專利名稱:對使用鏈接文件的惡意軟件進行檢測和響應的制作方法
技術領域:
本說明書涉及惡意軟件防護軟件��。
背景技術:
惡意軟件是任何種類的有惡意的軟件�,諸如計算機病毒、特洛伊木馬�����、間諜軟件以及有惡意的活動內(nèi)容��。惡意軟件可以經(jīng)由受感染的電子郵件附件��、共享文件或有惡意的網(wǎng)站來散布�。惡意軟件還可以經(jīng)由促使執(zhí)行諸如下載惡意軟件的有惡意的活動的鏈接文件來難以覺察地散布。惡意軟件可以附著到文件����,因此,當受感染的文件執(zhí)行時��,惡意軟件在用戶不知情或未經(jīng)用戶許可的情況下同樣地執(zhí)行并且例如自復制��。其他惡意軟件指向計算機的存儲器����,并且在計算機打開��、修改或創(chuàng)建文件時感染文件��。ー些惡意軟件能夠潛伏�����,并且不會示出任何存在的跡象���,例如鍵捕捉軟件、監(jiān)視軟件等���。惡意軟件防護軟件一般通過為有惡意的代碼對計算機的存儲器和盤驅動器進行掃描來進行操作���。掃描可以通過將文件的簽名與已知惡意軟件的簽名進行比較來執(zhí)行。然而���,如果惡意軟件防護軟件缺乏更新的簽名,則有惡意的進程和鏈接可能未被檢測到����。進ー步,鏈接可以被用來下載對于其不存在簽名����,但是從位置仍然知道是危險的新的惡意軟件�����。在這樣的情況和其他情況下��,惡意軟件防護軟件不能阻止對計算機系統(tǒng)的損害���。
發(fā)明內(nèi)容
本說明書描述了與以下有關的技木基于監(jiān)視鏈接文件和創(chuàng)建鏈接文件的進程來檢測惡意軟件并且阻止來自惡意軟件的損害??偟膩碚f,在本說明書中描述的主題的ー個有創(chuàng)新性的方面可以在包括以下動作的方法中具體化監(jiān)視包括指向對象的目標路徑的第一文件的生成�;響應于監(jiān)視第一文件的生成識別促使了第一文件被生成的進程;確定該進程是否是禁止的進程���;響應于確定該進程是禁止的進程�,對該禁止的進程和第一文件執(zhí)行ー個或多個防護進程�����;響應于確定該進程不是禁止的進程���,確定目標路徑是否是統(tǒng)ー資源定位符��;響應于確定該目標路徑是統(tǒng)ー資源定位符�,確定該統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符;響應于確定該統(tǒng)ー資源定位符是禁止的統(tǒng)ー資源定位符��,對第一文件執(zhí)行ー個或多個防護進程����。這個方面的其他實現(xiàn)包括被配置成執(zhí)行方法的動作的對應的系統(tǒng)、裝置和編碼在計算機可讀存儲設備上的計算機程序����。 在本說明書中描述的主題的另ー個有創(chuàng)新性的方面可以在包括以下動作的方法中具體化監(jiān)視包括指向對象的目標路徑的第一文件的生成;響應于監(jiān)視第一文件的生成確定該目標路徑是否是統(tǒng)ー資源定位符�;響應于確定該目標路徑是統(tǒng)ー資源定位符,識別促使了第一文件被生成的進程�����;確定該進程是否是禁止的進程��;響應于確定該進程是禁止的進程����,對該進程和第一文件執(zhí)行ー個或多個防護進程����;響應于確定該進程不是禁止的進程���,確定該統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符;響應于確定該統(tǒng)一資源定位符是禁止的統(tǒng)ー資源定位符��,對該進程和第一文件執(zhí)行ー個或多個防護進程�。這個方面的其他實現(xiàn)包括被配置成執(zhí)行方法的動作的對應的系統(tǒng)、裝置和編碼在計算機可讀存儲設備上的計算機程序���。在本說明書中描述的主題的另一個有創(chuàng)新性的方面可以在編碼有計算機程序的計算機存儲介質中具體化���,該程序包括當由數(shù)據(jù)處理裝置執(zhí)行時促使該數(shù)據(jù)處理裝置執(zhí)行操作的指令,所述操作包括監(jiān)視基于統(tǒng)ー資源定位符來生成請求的第一文件的生成����;響應于監(jiān)視第一文件的生成識別促使了第一文件被生成的進程;確定該進程是否是禁止的進程�;響應于確定該進程是禁止的進程,對該進程和第一文件執(zhí)行ー個或多個防護進程���;響應于確定該進程不是禁止的進程���,確定該統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位 符���;響應于確定該統(tǒng)ー資源定位符是禁止的統(tǒng)ー資源定位符,對該進程和第一文件執(zhí)行ー個或多個防護進程�。可以實現(xiàn)在本說明書中描述的主題的特定實現(xiàn)����,以便認識到下面優(yōu)勢中的ー個或多個。檢測由計算機進程生成的鏈接文件��,并且確定鏈接文件或生成該鏈接文件的計算機進程是否是惡意軟件���。將阻止這樣的惡意軟件引起對計算機系統(tǒng)的損害��。也將阻止指向惡意軟件但是另外由非惡意軟件計算機進程生成的鏈接文件引起對計算機系統(tǒng)的損害�����。將在附圖和下面的描述中闡述在本說明書中描述的主題的ー個或多個實現(xiàn)的細節(jié)�。主題的其他特征����、方面和優(yōu)勢從描述、附圖和權利要求將變得顯而易見。
