中的代码将被执行的可能性的标准来标识包含所述代码的所述存储器的页面的装置；

验证所述代码是否满足完整性测试的装置；

如果所述代码不满足所述完整性测试，则采取至少一个动作来防止代码执行的装置；以及

对计算机系统事件处理器函数和指向计算机系统事件处理器函数的指针检查外来代码的装置，每个事件处理器函数是响应于包括用户动作和/或系统事件的一事件而执行的，对每个事件处理器函数的检查包括：

检查指向该事件处理器函数的每个指针，以确定指针实际上指向该事件处理器函数而不是指向别处的装置；

检查该事件处理器函数的任何外来代码渗入的装置；

对该事件处理器函数检查任何引用外来代码的黑客侵入的装置。

12.如权利要求11所述的系统，其特征在于，所述标准是引用所述页面的线程堆栈。

13.如权利要求12所述的系统，其特征在于，所述页面是随机选择的。

14.如权利要求12所述的系统，其特征在于，还包括由所述线程堆栈引用的附加页面，其中所述附加页面邻近所述页面，其中所述附加页面是基于所述标准标识的、并由所述完整性测试验证、且如果所述附加页面上的代码不满足所述完整性测试则采取预防动作。

15.如权利要求11所述的系统，其特征在于，所述标准是将所述页面标识为被页入到物理存储器、以及调用要被页入的所述页面的任何调用代码的页面出错历史。

16.如权利要求11所述的系统，其特征在于，所述标准包括事件处理代码，其中可以基于用户事件、计算机系统事件或它们的组合中的任一个来调用所述事件处理代码。

17.如权利要求11所述的系统，其特征在于，所述标准包括由指令指针引用的页面。