[发明专利]恶意线程挂起的检测

权利要求书

1.一种计算装置，包括：

处理器；

存储器；以及

包括安全代理的一个或多个逻辑元件，其被配置成：

首先检测第一过程已启动第二过程并将第二过程置于已挂起状态，包括识别创建已挂起标志，并且还包括检测针对第二过程还没有发出“恢复”指令；

第二检测在将第二过程置于挂起状态后，第一过程已修改或尝试修改第二过程，包括检测第一过程已经修改导入地址表；

至少部分基于首先检测结合第二检测将第一过程分类为潜在恶意的；以及

采取补救行动。

2.根据权利要求1所述的计算装置，其中该安全代理还能够操作用于将该修改分类为非恶意的，并且许可第一过程执行。

3.根据权利要求1所述的计算装置，其中检测第一过程已将第二过程置于已挂起状态包括检测线程数计数器已经被设置成零。

4.根据权利要求1所述的计算装置，其中检测第一过程已将第二过程置于已挂起状态包括插入操作系统钩子。

5.根据权利要求1所述的计算装置，其中检测第一过程已将第二过程置于已挂起状态包括插入应用级别钩子。

6.根据权利要求1所述的计算装置，其中将该第一过程分类为潜在恶意的包括确定第一过程已重写第二过程的入口点。

7.根据权利要求1所述的计算装置，其中将该第一过程分类为潜在恶意的包括检测第一过程已在第二过程的入口点处或附近引入跳转或分支指令。

8.根据权利要求1所述的计算装置，其中将该第一过程分类为潜在恶意的包括检测第一过程已在第二过程上创建远程线程。

9.根据权利要求1所述的计算装置，其中将该第一过程分类为潜在恶意的包括提供操作系统或用户模式钩子。

10.根据权利要求1所述的计算装置，其中将该第一过程分类为潜在恶意的包括检测第一过程已启动一起对第二过程产生修改效果的多个过程。

11.一个或多个有形非临时计算机可读存储介质，其上存储有用于提供安全引擎的可执行指令，安全引擎被配置成：

首先检测第一过程已启动第二过程并将第二过程置于已挂起状态，包括识别创建已挂起标志，并且还包括检测针对第二过程还没有发出“恢复”指令；

第二检测在将第二过程置于挂起状态后，第一过程已修改或尝试修改第二过程，包括检测第一过程已经修改导入地址表；

至少部分基于首先检测结合第二检测将第一过程分类为潜在恶意的；以及

采取补救行动。

12.根据权利要求11所述的一个或多个有形非临时计算机可读存储介质，其中检测第一过程已将第二过程置于已挂起状态包括检测线程数计数器已经被设置成零。

13.根据权利要求11所述的一个或多个有形非临时计算机可读存储介质，其中检测第一过程已将第二过程置于已挂起状态包括插入操作系统钩子。

14.根据权利要求11所述的一个或多个有形非临时计算机可读存储介质，其中检测第一过程已将第二过程置于已挂起状态包括插入应用级别钩子。

15.根据权利要求11所述的一个或多个有形非临时计算机可读存储介质，其中将该第一过程分类为潜在恶意的包括确定第一过程已重写第二过程的入口点。

16.根据权利要求11所述的一个或多个有形非临时计算机可读存储介质，其中将该第一过程分类为潜在恶意的包括检测第一过程已在第二过程的入口点处或附近引入跳转或分支指令。