圖I是圖示對通過計算機進程生成鏈接文件進行監(jiān)視和響應的惡意軟件防護程序的示例的框圖���。圖2是圖示用于對鏈接文件的生成進行監(jiān)視和響應以及執(zhí)行防護進程的示例過程的流程圖。圖3是圖示用于對鏈接文件的生成進行監(jiān)視和響應以及執(zhí)行防護進程的另ー個示例過程的流程圖����。圖4是在與遠程計算機通信中用于確定生成了鏈接文件的計算機進程是否是禁止的進程的惡意軟件防護程序的示例的框圖。圖5是在與遠程計算機通信中用于確定鏈接文件所指向的對象是否是禁止對象的惡意軟件防護程序的示例的框圖���。各個附圖中相同的附圖標記和名稱指示相同的元素��。
具體實施例方式圖I是圖示對通過計算機進程生成鏈接文件進行監(jiān)視和響應的惡意軟件防護程序的示例的框圖�。如在此所使用的���,“惡意軟件防護程序”是任何種類的惡意軟件防護軟件��,包括例如殺毒軟件���。
如圖I中所圖示,釋放者(dropper)進程104生成鏈接文件108。釋放者進程104是作為釋放者文件102的實例的計算機進程��。如在此所使用的��,“釋放者文件”是任何種類的文件或ニ進制代碼,包括包含用于生成諸如鏈接文件的另ー個文件的指令的計算機可執(zhí)行指令�。如在此所使用的,“鏈接文件”是任何種類的文件或ニ進制代碼�����,其包含指向另ー個對象的目標路徑或當被選擇����、訪問或實例化時生成對另ー個對象的請求。包含在鏈接文件108中的目標路徑110可以是統(tǒng)ー資源定位符(URL)��。統(tǒng)ー資源定位符識別諸如位于計算機上的文件的資源的位置�。URL所對應的資源可以位于位于網(wǎng)絡116上的計算機上。網(wǎng)絡116可以是計算機設備100位于其上的外部網(wǎng)絡����,諸如因特網(wǎng)或局域網(wǎng)。因此�����,鏈接文件108可以包含目標路徑110��,目標路徑110包括與位于計算機設備100位于其上的因特網(wǎng)或局部網(wǎng)絡116上的文件相對應的URL���。替選地�,目標路徑110可以包括與存儲在計算機設備100上的本地文件相對應的URL。如圖I中進ー步圖示的�,惡意軟件防護程序112包含監(jiān)視和防護模塊114。監(jiān)視和防護模塊114監(jiān)視106鏈接文件108的生成��。監(jiān)視和防護模塊114可以以軟件代碼來具體化����,并且例如形成惡意軟件防護程序的一部分或作為具有其自身進程��、服務等的単獨程序 獨立地運行�。響應于檢測到106鏈接文件108的生成,監(jiān)視和防護模塊114收集關于釋放者進程104和釋放者文件102的信息�。該信息可以包括釋放者進程104的身份、釋放者文件102的位置以及鏈接文件108的位置���。監(jiān)視和防護模塊114確定釋放者進程104����、或鏈接文件108所指向的或鏈接文件生成對其的請求的對象是否是禁止的���,作為示例如圖2和圖3中所圖示的����。監(jiān)視和防護模塊114基于描述釋放者進程的數(shù)據(jù),包括例如描述與釋放者進程104相關聯(lián)的可執(zhí)行機器代碼�����,即釋放者文件102的數(shù)據(jù)�,來確定釋放者進程104是否是禁止的。監(jiān)視和防護模塊114可以使確定基于描述釋放者進程的數(shù)據(jù)和描述已知的禁止的進程或文件的數(shù)據(jù)的比較���,作為示例如圖4中所圖示的�。另外�,監(jiān)視和防護模塊114基于描述對象的數(shù)據(jù),包括例如URL����,來確定鏈接文件108所指向的或鏈接文件生成對其的請求的對象是否是禁止的。監(jiān)視和防護模塊114可以使確定基于描述對象的數(shù)據(jù)和描述已知的禁止對象的數(shù)據(jù)的比較��,作為示例如圖5中所圖示的����。取決于這些確定的結果,監(jiān)視和防護模塊114可以終止釋放者進程104��,并且對釋放者文件102和鏈接文件108執(zhí)行其他防護進程,作為示例如在圖2和圖3中進ー步圖示的�。圖2是圖示用于對鏈接文件的生成進行監(jiān)視和響應以及執(zhí)行防護進程的示例過程的流程圖。示例過程200可以在例如殺毒軟件的惡意軟件防護程序112中實現(xiàn)���,或以作為具有其自身進程����、服務等的単獨程序獨立地運行的軟件代碼來具體化�。過程200檢測鏈接文件的生成(202)����。例如,可以通過監(jiān)視帶有“.Ink”擴展名的文件的生成來檢測通過計算機進程生成鏈接文件����。例如,在Windows中,過程200可以安裝截獲用來生成文件的Windows API (應用編程接ロ)調(diào)用的“hook (鉤子)”�����。當進程生成文件時�,過程200可以通過截獲Windows API “CreateFile”調(diào)用來檢測該生成(202)。過程200識別生成了該鏈接文件的進程(204)����。過程200可以如在上面的示例中的�����,通過截獲Windows API調(diào)用并且收集關于生成了該Windows API調(diào)用的進程的信息���,來識別生成了鏈接文件的進程。例如�,過程200可以收集關于生成了 “CreateFile”Wind0WSAPI調(diào)用的進程的信息,諸如該進程的ID����、名稱和文件路徑。
