專利名稱:計算機系統(tǒng)分析方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及分析計算機系統(tǒng)的方法和裝置,具體涉及對安裝在計算機系統(tǒng)上的應(yīng)用進行分析的方法和裝置。具體地而非必要地,本發(fā)明涉及在惡意軟件的檢測和移除中并且還在系統(tǒng)優(yōu)化中使用所述分析的方法和裝置。
背景技術(shù):
惡意軟件(malware)是malicious software的簡稱,用作表示設(shè)計為未經(jīng)用戶同意而潛入或破壞計算機系統(tǒng)的任何軟件的術(shù)語。惡意軟件可以包括計算機病毒、蠕蟲、木馬、IOOtkitS和間諜軟件。為了防止與惡意軟件感染相關(guān)聯(lián)的問題,許多終端用戶利用反病毒軟件來檢測并可能移除惡意軟件。在安裝在用戶的系統(tǒng)上之后,惡意軟件通常通過模仿常見的和/或普通的現(xiàn)有合法軟件的文件名來避免檢測。這種情況的示例是Troj/Torpid-C downloader Trojan,其使用名稱“winword.exe”和典型的進程名稱Microsoft Word。因此在任務(wù)管理器中無法注意到Trojan進程。惡意軟件用來避免檢測的另一技術(shù)是針對其可執(zhí)行的軟件產(chǎn)生隨機名稱。隨機名稱是晦澀的,并且可以通過使用文件名中的模式來防止反病毒軟件檢測到惡意軟件。類似的隱身方法應(yīng)用于注冊表路徑和密鑰。惡意軟件選擇隨機并且常用的“run”密鑰值。盡管對于基于模式識別的反病毒引擎(即,尋找惡意軟件“指紋”的引擎)始終可能存在空間,然而這些引擎仍然緩慢并且是反應(yīng)式的而非主動式的,因為反病毒引擎必須已知或者可以預(yù)測代表惡意軟件的模式。
發(fā)明內(nèi)容
本發(fā)明的目的是提供已知檢測計算機系統(tǒng)上的惡意軟件的機制,該機制依賴于對系統(tǒng)上的對象的網(wǎng)絡(luò)的檢測,其中網(wǎng)絡(luò)對象與程序、應(yīng)用、文件等相關(guān)聯(lián)或者可以與程序、應(yīng)用、文件等相關(guān)聯(lián)。這些程序、應(yīng)用、文件等中,一些可以是已知且信任的,一些可以是已知且不信任的,一些可以是未知的。根據(jù)本發(fā)明的第一方面,提供了一種分析計算機的方法,所述計算機上安裝有多個應(yīng)用,每個應(yīng)用包括相互關(guān)聯(lián)的對象的集合。首先,所述方法包括:針對應(yīng)用中的一個或多個中的每一個識別本地相依性網(wǎng)絡(luò),所述本地相依性網(wǎng)絡(luò)至少包括對象路徑和對象間關(guān)系的集合。然后,將每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫相比較,以確定與本地應(yīng)用相依性網(wǎng)絡(luò)相關(guān)聯(lián)的應(yīng)用是否是已知的。然后,使用比較結(jié)果來識別惡意軟件和/或孤立對象。本發(fā)明的實施例可以提供一種掃描計算機以發(fā)現(xiàn)惡意軟件的更快速的方法,該方法需要的處理功率可以顯著低于傳統(tǒng)的掃描方法。此外,本發(fā)明的實施例可以提供一種從計算機移除惡意軟件的改進方法。識別惡意軟件應(yīng)用的整個相依性網(wǎng)絡(luò),然后可以確保在刪除過程中惡意軟件應(yīng)用的所有組件都被刪除。
相互關(guān)聯(lián)的對象可以是以下中的一個或多個:可執(zhí)行文件、數(shù)據(jù)文件、注冊表項、注冊表值、注冊表數(shù)據(jù)和啟動點。該方法還可以包括:識別本地應(yīng)用相依性網(wǎng)絡(luò)的對象路徑,并將對象路徑歸一化以使所述對象路徑是系統(tǒng)無關(guān)的??梢酝ㄟ^跟蹤在啟動應(yīng)用的安裝程序時的活動,或者通過在安裝應(yīng)用之前和之后進行系統(tǒng)快照并識別兩個快照之間的差異,來識別本地應(yīng)用相依性網(wǎng)絡(luò)的對象路徑。備選地,可以通過以下操作來識別本地應(yīng)用相依性網(wǎng)絡(luò):對于給定的輸入對象,執(zhí)行對依賴于所述輸入對象的所有其他對象的搜索;將所述輸入對象和通過搜索找到的任何其他對象的路徑以及這些對象的對象間關(guān)系存儲在結(jié)果文件中;針對每個其他對象遞歸地重復(fù)這些步驟,直到找不到其他相依的對象為止;以及將結(jié)果文件內(nèi)的對象路徑歸一化??梢酝ㄟ^觀察已知應(yīng)用的安裝以捕獲所述已知應(yīng)用的相依性網(wǎng)絡(luò),或者備選地通過從分布式客戶端基站的本地系統(tǒng)收集應(yīng)用相依性網(wǎng)絡(luò),來填充已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫。該方法可以包括:在客戶端計算機處執(zhí)行針對應(yīng)用中的一個或多個中的每一個識別本地相依性網(wǎng)絡(luò)的步驟,在中央服務(wù)器處執(zhí)行將每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫相比較的步驟。該方法還可以包括:對于未知應(yīng)用相依性網(wǎng)絡(luò),對屬于所述未知應(yīng)用相依性網(wǎng)絡(luò)的對象執(zhí)行另一惡意軟件掃描。