[发明专利]使用声誉指示符来促进恶意软件扫描的系统和方法

说明书

所描述的系统和方法允许保护计算机系统使其免受诸如病毒、特洛伊木马和间谍软件等恶意软件影响。声誉管理器结合反恶意软件引擎而执行。所述声誉管理器根据由目标进程加载的一组可执行模块(诸如，共享库)的声誉来确定在所述计算机系统上执行的所述目标进程的声誉。所述反恶意软件引擎可经配置以采用进程特定协议来针对恶意软件扫描所述目标进程，所述协议根据进程声誉来选择。被信任为非恶意的进程可因此使用比未知或不受信任进程更宽松的协议来扫描。可执行模块的所述声誉可为静态的；模块声誉指示符可由远程声誉服务器存储和/或检索。进程声誉可为可动态改变的，即，由所述声誉管理器响应于进程生命周期和/或安全事件重复重新计算。

技术领域

本发明涉及用于保护计算机系统免受恶意软件影响的系统和方法。

背景技术

恶意软件(malicious software，也称为malware)在世界范围内影响大量计算机系统。恶意软件以其许多形式(诸如，计算机病毒、蠕虫、隐匿程序以及间谍软件)给数百万计算机用户带来严重的风险，从而使所述用户容易受到数据和敏感信息丢失、身份盗窃以及生产力损失等等的影响。

安全软件可用于检测感染用户的计算机系统的恶意软件，并额外地移除此恶意软件或停止此恶意软件的执行。在本领域中已知若干恶意软件检测技术。一些恶意软件检测技术依赖于恶意软件代理的代码段与指示恶意软件的标记库的匹配。其它常规方法检测恶意软件代理的一组指示恶意软件的行为。

安全软件可能给用户的计算机系统造成沉重的计算负担。恶意软件代理的增殖导致恶意软件检测例程、标记数据库以及行为探试程序的复杂性持续增大，这会进一步减慢反恶意软件运行。为降低计算成本，安全软件可并入有各种优化程序，但每一此程序通常处置特定情形或类别的恶意软件，并且无法良好地转变到新发现的恶意软件。

为跟上一组快速变化的威胁，强烈希望开发快速、稳健且可扩展的反恶意软件解决方案。

发明内容

根据一个方面，一种客户端系统包括经配置以执行目标进程的至少一个处理器，所述目标进程包括主要可执行模块的例子和共享库的例子，所述至少一个处理器经进一步配置以从服务器接收主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符，第一模块声誉指示符根据主要可执行模块的另一例子的行为而确定。服务器经配置以与包含所述客户端系统的多个客户端系统一起执行反恶意软件事务。所述至少一个处理器经进一步配置以响应于接收第一和第二模块声誉指示符而根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符，所述进程声誉指示符指示目标进程是否可能是恶意的。所述至少一个处理器经进一步配置以响应于确定目标进程的进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描，所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。

根据另一方面，一种服务器包括至少一个处理器，所述至少一个处理器经配置以确定主要可执行模块的第一模块声誉指示符和共享库的第二模块声誉指示符，所述第一模块声誉指示符根据主要可执行模块的例子的行为而确定。所述至少一个处理器经进一步配置以响应于确定第一和第二模块声誉指示符而将所述第一和第二模块声誉指示符传输到经配置以与服务器一起执行反恶意软件事务的多个客户端系统的客户端系统。所述客户端系统经配置以执行目标进程，所述目标进程包括第一共享库的另一例子和第二共享库的例子。所述客户端系统经进一步配置以根据第一和第二模块声誉指示符确定目标进程的进程声誉指示符，所述进程声誉指示符指示目标进程是否可能是恶意的。所述客户端系统经进一步配置以响应于确定进程声誉指示符而根据所述进程声誉指示符配置反恶意软件扫描，所述反恶意软件扫描由客户端系统执行以确定目标进程是否是恶意的。