過程200確定該進程是否是禁止的進程(206)�����,作為示例如在圖4中進ー步圖示的�。基于從其創(chuàng)建該進程的文件是否是禁止的�����,該進程可以被識別為禁止的進程�����。響應于確定該進程是禁止的,對該進程���、與該進程相關聯(lián)的文件以及由該進程生成的鏈接文件執(zhí)行(212)—個或多個防護進程����。防護進程可以包括例如終止該進程以及刪除�、重命名或隔離與該進程相關聯(lián)的一個或多個文件和鏈接文件。終止該進程可以涉及僅終止該進程或終止該進程和由該進程直接和/或間接發(fā)起的所有其他進程����。與該進程相關聯(lián)的文件可以包括包含從其實例化該進程的可執(zhí)行機器代碼的文件�。除刪除該文件和鏈接文件外,可以為文件重命名���,使得它們在它們被手動清除����、刪除或另外處理之前變得不可用���。隔離可以涉及在能夠采取未來的動作之前使從其實例化該進程的文件和鏈接文件安全地孤立和失效���。隔離的一個示例可以涉及將文件加密�����、為其重命名以及將其移動到隔離目錄或文件夾��。
替選地��,如果確定該進程不是禁止的�,則作出關于鏈接文件是否指向目標URL的確定(208 )�����。過程200通過例如對鏈接文件進行解析并且搜索指示URL的文本串或代碼��,來確定鏈接文件是否指向目標URL���。指示URL的文本串例如可以以“http://”開始���。在另ー個實現(xiàn)中,如果確定該進程不是禁止的���,則作出關于鏈接文件是否生成對URL的請求或基于URL生成請求的確定���。例如��,該文件可以如上所述被解析�,或該文件可以在防護仿真空間中被選擇���、訪問或實例化�,例如執(zhí)行����,以確定鏈接文件是否生成對URL的請求或基于URL生成請求。 響應于確定鏈接文件包含目標URL�����,過程200確定該URL是否是禁止的或弓I用禁止對象(210)�,作為示例如在圖5中進ー步圖示的�。如果例如URL定址有惡意的網(wǎng)站或文件,則該URL可以是禁止的��。如上所述����,如果過程200確定該URL是禁止的或引用禁止對象�,則執(zhí)行ー個或多個防護進程(212)���。圖3是圖示用于對鏈接文件的生成進行監(jiān)視和響應以及執(zhí)行防護進程的另ー個示例過程的流程圖����。示例過程300可以在例如殺毒軟件的惡意軟件防護程序112中實現(xiàn)�����,或以作為具有其自身進程����、服務等的単獨程序獨立地運行的軟件代碼來具體化。過程300檢測鏈接文件的生成(302)����。可以如在上面的示例中�����,通過監(jiān)視帶有 Ink”擴展名的文件的生成��、或通過監(jiān)視生成對URL的請求或基于URL生成請求的文件的
位置來檢測鏈接文件的生成。響應于檢測到鏈接文件的生成(302)�����,過程300確定該鏈接文件是否包括目標URL (304)����。響應于確定該鏈接文件包括目標URL,過程300識別生成了該鏈接文件的進程(306)�����。過程300可以如在上面的示例中��,通過截獲“CreateFiIelindowsAPI調(diào)用以及收集關于生成了該Windows API調(diào)用的進程的信息��,來識別生成了該鏈接文件的進程�。過程300確定該進程是否是禁止的進程(308),作為示例如在圖4中進ー步圖示的���?;趶钠鋭?chuàng)建該進程的文件是否是禁止的�����,該進程可以被識別為禁止的進程��。如果過程300確定該進程是禁止的����,則對該進程和鏈接文件執(zhí)行ー個或多個防護進程。對生成了鏈接文件的進程執(zhí)行的防護進程可以包括例如終止該進程以及刪除��、重命名和隔離從其實例化該進程的文件和與該進程相關聯(lián)的一個或多個其他文件��。對鏈接文件執(zhí)行的防護進程可以包括例如刪除����、重命名和隔離該鏈接文件。如果過程300確定該進程不是禁止的�,則過程300確定URL是否是禁止的或引用禁止對象(310),作為示例如在圖5中進ー步圖示的���。如果過程300確定該URL是禁止的或引用禁止對象��,則對生成了鏈接文件的進程和鏈接文件執(zhí)行(312)—個或多個防護進程���。圖4是在與遠程計算機通信中用于確定生成了鏈接文件的計算機進程是否是禁止的進程的惡意軟件防護程序的示例的框圖。該確定可以由在計算機設備100上執(zhí)行的程序����,諸如惡意軟件防護程序112作出���。例如,監(jiān)視和防護模塊114可以識別生成了鏈接文件的進程�����,生成描述該進程的數(shù)據(jù)并將其發(fā)送給遠程計算機以及接收指示該進程是否是禁止的數(shù)據(jù)�。在該示例實現(xiàn)中,將描述進程的數(shù)據(jù)402發(fā)送給遠程計算機404���,遠程計算機404包含描述禁止的進程的數(shù)據(jù)的數(shù)據(jù)庫或其他存儲的編制406����。