[发明专利]软件漏洞利用防护

说明书

本申请是2007年3月26日递交的申请号为200780018949.2、发明名称为“软件漏洞利用防护”的发明专利申请的分案申请。

相关申请的交叉引用：本申请要求2006年3月24日递交、题为“SOFTWARE VULNERABILITY EXPLOITATION SHIELD(软件漏洞利用防护)”的美国临时申请No.60/785,723的优先权和权益，该美国临时申请通过引用被整体包括在本文中。

背景

因特网是向数以亿计的计算机和使用者开放的庞大的计算网络。因特网的使用者群体一直参与到关于计算机安全漏洞(vulnerability)的探索、创新和对话中。

漏洞是一个软件中可以被“恶意代码”利用的弱点。一些使用者(“恶意分子(malefactor)”)设法使用恶意代码来利用漏洞。但是恶意代码的构造是不容易的。通常，只有非常有天赋的编程者能够编写在利用(exploit)给定漏洞中有效的恶意代码，并且通常编程者不得不经过一段冗长乏味的劳动来创建够格的(competent)恶意代码。

一般，当有天赋的编程者创建恶意代码的实例(example)时，他或者她在因特网上公开张贴(post)所述代码，从而包括恶意分子的其他人可以检查(inspect)、测试、评论和使用所述代码。在因特网使用者群体中，在利用任何具体漏洞中有效的恶意代码的实例通常数量稀少。单个恶意代码实例普遍被很多不同的恶意分子借鉴并使用，所述恶意分子将所述恶意代码实例并入(例如将其“剪切并粘贴”)到多种各异的包(package)中，例如被设计为进行“偷渡式下载(drive-by download)”的图像文件或者网站。他们还可以将其与很多不同的有效载荷(payload)(例如根套件(rootkit)或者按键记录器(keystroke logger))捆绑。

理论上，很多漏洞存在于很多复杂的软件产品内部，所述软件产品例如操作系统(例如微软公司所公布的)。然而，在研究者发现给定漏洞之前，该漏洞是未知的。所以，一旦发现特定漏洞，研究者自然倾向于通过谈论其或者尝试以公开可监控的方式利用其来公开分享该发现。特定漏洞的发现很少长时间被保密。新闻散布开去，并且在因特网公告板上和聊天室中或者从对新的利用的公共监控而变得可获得。

典型地，一旦受影响软件产品的公布者知悉漏洞，他们着手设计、编写、测试并发布(release)软件“补丁(patch)”来封堵该已知漏洞。然而，打补丁的过程伴随着延迟，并且因此出现“风险窗口”。

例如，当发布补丁时，公布者通过因特网下载或者其他分发方式(distribution)使其为计算机使用者可获得，从而他们可以在其计算机上安装所述补丁。对于运行有漏洞的(vulnerable)软件的计算机的拥有者来说，补丁的准备、分发和安装可能是一种令人痛苦的缓慢而麻烦的过程。例如，时间在软件公布者致力于补丁的同时流逝。随后，补丁的安装可能需要该拥有者部分的手动操作，可对于拥有成千上万台计算机的企业来说是一种负担。此外，例如企业的拥有者常常必须在其很多计算机上安装补丁前测试所述补丁，而补丁有时候将与其他应用的期望功能相冲突。如果公布者在发布补丁之后发现补丁有误而必须被召回、改写和重发，还可能流逝额外的时间。

当漏洞变得在群体中已知后，在计算机上的软件被打补丁之前，能够感染所述特定计算机的良好构造的恶意代码被开发并使用。恶意分子设法通过该风险窗口入侵，而一些编程者则竭力帮助他们。因此，一旦得知漏洞，有天赋的编程者通常争分夺秒地创建并公布恶意代码，以便使该风险窗口中可用的时间最大化。

到如今，很多类型的安全软件(例如防病毒软件)已经尝试了通过在二进制文件(即签名)中查找独特地标识该实例中编程代码的结构的字节序列来阻止特定的恶意代码实例。典型地，这样的对文件或其他代码的审查(examination)发生在开放式系统互连(OSI)模型的应用层。更具体地，对病毒的扫描是在文件被储存在文件系统后或者在文件被保持在计算系统上的存储器中时对所述文件进行的。尽管这些系统对于大多数病毒来说良好起效，但是通过使用被利用的漏洞，恶意代码可以在比应用层更深的等级上进入被定为目标的计算机(targeted computer)。这样，利用这些软件漏洞的恶意分子可以在典型的安全软件可以检测到恶意代码并采取行动之前使所述恶意代码被执行。

发明内容