[发明专利]恶意线程挂起的检测

说明书

在一个示例中，公开了一种具有一个或多个逻辑元件的计算装置，该逻辑元件提供可操作用于以下各项的安全代理：检测第一过程已启动第二过程并将第二过程置于已挂起状态；检测第一过程已被修改或已尝试修改第二过程；将该修改分类为潜在恶意的；以及采取补救行动。还公开了一种或多种其上存储有用于提供该安全代理的可执行指令的计算机可读存储介质，以及一种提供该安全代理的计算机可执行方法。

相关申请的交叉引用

本申请要求保护2015年6月27日提交的题为“DETECTION OF MALICIOUS THREADSUSPENSION”的美国非临时（实用新型）专利申请No.14/752,890的权益和优先权，通过引用将该申请以其整体合并于此。

技术领域

本公开内容总体上涉及计算机安全的领域，并且更特别地（但不排他地）涉及一种用于恶意线程挂起的检测的系统和方法。

背景技术

许多恶意软件作者的目标之一是通过将恶意软件指令附接到具有被提升特权的过程来攻击计算机系统。这可能允许恶意软件指令绕过防火墙、访问系统资源、更改权限、并启动其他过程。

发明内容

在一个示例中，公开了一种具有一个或多个逻辑元件的计算装置，该逻辑元件提供可操作用于以下各项的安全代理：检测第一过程已启动第二过程并将第二过程置于已挂起状态；检测第一过程已被修改或已尝试修改第二过程；将该修改分类为潜在恶意的；以及采取补救行动。还公开了一种或多种其上存储有用于提供该安全代理的可执行指令的计算机可读存储介质，以及一种提供该安全代理的计算机可执行方法。

附图说明

当随着附图阅读时根据下面的详细描述来最好地理解本公开内容。要强调的是，根据行业中的标准实践，各个特征不必要按照比例来绘制，并且仅被用于说明目的。在明确或隐含地示出标度的情况下，它仅提供一个说明性示例。在其他实施例中，为了清楚地讨论各个特征的尺度可以被任意增大或减小。

图1是根据本说明书的一个或多个示例的启用安全机制的网络的框图。

图2是根据本说明书的一个或多个示例的计算设备的框图。

图3是根据本说明书的一个或多个示例的服务器的框图。

图4是根据本说明书的一个或多个示例的过程生命周期的状态机的框图。

图5是根据本说明书的一个或多个示例的过程的破坏（subversion）的框图。

图6是根据本说明书的一个或多个示例的检测恶意活动的方法的流程图。

具体实施方式

下面的公开内容提供了用于实施本公开内容的不同特征的许多实施例或示例。为了简化本公开内容，在下面描述了部件和布置的具体示例。当然这些仅仅是示例并且不意图进行限制。此外，本公开内容可能重复各个示例中的参考数字和/或字母。该重复是为了简单且明了的目的并且不会以其自己来指示所讨论的各个实施例和/或配置之间的关系。

不同实施例可能具有不同优点，并且任何实施例都不一定需要特定优点。

恶意软件作者的一个主要关注点是在系统上授予他们的恶意软件程序被提升的特权。换句话说，如果一个过程本身在系统上没有足够的权限执行恶意软件作者认为的“有用的工作”，那么利用有多聪明或者它如何有效地将自己插入到该过程中都是无关紧要的。仅举一个示例，针对仅具有改变网页显示的权限的数据库驱动器的SQL注入攻击对于丑化网页可能是有用的，但是对于从后端数据库服务器收集特权信息可能不是有用的。因此，许多恶意软件作者希望将恶意指令注入特权过程中而不是仅仅是将恶意软件注入到非特权过程中。