遠程計算機404可以由惡意軟件防護程序的提供者維護�。遠程計算機404返回指示進程是否是禁止的進程的數(shù)據(jù)408。監(jiān)視和防護模塊114基于通過遠程計算機404接收到的數(shù)據(jù)408來確定進程是否是禁止的進程��。 按照本發(fā)明的ー個示例實現(xiàn)���,簽名402是描述進程的數(shù)據(jù)的ー個示例�。簽名是能夠用來識別特定文件����、進程或其他電子數(shù)據(jù)的數(shù)據(jù)模式——通常是簡單的字符或字節(jié)串。簽名的示例包括文件的哈?�;虿糠治募墓?��。惡意軟件防護程序可以使用簽名來例如檢測并定位諸如病毒的特定惡意軟件或另外識別服務�����、進程或文件�。如圖4中所圖示的�,由監(jiān)視和防護模塊114生成描述進程的簽名402,并且將其發(fā)送給遠程計算機404��。遠程計算機404將接收到的簽名402與包含在數(shù)據(jù)庫或其他存儲的編制406中的描述禁止的進程的數(shù)據(jù)進行比較����,并且返回指示該進程是否是禁止的進程的數(shù)據(jù)408。包含在數(shù)據(jù)庫或其他存儲的編制中的描述禁止的進程的數(shù)據(jù)可以包括禁止文件的簽名���?;谒邮盏降臄?shù)據(jù)408�����,由監(jiān)視和防護模塊114作出關于生成了鏈接文件的進程是否是禁止的進程的確定。簽名402是描述生成了鏈接文件的進程的數(shù)據(jù)的ー個示例����。其他數(shù)據(jù)可以被生成并且用來作出進程是否是禁止的進程的確定,甚至包括與進程相關聯(lián)的ー個或多個文件——例如與進程相關聯(lián)的可執(zhí)行機器代碼�,諸如從其實例化進程的文件——的完整數(shù)據(jù)副本。在其他實現(xiàn)中��,可以將描述經(jīng)核準的進程的數(shù)據(jù)的數(shù)據(jù)庫或其他存儲的編制406本地存儲在進程和惡意軟件防護程序正在其上運行的計算機設備100上�����。也就是���,可以生成簽名402并且將其與諸如已知的惡意軟件的禁止的進程的簽名的本地存儲的數(shù)據(jù)庫或其他本地存儲的編制進行比較�����。圖5是在與遠程計算機通信中用于確定鏈接文件所指向的對象是否是禁止對象的惡意軟件防護程序的示例的框圖���。可以由諸如惡意軟件防護程序112的在計算機設備100上執(zhí)行的程序來作出該確定��。例如,監(jiān)視和防護模塊114可以識別已被生成的鏈接文件���,生成描述該鏈接文件的目標對象的數(shù)據(jù)并且將其發(fā)送給遠程計算機����,以及接收指示該對象是否是禁止的數(shù)據(jù)�。在該示例實現(xiàn)中��,將描述進程的數(shù)據(jù)502發(fā)送給遠程計算機504���,遠程計算機504包含描述禁止對象506的數(shù)據(jù)的數(shù)據(jù)庫或其他存儲的編制�。遠程計算機504可以由惡意軟件防護程序的提供者維護���。遠程計算機504返回指示對象是否是禁止對象的數(shù)據(jù)508����?���;谕ㄟ^遠程計算機504接收到的數(shù)據(jù)508來作出關于對象是否是禁止的進程的確定。
按照本發(fā)明的一個示例實現(xiàn)�����,URL 502是描述對象的數(shù)據(jù)的ー個示例。如圖5中所圖示的�����,由監(jiān)視和防護模塊114將URL 502發(fā)送給遠程計算機504����。遠程計算機504將所接收到的URL 502與包含在數(shù)據(jù)庫或其他存儲的編制506中的描述禁止對象的數(shù)據(jù)進行比較,并且返回指示對象是否是禁止對象的數(shù)據(jù)508��。包含在數(shù)據(jù)庫或其他存儲的編制中的描述禁止對象的數(shù)據(jù)可以包括URL��?����;谒邮盏降臄?shù)據(jù)508���,由監(jiān)視和防護模塊114作出關于鏈接文件指向的對象是否是禁止的確定�。在其他實現(xiàn)中�����,可以將描述經(jīng)核準的進程506的數(shù)據(jù)的數(shù)據(jù)庫或其他存儲的編制本地存儲在生成了鏈接文件的進程和惡意軟件防護程序正在其上運行的計算機設備100上。也就是����,可以將URL 502與禁止URL的本地存儲的數(shù)據(jù)庫或其他本地存儲的編制進行比較。在本說明書中描述的主題和操作的實現(xiàn)可以以數(shù)字電子電路���、或者以計算機軟件���、固件或硬件�����,包括在本說明書中公開的結構以及其結構等同物����、或者以以上的一個或多個的組合來實現(xiàn)??梢詫⒃诒菊f明書中描述的主題的實現(xiàn)實現(xiàn)為ー個或多個計算機程序, 即計算機程序指令的一個或多個模塊�,其被編碼在計算機存儲介質上,用于由數(shù)據(jù)處理裝置執(zhí)行或控制數(shù)據(jù)處理裝置的操作����。