[发明专利]通过使用硬件资源来检测网络业务中的矛盾的根套件检测

说明书

一种允许检测试图隐藏网络业务的隐藏恶意程序的技术。通过监视在安全可信环境中的和在操作系统环境中的网络业务，然后比较监视的数据，可以检测到隐藏网络业务的企图，允许执行在计算机系统的恢复行为从而定位和移除隐藏网络业务的恶意程序的可能性。

技术领域

在此描述的实施例大体涉及恶意程序(malware)检测，并且具体地涉及检测试图从反恶意软件中隐藏网络业务的恶意程序。

背景技术

根套件(Rootkit)是一种秘密类型的设计用于在通常的检测方法中隐藏某些进程或者程序的存在的恶意软件(恶意程序)。Rootkit典型地能够实现对折衷系统的持续有特权的访问。当攻击者获得根(root)或者管理员访问时，Rootkit安装可以是自动的或者激活的。获得这一访问是利用已知的弱点对系统的直接攻击的结果，或者通过获得对密码(通过破解、权限升级或者社会工程)的访问。一旦被安装，Rootkit典型地尝试隐藏入侵并且保持其自己(或者其他进程)的有特权的访问。

Rootkit检测很困难，因为Rootkit能够破坏试图找到它的软件。检测方法包括使用替代的、可信的操作系统、基于行为的方法、签名扫描、差别扫描以及存储器转储分析。移除可以是非常复杂的或者在实践上不可能的，尤其是在Rootkit驻留在内核中的情况下。重新安装操作系统可能是唯一针对这一问题的有用的方法。当处理固件Rootkit时，移除可能需要硬件替换或者专门装置。

现代Rootkit不必提升访问，但是通常被用于通过增加隐藏能力来产生其他的不能够检测的软件有效负荷。由于它们携带的有效负荷是恶意的，所以大部分Rootkit被分类为恶意程序。例如，有效负荷可能会悄悄偷走用户密码、信用卡信息、计算资源，或者执行其他未授权的行为。极少数量的Rootkit被其用户认为有用的应用程序：例如，Rootkit可能掩盖CD-ROM-仿真驱动器，允许视频游戏用户来战胜需要将原始安装介质插入物理光驱动器中从而验证软件是正当购买的反盗版措施。

Rootkit可以在计算机环境的不同的特权级别或者模式中运行。用户模式Rootkit在与多数其他的用户应用程序相同的模式下运行，而不是低层系统进程。它们具有很多可能的安装向量从而拦截和修改应用编程接口(API)的标准行为。一些将动态链接库(例如.DLL文件、.dylib文件、.so文件或者.shlib文件)注入其他进程，并且因此能够在其中执行任何目标进程从而欺骗它。其他具有充足特权的仅仅覆盖目标应用的存储器。

内核模式Rootkit(零环)和/或驻留在虚拟层(有时被称为环-1)上的Rootkit通过增加代码或者替换核心操作系统部分以最高的操作系统特权来运行，核心操作系统包括内核和相关的装置驱动器。多数操作系统支持内核模式装置驱动器，其以与操作系统自身相同的特权来执行。如此，很多内核模式Rootkit被发展为装置驱动器或者可加载模块，例如可加载内核模块或者装置驱动器。这一类Rootkit具有不受限制的安全访问。内核Rootkit可能非常难被检测和移除，由于它们以与操作系统自身相同的安全等级来运行，并且因此能够拦截或者破坏多数可信的操作系统操作并且因此以类似秘密的方式将它们自己“隐藏”。隐藏它们在系统中的存在的Rootkit和其他恶意程序很难被在受感染的操作环境的范围内检测和清除。

附图说明

图1是示出了根据一个实施例的具有隐藏的网络业务的计算机网络的框图。

图2是示出了根据一个实施例的在以安全环境和不安全环境监视的网络业务之间的差别的图表。

图3是示出了根据一个实施例的用于检测Rootkit的计算机系统的框图。

图4是示出了根据一个实施例的用于检测恶意程序的技术的流程图。

图5是示出了根据另一个实施例的用于检测恶意程序的技术的流程图。

图6是示出了根据再一个实施例的用于检测恶意程序的技术的流程图。

具体实施方式