[发明专利]恶意软件保护

说明书

技术领域

本发明涉及一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。

背景技术

Malware是malicous software(恶意软件)的缩写，其用作一种术语，指示被设计为在未经所有者同意的情况下潜入计算机系统或破坏计算机系统的任何软件。恶意软件可以包括计算机病毒、蠕虫、特洛伊木马、后门、广告软件、间谍软件和任何其它恶意且讨厌的软件。

当设备被恶意软件程序感染时，因为感染可能创建讨厌的处理器活动、存储器使用和网络业务，所以用户经常会注意到讨厌行为和系统性能劣化。感染还可能会造成稳定性问题，从而导致应用程序或系统范围上的崩溃。受感染设备的用户可能错误地认为低性能是由软件缺陷或硬件问题导致的，从而采取不适当的补救措施，但实际原因却是用户没有意识到的恶意软件感染。此外，即使恶意软件感染不会在设备性能上造成可察觉的变化，其也可能会执行其它恶意功能，比如潜在地监视和窃取有价值的商业、个人和/或金融信息，或者劫持设备使得其用于一些非法目的。

许多终端用户使用防病毒软件来检测恶意软件，可能地，去除恶意软件。为了检测恶意软件文件，防病毒软件必须具有从设备上存在的所有其它文件中识别出恶意软件文件的方法。典型地，这需要防病毒软件具有包括“签名”或“指纹”的数据库，这些“签名”或“指纹”是各个恶意软件程序文件的特性。当防病毒软件的供应商识别到新的恶意软件威胁时，对威胁进行分析且产生这种威胁的签名。于是，恶意软件“已知”，并且其签名可以分发给终端用户以更新其本地防病毒软件数据库。

使用依靠签名扫描来检测恶意软件的方法仍然使计算机易受到签名还未被分析的“未知”恶意软件程序的攻击。为了解决这个问题，除了扫描恶意软件签名之外，大多数防病毒应用程序附加地采用启发式分析。这种方法包括一般规则的应用，旨在将任意恶意软件的行为与干净/合法程序区分开来。例如，监视PC上所有程序的行为，如果某程序试图将数据写入可执行程序，则防病毒软件可以将此行为标记为可疑行为。启发法可以基于诸如API调用、经由互联网发送数据的尝试等行为。

为了检测和/或分析恶意软件程序，通常有用的是在隔离的环境或测试系统(此外称为虚拟机或仿真器)中运行程序。虚拟机或仿真器包括模仿真实计算机系统的多种部件的功能的程序。例如，使用操作系统的计算机可以运行模仿操作系统提供的环境的虚拟机。这可以包括CPU、存储器、通信接口和任何关联硬件的仿真。通过在仿真环境中运行程序，任何恶意活动都可以被限制在虚拟环境中，而不会使底层计算机系统有风险。于是，可以观察仿真环境内的程序的行为，和用于将程序识别为恶意软件的任何恶意软件签名或恶意行为。此外，对于已经是恶意软件的程序或者怀疑是恶意软件的程序，防病毒工程师通常在仿真环境中运行该程序，以分析或“调试”其行为。这允许防病毒工程师对恶意软件程序进行反向工程，从而确定检测方法并为受程序感染的计算机杀毒。

因此，恶意软件创建者试图避免使用了仿真和/或调试技术的恶意软件检测和分析工具。为此，恶意软件创建者设计了对何时在仿真环境中执行和/或区域何时被调试进行检测的恶意软件。如果这种恶意软件程序确定其正在仿真环境中执行和/或正被调试，就会尽快终止或者改变行为以不执行任何恶意活动或可疑行为。

发明内容

本发明的目的在于，提供一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。

根据本发明的第一方面，提供了一种保护计算机系统免于遭受恶意软件的方法，当在仿真计算机系统中执行所述恶意软件时，所述恶意软件试图阻止检测或分析。所述方法包括：确定可执行文件是否应该被识别为合法的，如果不是，则执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。优选地，在非仿真计算机系统中执行该文件。

可以在计算机系统中执行所述确定可执行文件是否应该被识别为合法的步骤。备选地，计算机系统向服务器发送可执行文件或可执行文件的标识符，并从服务器接收对文件是否应该被识别为合法的加以指示的响应。

所述确定可执行文件是否应该被识别为合法的步骤可以包括以下任一项：

确定标识了合法可执行文件的数据库中是否包括所述可执行文件的标识符，如果是，则将所述可执行文件识别为合法的；

确定标识了违禁可执行文件的数据库中是否包括所述可执行文件的标识符，如果否，则将所述可执行文件识别为合法的；以及