替選地或另外地�����,程序指令可以被編碼在非自然生成的傳播信號上���,所述信號例如機器生成的電的、光學或電磁的信號�,其被生成以編碼用于傳輸?shù)竭m當接收器裝置的信息以供數(shù)據(jù)處理裝置執(zhí)行。計算機存儲介質可以是下述或被包括在下述中計算機可讀存儲設備�、計算機可讀存儲基板、隨機或串行存取存儲器陣列或設備���、或它們中的一個或多個的組合����。此外����,雖然計算機存儲介質不是傳播信號,但是計算機存儲介質可以是編碼在非自然生成的傳播信號中的計算機程序指令的源或目的地�。計算機存儲介質還可以是下述或被包括在下述中一個或多個單獨的物理組件或介質(例如,多個CD�、盤或其他存儲設備)。在本說明書中描述的操作可以被實現(xiàn)為由數(shù)據(jù)處理裝置對存儲在ー個或多個計算機可讀存儲設備上或從其他源接收到的數(shù)據(jù)執(zhí)行的操作。術語“數(shù)據(jù)處理裝置”包含用于處理數(shù)據(jù)的所有種類的裝置����、設備以及機器,作為示例包括可編程處理器����、計算機、芯片上的系統(tǒng)�、或多個那些、或前述的組合�。裝置可以包括專用邏輯電路,例如FPGA (現(xiàn)場可編程門陣列)或ASIC (專用集成電路)����。除硬件外����,裝置還可以包括創(chuàng)建用于討論中的計算機程序的執(zhí)行環(huán)境的代碼,例如構成處理器固件�����、協(xié)議堆棧�、數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)、跨平臺運行時間環(huán)境�、虛擬機、或它們中的ー個或多個的組合的代碼�����。裝置和執(zhí)行環(huán)境可以實現(xiàn)各種不同的計算模型基礎設施��,諸如web服務����、分布式計算和網(wǎng)格計算基礎設施。使在本說明書中描述的過程和邏輯流具體化的計算機程序(也稱作程序�、軟件、軟件應用��、腳本或代碼)可以用任何形式的編程語言編寫�����,包括編譯或解釋語言����、說明性或過程性語言,并且其可以用任何形式部署����,包括作為獨立程序或作為模塊��、組件���、子例程、對象或適于在計算環(huán)境中使用的其他単元���。計算機程序可以但不必對應于文件系統(tǒng)中的文件���。可以將程序存儲在保持其他程序或數(shù)據(jù)的文件(例如�,存儲在標記語言文檔中的一個或多個腳本)的一部分、專用于討論中的程序的單個文件或者多個協(xié)調(diào)文件(例如����,存儲ー個或多個模塊、子程序或部分代碼的文件)中�。可以將計算機程序部署為在ー個計算機上或者在位于ー個站點或跨多個站點分布并且由通信網(wǎng)絡互連的多個計算機上執(zhí)行���。
在本說明書中描述的過程和邏輯流可以由執(zhí)行一個或多個計算機程序的ー個或多個可編程處理器執(zhí)行以通過操作輸入數(shù)據(jù)并且生成輸出來執(zhí)行動作。過程和邏輯流還可以由專用邏輯電路執(zhí)行�����,以及裝置還可以被實現(xiàn)為專用邏輯電路,專用邏輯電路例如FPGA(現(xiàn)場可編程門陣列)或ASIC (專用集成電路)���。適于執(zhí)行計算機程序的處理器包括作為示例通用和專用微處理器兩者�����,以及任何種類的數(shù)字計算機的任何一個或多個處理器�。通常�,處理器將從只讀存儲器或隨機存取存儲器或兩者接收指令和數(shù)據(jù)。計算機的主要元件是用于按照指令執(zhí)行動作的處理器和用于存儲指令和數(shù)據(jù)的ー個或多個存儲器設備��。通常�����,計算機還將包括用于存儲數(shù)據(jù)的ー個或多個海量存儲設備�����,例如磁盤���、磁光盤或光盤���,或可操作地耦接以從所述ー個或多個海量存儲設備接收數(shù)據(jù)或向所述ー個或多個海量存儲設備傳送數(shù)據(jù)����,或兩者��。然而��,計算機不必具有這樣的設備�����。此外���,可以將計算機嵌入另ー個設備中����,所述設備例如移動電話�����、個人數(shù)字助理(PDA)��、移動音頻或視頻播放器��、游戲控制臺����、全球定位系統(tǒng)(GPS)接收器或便攜式存儲設備(例如,通用串行總線(USB)閃存驅動器)��,僅列出ー些����。適于存儲計算機程序指令 和數(shù)據(jù)的設備包括所有形式的非易失性存儲器、介質和存儲器設備�����,包括作為示例半導體存儲器設備�����,例如EPROM��、EEPROM和閃速存儲器設備�;磁盤,例如內(nèi)部硬盤或可移動盤���;磁光盤�;以及⑶-ROM和DVD-ROM盤。處理器和存儲器可以由專用邏輯電路補充���,或合并入專用邏輯電路�。為了提供與用戶的交互�����,諸如在圖6中所圖示的用戶提示19�����,在本說明書中描述的主題的實現(xiàn)可以在具有下述的計算機上實現(xiàn)用于向用戶顯示信息的顯示設備����,例如CRT (陰極射線管)或LCD (液晶顯示)監(jiān)視器;以及用戶通過其可以向計算機提供輸入的鍵盤和定點設備�����,例如鼠標或跟蹤球�����。