[发明专利]用于检测计算设备上的恶意进程的系统和方法有效
| 申请号: | 201780051579.6 | 申请日: | 2017-07-07 |
| 公开(公告)号: | CN109997138B | 公开(公告)日: | 2023-07-14 |
| 发明(设计)人: | P·费里 | 申请(专利权)人: | CA公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京律盟知识产权代理有限责任公司 11287 | 代理人: | 章蕾 |
| 地址: | 美国加利*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 检测 计算 设备 恶意 进程 系统 方法 | ||
1.一种用于检测计算设备上的恶意进程的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备执行,所述方法包括:
识别所述计算设备上的一部分数据,所述一部分数据存储在存储器的不受限制部分并且在所述计算设备上运行进程时由所述进程访问;
分配所述计算设备内存储器的受限制部分;
通过以下操作指示所述一部分数据位于存储器的所述受限制部分而不是实际存储所述一部分数据的存储器的所述不受限制部分:
识别所述一部分数据的基本存储器地址;以及
用存储器的所述受限制部分的存储器地址重写所述一部分数据的所述基本存储器地址;
检测在所述计算设备上运行的进程试图使用意外访问方法访问存储器的所述受限制部分中的所述一部分数据;
至少部分地基于所述进程试图使用所述意外访问方法访问存储器的所述受限制部分内的所述一部分数据,确定所述进程是恶意进程;以及
在所述计算设备上执行安全动作以防止所述恶意进程损害所述计算设备。
2.根据权利要求1所述的方法,其中识别所述计算设备上的所述一部分数据包括识别由所述计算设备上的所述进程访问的共享库,以便在所述进程开始运行后立即执行初始任务。
3.根据权利要求2所述的方法,其中识别所述一部分数据的所述基本存储器地址包括搜索进程环境块数据结构以识别所述共享库的基本存储器地址。
4.根据权利要求1所述的方法,其中检测所述进程试图访问存储器的所述受限制部分包括注册向量异常处理程序,以截取所述计算设备上运行的所述进程访问存储器的所述受限制部分的任何尝试。
5.根据权利要求1所述的方法,其中检测所述进程试图使用所述意外访问方法访问存储器的所述受限制部分包括确定所述进程正在试图使用应用编程接口访问存储器的所述受限制部分,所述应用编程接口未记录为非恶意进程使用的应用编程接口。
6.根据权利要求1所述的方法,还包括:
检测在所述计算设备上运行的附加进程试图使用预期访问方法访问存储器的所述受限制部分中的所述一部分数据;
至少部分地基于所述附加进程试图使用所述预期访问方法访问存储器的所述受限制部分内的所述一部分数据,确定所述附加进程是非恶意进程;以及
允许所述非恶意进程访问存储器的所述不受限制部分内的所述一部分数据。
7.根据权利要求6所述的方法,其中检测所述附加进程试图使用所述预期访问方法访问存储器的所述受限制部分包括确定所述附加进程正在试图使用应用编程接口访问存储器的所述受限制部分,所述应用编程接口被记录为非恶意进程使用的应用编程接口。
8.根据权利要求6所述的方法,其中允许所述非恶意进程访问存储器的所述不受限制部分内的所述一部分数据包括:
在指示所述一部分数据位于存储器的所述受限制部分之前,识别并存储存储器的所述不受限制部分的存储器地址;以及
在检测到所述非恶意进程试图访问存储器的所述受限制部分内的所述一部分数据之后,向所述非恶意进程指示存储器的所述不受限制部分的所述存储器地址。
9.根据权利要求1所述的方法,其中所述安全动作包括以下各项中的至少一项:
终止所述恶意进程;以及
警告所述计算设备的管理员关于所述恶意进程。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于CA公司,未经CA公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201780051579.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:安全的DRM不可知密钥轮换
- 下一篇:利用基于散列的指纹检测恶意软件
