[发明专利]用于检测计算设备上的恶意进程的系统和方法

说明书

本发明提供了一种用于检测计算设备上的恶意进程的计算机实现的方法，所述方法可包括：(i)识别计算设备上的一部分数据，所述一部分数据存储在存储器的不受限制部分并且在所述计算设备上运行进程时由所述进程访问，(ii)分配所述计算设备内存储器的受限制部分并且指示所述一部分数据位于存储器的所述受限制部分，(iii)检测在所述计算设备上运行的进程试图使用意外访问方法访问存储器的所述受限制部分中所述一部分数据，(iv)至少部分地基于所述进程试图使用所述意外访问方法访问存储器的所述受限制部分内的所述一部分数据，确定所述进程是恶意进程，并且(v)在所述计算设备上执行安全动作以防止所述恶意进程损害所述计算设备。

背景技术

攻击者可以通过向设备上运行的进程中注入一小部分代码(例如shellcode)来劫持或控制计算设备。例如，攻击者可以将一部分代码插入可执行文件中，该文件利用设备的安全缺陷打开命令外壳，攻击者可以使用该命令外壳控制设备。由于这些攻击的潜在有害后果(例如，未经授权分发敏感数据以及/或者用户失去对计算设备的控制)，安全系统可能会试图检测和防止恶意利用计算设备上的进程。

遗憾的是，在其危害计算设备之前，用于检测被利用的进程或其他恶意进程的传统安全服务可能无法识别这些进程。例如，只有在进程已经执行了一个或多个可疑或危险行为之后，传统安全技术才可确定该进程已被恶意利用。因此，本公开识别并解决了对用于检测计算设备上的恶意进程的系统和方法的需求。

发明内容

如下面将更详细描述的，本公开描述了用于检测计算设备上的恶意进程的各种系统和方法。在一个示例中，用于执行此类任务的方法可以包括：(i)识别计算设备上的一部分数据，该部分数据存储在存储器的不受限制部分并且在计算设备上运行进程时由进程访问，(ii)分配计算设备内存储器的受限制部分并且指示该部分数据位于存储器的受限制部分而不是实际存储该部分数据的存储器的不受限制部分，(iii)检测在计算设备上运行的进程试图使用意外访问方法访问存储器的受限制部分中该部分数据，(iv)至少部分地基于进程试图使用意外访问方法访问存储器的受限制部分内的该部分数据，确定该进程是恶意进程，然后(v)在计算设备上执行安全动作以防止恶意进程损害计算设备。在一些实施方案中，安全动作可包括终止恶意进程并且/或者警告计算设备的管理员关于该恶意进程。

在一些示例中，识别计算设备上的该部分数据可包括识别由计算设备上的进程访问的共享库，以便在进程开始运行后立即执行初始任务。在这些示例中，识别共享库可包括搜索进程环境块(PEB)数据结构以识别共享库的基本存储器地址。另外在这些示例中，指示该部分数据位于存储器的受限制部分中可包括用存储器的受限制部分的存储器地址重写进程环境块数据结构内共享库的基本存储器地址。

在一些实施方案中，检测进程试图访问存储器的受限制部分可包括注册向量异常处理程序，以截取计算设备上运行的进程访问存储器的受限制部分的任何尝试。另外，在一些示例中，检测进程试图使用意外访问方法访问存储器的受限制部分可包括确定进程正在试图使用应用编程接口(API)访问存储器的受限制部分，该应用编程接口未记录为非恶意进程使用的API。

在一些实施方案中，该方法还可包括检测在计算设备上运行的附加进程试图使用预期访问方法访问存储器的受限制部分中的该部分数据。在一个示例中，预期访问方法可包括被记录为由非恶意进程使用的API。在一些示例中，该方法还可包括至少部分地基于附加进程在试图访问存储器的受限制部分内的该部分数据部分时使用预期访问方法确定附加进程是非恶意的。在这些示例中，该方法可包括通过：(i)在指示该部分数据位于存储器的受限制部分之前，识别并存储存储器的不受限制部分的存储器地址，并且(ii)在检测到非恶意进程试图访问存储器的受限制部分内的该部分数据之后，向非恶意进程指示存储器的不受限制部分的存储器地址，从而允许非恶意进程访问存储器的不受限制部分内的该部分数据。