也可以使用其他種類的設備來提供與用戶的交互;例如����,提供給用戶的反饋可以是任何形式的感知反饋�,例如視覺反饋、聽覺反饋或觸覺反饋�����;以及可以以任何形式接收來自用戶的輸入��,包括聲學的�����、話音或觸覺的輸入�。另外,計算機可以通過將文檔發(fā)送給用戶所使用的設備以及從用戶所使用的設備接收文檔來與用戶交互�;例如,通過響應于從web瀏覽器接收到的請求將網(wǎng)頁發(fā)送給用戶的客戶端設備上的web瀏覽器�����。本說明書中描述的主題的實現(xiàn)可以在包括客戶端和服務器的計算系統(tǒng)中實現(xiàn)�。客戶端和服務器通常彼此遠離并且典型地通過通信網(wǎng)絡交互?�?蛻舳撕头掌鞯年P系依靠在各個計算機上運行并且彼此具有客戶端-服務器關系的計算機程序產(chǎn)生���。雖然本說明書包含許多具體實現(xiàn)細節(jié)�,但是這些細節(jié)不應當被解釋為對任何發(fā)明或可以主張的內(nèi)容的范圍的限制�����,而應當被解釋為對具體到特定發(fā)明的特定實現(xiàn)的特征的描述��。還可以將在本說明書中在單獨的實現(xiàn)的情境中描述的某些特征組合在單個實現(xiàn)中實現(xiàn)����。相反地,也可以將在單個實現(xiàn)的情境中描述的各種特征分離地在多個實現(xiàn)中實現(xiàn)或在任何適當?shù)淖咏M合中實現(xiàn)�。此外,盡管可能在上面將特征描述為在某些組合中起作用�����,甚至最初主張如此���,但是在一些情況下可以將來自所主張的組合的ー個或多個特征從組合中刪去��,并且可以將所主張的組合針對子組合或者子組合的變體��。類似地�,雖然在附圖中以特定順序描繪了操作,但是不應當將這理解為需要以所示的特定順序或者以連續(xù)順序執(zhí)行這樣的操作�、或者需要執(zhí)行所有圖示的操作才能達到期望的結果。在某些情況下����,多任務以及并行處理可以是有利的����。此外,不應當將在上述實現(xiàn)中的各種系統(tǒng)組件的分離理解為在所有實現(xiàn)中均需要這樣的分離���,而應當理解的是��,通?����?梢詫⑺枋龅某绦蚍至亢拖到y(tǒng)集成到一起成為單個軟件產(chǎn)品或封裝為多個軟件產(chǎn)品�����。因此����,已經(jīng)描述了主題的特定實現(xiàn)。其他實現(xiàn)在下面權利要求的范圍內(nèi)�。在ー些
情況下,可以以不同的順序來執(zhí)行權利要求中記載的動作并且仍然達到期望的結果���。另外���,在附圖中描繪的過程不一定要求所示的特定順序或連續(xù)順序來達到期望的結果。在某些實現(xiàn)中�����,多任務以及并行處理可以是有利的�����。
權利要求
1.一種計算機實現(xiàn)的方法����,包括 由第一計算機監(jiān)視包括指向對象的目標路徑的第一文件的生成; 響應于監(jiān)視所述第一文件的所述生成 由所述第一計算機識別促使了所述第一文件被生成的進程��; 由所述第一計算機確定所述進程是否是禁止的進程; 響應于確定所述進程是禁止的進程����,由所述第一計算機對所述進程和所述第一文件執(zhí)行ー個或多個防護進程; 響應于確定所述進程不是禁止的進程�����,由所述第一計算機確定所述目標路徑是否是統(tǒng)ー資源定位符����; 響應于確定所述目標路徑是統(tǒng)ー資源定位符,由所述第一計算機確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符��; 響應于確定所述統(tǒng)ー資源定位符是禁止的統(tǒng)ー資源定位符�,由所述第一計算機對所述第一文件執(zhí)行ー個或多個防護進程���。
2.根據(jù)權利要求I所述的計算機實現(xiàn)的方法�����,其中由所述第一計算機確定所述進程是否是禁止的進程包括 由所述第一計算機生成描述所述進程的數(shù)據(jù)��; 由所述第一計算機將描述所述進程的所述數(shù)據(jù)發(fā)送給第二計算機�; 由所述第一計算機從所述第二計算機接收指示所述進程是否是禁止的進程的數(shù)據(jù);以及 由所述第一計算機響應于從所述第二計算機接收到的所述數(shù)據(jù)而確定所述進程是否是禁止的進程��。
3.根據(jù)權利要求2所述的計算機實現(xiàn)的方法�,其中描述所述進程的數(shù)據(jù)包括與所述第ー進程相關聯(lián)的簽名。
4.根據(jù)權利要求I所述的計算機實現(xiàn)的方法�����,其中由所述第一計算機確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符包括 由所述第一計算機生成描述所述統(tǒng)ー資源定位符的數(shù)據(jù)�; 由所述第一計算機將描述所述統(tǒng)ー資源定位符的所述數(shù)據(jù)發(fā)送給第二計算機; 由所述第一計算機從所述第二計算機接收指示所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符的數(shù)據(jù)���;以及 由所述第一計算機響應于從所述第二計算機接收到的所述數(shù)據(jù)而確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符��。
