[发明专利]识别进程的恶意运行有效
| 申请号: | 201580076733.6 | 申请日: | 2015-11-25 |
| 公开(公告)号: | CN107430662B | 公开(公告)日: | 2020-07-14 |
| 发明(设计)人: | G.W.达尔歇尔 | 申请(专利权)人: | 迈克菲有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 中国专利代理(香港)有限公司 72001 | 代理人: | 郑浩;郑冀之 |
| 地址: | 美国德*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 识别 进程 恶意 运行 | ||
1.至少一种非暂时性计算机可读介质,其包括一个或多个指令,所述指令在由至少一个处理器执行时,使得所述至少一个处理器执行以下操作:
拦截进程;
确定所述进程涉及特权资源或特权操作;
存储所述进程的运行剖析;
分析所述进程的每个栈帧中涉及的代码,以确定恶意活动以及所述进程是否涉及特权资源或特权操作,其中当每个栈帧展开时分析所述每个栈帧;
确定每个栈帧中涉及的代码的起源;
确定每个栈帧中涉及的代码是否是可信的,其中,如果代码驻留在可写的存储器中或者如果代码驻留在作为栈帧的一部分的存储器中,则所述代码是不可信的;
基于对代码的可信的确定,持久化在多个会话之间的数据,其中持久化在多个会话之间的数据包括在存储器的受保护区域中将至少一部分数据持久化;以及
基于确定所述代码不可信而触发安全违规。
2.根据权利要求1所述的至少一种非暂时性计算机可读介质,进一步包括一个或多个指令,当由至少一个处理器执行时,所述指令还使得所述至少一个处理器执行以下操作:
确定对于所述进程所涉及的所述代码是否由可信源签名。
3.根据权利要求1所述的至少一种非暂时性计算机可读介质,进一步包括一个或多个指令,当由至少一个处理器执行时,所述指令还使得所述至少一个处理器执行以下操作:
确定所述代码是否匹配可信的可运行进程的散列。
4.根据权利要求1所述的至少一种非暂时性计算机可读介质,进一步包括一个或多个指令,当由至少一个处理器执行时,所述指令还使得所述至少一个处理器执行以下操作
确定所述进程的存储器中映像是否匹配所述进程的磁盘上映像。
5.根据权利要求1所述的至少一种非暂时性计算机可读介质,进一步包括一个或多个指令,当由至少一个处理器执行时,所述指令还使得所述至少一个处理器执行以下操作:
将行为事件与存储器中行为事件进行比较,以确定所述进程是否示出篡改的证据。
6.一种用于识别进程的恶意运行设备,包括:
存储器;
硬件处理器,其配置成:
拦截进程;
确定所述进程涉及特权资源或特权操作;
存储所述进程的运行剖析;
分析所述进程的每个栈帧中涉及的代码,以确定恶意活动以及所述进程是否涉及特权资源或特权操作,其中当每个栈帧展开时分析所述每个栈帧;
确定每个栈帧中涉及的代码的起源;
确定每个栈帧中涉及的代码是否是可信的,
其中,如果代码驻留在可写的存储器中或者如果代码驻留在作为栈帧的一部分的存储器中,则所述代码是不可信的;
基于对代码的可信的确定,持久化在多个会话之间的数据,其中持久化在多个会话之间的数据包括在存储器的受保护区域中将至少一部分数据持久化;以及
基于确定所述代码不可信而触发安全违规。
7.根据权利要求6所述的设备,其中,所述处理器还配置成:
确定对于所述进程所涉及的所述代码是否由可信源签名。
8.根据权利要求6所述的设备,其中,所述处理器还配置成:
确定所述进程是否匹配可信的可运行进程的散列。
9.根据权利要求6所述的设备,其中,所述处理器还配置成:
确定所述进程的存储器中映像是否匹配所述进程的磁盘上映像。
10.根据权利要求6所述的设备,其中,所述硬件处理器还配置成:
将行为事件与存储器中行为事件进行比较,以确定所述进程是否示出篡改的证据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于迈克菲有限责任公司,未经迈克菲有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201580076733.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种移动升降式整机喷涂作业平台
- 下一篇:一种自动保护油缸的垃圾站翻转系统
