[发明专利]剖析代码执行

权利要求书

1.一种用于保护电子设备的系统，包括：

恶意软件访问规则逻辑的集合，包括：

对被监控的所述电子设备的多个实体的识别；

对在被监控的所述实体之间的一个或多个操作的识别；以及

对被监控的操作模式的识别；以及

处理器，其被配置为基于所述恶意软件访问规则逻辑的集合，生成通知：已经发生所述操作中的一个；

反恶意软件模块，其被配置为基于所述通知和所述操作模式，来判定所述操作是否指示恶意软件。

2.根据权利要求1所述的系统，其中，被监控的所述操作包括在所述实体之间的执行分支。

3.根据权利要求1所述的系统，其中，被监控的所述操作包括在所述实体之间的执行分支的方向。

4.根据权利要求1所述的系统，其中，被监控的所述操作包括指定距离的执行分支。

5.根据权利要求1所述的系统，其中，所述反恶意软件模块还被配置为，基于所述通知和所述操作模式来识别恶意软件访问规则逻辑的额外元素，所述恶意软件访问规则逻辑包括识别额外的实体、在实体之间的操作或被监控的操作模式。

6.根据权利要求1所述的系统，其中，所述通知包括异常。

7.根据权利要求1所述的系统，其中，所述模式包括已经执行所述操作的次数的枚举。

8.根据权利要求1所述的系统，其中，所述反恶意软件模块还被配置为基于所述通知和所述操作模式来执行所述操作的原因的签名检查。

9.根据权利要求1所述的系统，其中，被监控的所述操作包括指令指针改变。

10.根据权利要求1所述的系统，其中，被监控的所述操作包括指令取回。

11.根据权利要求1所述的系统，其中，被监控的所述操作包括在指令中测量的执行的持续时间。

12.一种用于保护电子设备的方法，包括：

基于恶意软件访问规则逻辑的集合来监控所述电子设备的执行，所述恶意软件访问逻辑的集合包括：

对被监控的所述电子设备的多个实体的识别；

对在被监控的所述实体之间的一个或多个操作的识别；以及

对被监控的操作模式的识别；

基于所述恶意软件访问规则逻辑的集合来生成通知：已经发生所述操作中的一个；以及

基于所述通知和所述操作模式来判定所述操作是否指示恶意软件。

13.根据权利要求12所述的方法，其中，被监控的所述操作包括在所述实体之间的执行分支。

14.根据权利要求12所述的方法，其中，被监控的所述操作包括在所述实体之间的执行分支的方向。

15.根据权利要求12所述的方法，其中，被监控的所述操作包括指定距离的执行分支。

16.根据权利要求12所述的方法，还包括：基于所述通知和所述操作模式，判定恶意软件访问规则逻辑的额外元素，所述恶意软件访问规则逻辑包括识别额外的实体、在实体之间的操作或被监控的操作模式。

17.根据权利要求12所述的方法，其中，所述通知包括处理器异常。

18.根据权利要求12所述的方法，其中，所述模式包括已经执行所述操作的次数的枚举。

19.根据权利要求12所述的方法，还包括：基于所述通知和所述操作模式来执行所述操作原因的签名检查。

20.根据权利要求12所述的方法，其中，被监控的所述操作包括指令指针改变。

21.根据权利要求12所述的方法，其中，被监控的所述操作包括指令取回。

22.根据权利要求12所述的方法，其中，被监控的所述操作包括在指令中测量的执行的持续时间。

23.至少一种机器可读存储介质，包括在所述计算机可读介质上承载的计算机可执行指令，所述指令能够由处理器读取，所述指令在被读取和执行时，用于使得所述处理器执行如权利要求12-22所述的方法。

24.一种用于保护电子设备的系统，包括用于执行权利要求12-22所述的方法的单元。