5.根據(jù)權利要求I所述的計算機實現(xiàn)的方法����,其中對所述進程執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個 由所述第一計算機終止所述進程��; 由所述第一計算機刪除與所述進程相關聯(lián)的ー個或多個文件�; 由所述第一計算機重命名與所述進程相關聯(lián)的ー個或多個文件; 由所述第一計算機隔離與所述進程相關聯(lián)的一個或多個文件�����;以及 由所述第一計算機將與所述進程相關聯(lián)的一個或多個文件發(fā)送給第二計算機以供分析。
6.根據(jù)權利要求I所述的計算機實現(xiàn)的方法���,其中對所述第一文件執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個 由所述第一計算機刪除與所述第一文件相關聯(lián)的ー個或多個文件����; 由所述第一計算機重命名與所述第一文件相關聯(lián)的ー個或多個文件��;以及 由所述第一計算機隔離與所述第一文件相關聯(lián)的ー個或多個文件�����。
7.根據(jù)權利要求I所述的計算機實現(xiàn)的方法�,其中所述第一文件是鏈接文件。
8.一種計算機實現(xiàn)的方法�,包括 由第一計算機監(jiān)視包括指向對象的目標路徑的第一文件的生成; 響應于監(jiān)視所述第一文件的所述生成 由所述第一計算機確定所述目標路徑是否是統(tǒng)ー資源定位符����; 響應于確定所述目標路徑是統(tǒng)ー資源定位符���,由所述第一計算機識別促使了所述第一文件被生成的進程����; 由所述第一計算機確定所述進程是否是禁止的進程; 響應于確定所述進程是禁止的進程�����,由所述第一計算機對所述進程和所述第一文件執(zhí)行ー個或多個防護進程�����; 響應于確定所述進程不是禁止的進程��,由所述第一計算機確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符�; 響應于確定所述統(tǒng)ー資源定位符是禁止的統(tǒng)ー資源定位符,由所述第一計算機對所述進程和所述第一文件執(zhí)行ー個或多個防護進程��。
9.根據(jù)權利要求8所述的計算機實現(xiàn)的方法�����,其中由所述第一計算機確定所述進程是否是禁止的進程包括 由所述第一計算機生成描述所述進程的數(shù)據(jù)�����; 由所述第一計算機將描述所述進程的所述數(shù)據(jù)發(fā)送給第二計算機���; 由所述第一計算機從所述第二計算機接收指示所述進程是否是禁止的進程的數(shù)據(jù)��;以及 由所述第一計算機響應于從所述第二計算機接收到的所述數(shù)據(jù)而確定所述進程是否是禁止的進程��。
10.根據(jù)權利要求9所述的計算機實現(xiàn)的方法�����,其中描述所述進程的數(shù)據(jù)包括與所述進程相關聯(lián)的簽名����。
11.根據(jù)權利要求8所述的計算機實現(xiàn)的方法,其中由所述第一計算機確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符包括 由所述第一計算機生成描述所述統(tǒng)ー資源定位符的數(shù)據(jù)�; 由所述第一計算機將描述所述統(tǒng)ー資源定位符的所述數(shù)據(jù)發(fā)送給第二計算機; 由所述第一計算機從所述第二計算機接收指示所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符的數(shù)據(jù)�;以及 由所述第一計算機響應于從所述第二計算機接收到的所述數(shù)據(jù)而確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符。
12.根據(jù)權利要求8所述的計算機實現(xiàn)的方法�����,其中對所述進程執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個由所述第一計算機終止所述進程�����; 由所述第一計算機刪除與所述進程相關聯(lián)的ー個或多個文件�����; 由所述第一計算機重命名與所述進程相關聯(lián)的ー個或多個文件����; 由所述第一計算機隔離與所述進程相關聯(lián)的一個或多個文件;以及 由所述第一計算機將與所述進程相關聯(lián)的一個或多個文件發(fā)送給第二計算機以供分析�。
13.根據(jù)權利要求8所述的計算機實現(xiàn)的方法,其中對所述第一文件執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個 由所述第一計算機刪除與所述第一文件相關聯(lián)的ー個或多個文件���; 由所述第一計算機重命名與所述第一文件相關聯(lián)的ー個或多個文件�����;以及 由所述第一計算機隔離與所述第一文件相關聯(lián)的ー個或多個文件�����。
14.根據(jù)權利要求8所述的計算機實現(xiàn)的方法�����,其中所述第一文件是鏈接文件����。
15.一種編碼有計算機程序的計算機存儲介質,所述程序包括當由數(shù)據(jù)處理裝置執(zhí)行時��,促使所述數(shù)據(jù)處理裝置執(zhí)行操作的指令��,所述操作包括 監(jiān)視基于統(tǒng)ー資源定位符來生成請求的第一文件的生成�����; 響應于監(jiān)視所述第一文件的所述生成 識別促使了所述第一文件被生成的進程��; 確定所述進程是否是禁止的進程����; 響應于確定所述進程是禁止的進程,對所述進程和所述第一文件執(zhí)行ー個或多個防護進程; 響應于確定所述進程不是禁止的進程�����,確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符���; 響應于確定所述統(tǒng)ー資源定位符是禁止的統(tǒng)ー資源定位符����,對所述進程和所述第一文件執(zhí)行ー個或多個防護進程�����。
16.根據(jù)權利要求15所述的計算機存儲介質�,其中促使所述數(shù)據(jù)處理裝置執(zhí)行包括確定所述進程是否是禁止的進程的操作的指令,進ー步包括促使所述數(shù)據(jù)裝置執(zhí)行包括以下的操作的指令 生成描述所述進程的數(shù)據(jù)���; 將描述所述進程的所述數(shù)據(jù)發(fā)送給第二計算機�; 從所述第二計算機接收指示所述進程是否是禁止的進程的數(shù)據(jù)���;以及 響應于從所述第二計算機接收到的所述數(shù)據(jù)����,確定所述進程是否是禁止的進程�。
17.根據(jù)權利要求16所述的計算機存儲介質,其中描述所述進程的數(shù)據(jù)包括與所述進程相關聯(lián)的簽名�����。
18.根據(jù)權利要求15所述的計算機存儲介質���,其中促使所述數(shù)據(jù)處理裝置執(zhí)行包括確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符的操作的指令����,進ー步包括促使所述數(shù)據(jù)裝置執(zhí)行包括以下的操作的指令 生成描述所述統(tǒng)ー資源定位符的數(shù)據(jù); 將描述所述統(tǒng)ー資源定位符的所述數(shù)據(jù)發(fā)送給第二計算機���; 從所述第二計算機接收指示所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符的數(shù)據(jù)����;以及 響應于從所述第二計算機接收到的所述數(shù)據(jù)���,確定所述統(tǒng)ー資源定位符是否是禁止的統(tǒng)ー資源定位符�����。
19.根據(jù)權利要求15所述的計算機存儲介質�����,其中對所述進程執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個 終止所述進程���; 刪除與所述進程相關聯(lián)的一個或多個文件; 重命名與所述進程相關聯(lián)的一個或多個文件����; 隔離與所述進程相關聯(lián)的一個或多個文件;以及 將與所述進程相關聯(lián)的一個或多個文件發(fā)送給第二計算機以供分析���。
20.根據(jù)權利要求15所述的計算機存儲介質��,其中對所述第一文件執(zhí)行的所述ー個或多個防護進程包括以下中的ー個或多個 刪除與所述第一文件相關聯(lián)的一個或多個文件���; 重命名與所述第一文件相關聯(lián)的一個或多個文件;以及 隔離與所述第一文件相關聯(lián)的ー個或多個文件�����。
21.根據(jù)權利要求15所述的計算機存儲介質���,其中所述第一文件是鏈接文件����。
全文摘要
用于對通過計算機上的進程生成鏈接文件進行監(jiān)視��,以及基于鏈接文件是否指向(target)有惡意的對象或由有惡意的進程生成來執(zhí)行防護進程的方法����、系統(tǒng)和裝置,包括編碼在計算機存儲介質上的計算機程序����。在一個方面中��,一種方法�����,包括監(jiān)視包括指向對象的目標路徑的第一文件的生成�����;響應于監(jiān)視第一文件的生成確定該目標路徑是否是統(tǒng)一資源定位符��;響應于確定該目標路徑是統(tǒng)一資源定位符����,識別促使了第一文件被生成的進程��;確定該進程是否是禁止的進程�;響應于確定該進程是禁止的進程,對該進程和第一文件執(zhí)行一個或多個防護進程��;響應于確定該進程不是禁止的進程�����,確定該統(tǒng)一資源定位符是否是禁止的統(tǒng)一資源定位符�;響應于確定該統(tǒng)一資源定位符是禁止的統(tǒng)一資源定位符����,對該進程和第一文件執(zhí)行一個或多個防護進程��。
文檔編號G06F11/30GK102656593SQ201080056250
公開日2012年9月5日 申請日期2010年10月15日 優(yōu)先權日2009年10月15日
發(fā)明者吉里什·R·庫卡爾尼, 哈里納特·維什瓦納特·拉姆切蒂, 洛克什·庫馬爾 申請人:麥卡菲公司