所述另一惡意軟件掃描可以包括以下之一或兩者:執(zhí)行對應(yīng)用二進制證書的檢查;以及對在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象運行啟發(fā)式分析。如果發(fā)現(xiàn)應(yīng)用是惡意的,則可以從客戶端計算機移除在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象或者使在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象安全,與其他已知應(yīng)用相依性網(wǎng)絡(luò)共享的對象可以除外??梢詫⑺隽硪粣阂廛浖呙柚蟀l(fā)現(xiàn)合法的未知本地應(yīng)用的應(yīng)用相依性網(wǎng)絡(luò)輸入到已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫。根據(jù)本發(fā)明的第二方面,提供了一種計算機程序,用于使計算機執(zhí)行根據(jù)本發(fā)明第一方面的方法。根據(jù)本發(fā)明的第三方面,提供了一種客戶端計算機,包括:系統(tǒng)掃描器,用于針對安裝在客戶端計算機上的一個或多個應(yīng)用中的每一個識別本地相依性網(wǎng)絡(luò),所述本地應(yīng)用相依性網(wǎng)絡(luò)至少包括對象路徑和對象間關(guān)系的集合??蛻舳擞嬎銠C還包括:結(jié)果處理器,用于獲得每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的比較結(jié)果,以確定于本地應(yīng)用相依性網(wǎng)絡(luò)相關(guān)聯(lián)的應(yīng)用是否是已知的。客戶端計算機還包括:監(jiān)督單元,用于使用所述比較結(jié)果來識別惡意軟件和/或孤立對象。根據(jù)本發(fā)明的第四方面,提供了一種服務(wù)器計算機系統(tǒng),用于為多個客戶端計算機服務(wù)。服務(wù)器計算機系統(tǒng)包括:已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫,每個應(yīng)用相依性網(wǎng)絡(luò)包括對象路徑和對象間關(guān)系。服務(wù)器計算機系統(tǒng)還包括:接收機,用于從所述客戶端計算機中的一個或多個接收本地應(yīng)用相依性網(wǎng)絡(luò)。相依性網(wǎng)絡(luò)比較器用于將接收到的本地應(yīng)用相依性網(wǎng)絡(luò)與數(shù)據(jù)庫中的已知應(yīng)用相依性網(wǎng)絡(luò)相比較,以確定關(guān)聯(lián)的本地應(yīng)用是否是已知的。月艮務(wù)器計算機系統(tǒng)還包括:發(fā)射機,用于將比較結(jié)果發(fā)送至相應(yīng)的客戶端計算機。
圖1是示出了根據(jù)本發(fā)明實施例的識別應(yīng)用相依性網(wǎng)絡(luò)的過程的流程圖;圖2是示出了根據(jù)本發(fā)明實施例的執(zhí)行惡意軟件檢測和移除的過程的流程圖;圖3是示出了根據(jù)本發(fā)明實施例的執(zhí)行惡意軟件檢測和移除的增強過程的流程圖,其中該過程還檢測并移除丟失碎片;以及圖4示意性地示出了根據(jù)本發(fā)明實施例的計算機系統(tǒng)。
具體實施例方式關(guān)于計算機系統(tǒng)給出了本文描述的惡意軟件掃面方法,該計算機系統(tǒng)包括一個或多個中央服務(wù)器以及多個客戶端計算機??蛻舳擞嬎銠C經(jīng)由互聯(lián)網(wǎng)與中央服務(wù)器通信。本領(lǐng)域技術(shù)人員容易了解可以采用該方法的其他計算機系統(tǒng)架構(gòu)??蛻舳擞嬎銠C上的應(yīng)用通常包括:相關(guān)對象集,包括至少數(shù)據(jù)文件、目錄和注冊表信息(后者包括應(yīng)用的配置和設(shè)置)_桌面快捷方式指向應(yīng)用可執(zhí)行文件;將應(yīng)用可執(zhí)行文件存儲在目錄中,其他應(yīng)用和庫在所述目錄中;應(yīng)用注冊表指向數(shù)據(jù)文件和應(yīng)用需要運行的其他可執(zhí)行文件的位置??梢詫⑾嚓P(guān)對象集及其關(guān)系看作是應(yīng)用的“相依性網(wǎng)絡(luò)”。應(yīng)理解,與對象名稱、絕對路徑等無關(guān),給定的應(yīng)用在安裝時將構(gòu)造給定的應(yīng)用相依性網(wǎng)絡(luò),無論安裝了該應(yīng)用了客戶端計算機的配置如何(假定在不同的客戶端計算機上使用相同的操作系統(tǒng))。換言之,應(yīng)用的應(yīng)用相依性網(wǎng)絡(luò)是與計算機無關(guān)的。因此,應(yīng)用相依性網(wǎng)絡(luò)有助于反病毒掃描引擎識別惡意軟件。有多種識別給定應(yīng)用的相依性網(wǎng)絡(luò)的方法。首先給出兩種這樣的方法,可以在應(yīng)用的安裝期間采用這兩種方法。第一種方法是跟蹤客戶端計算機上的安裝器活動。為此,在管理的環(huán)境內(nèi)啟動安裝程序,使得過濾驅(qū)動器可以觀測任何活動并跟蹤所有的對象,如,安裝器或其子進程創(chuàng)建的文件、目錄和注冊表信息。過濾驅(qū)動器是低級組件,例如,文件系統(tǒng)驅(qū)動器,其可以捕獲并記錄文件操作(如,文件或目錄的創(chuàng)建)并對文件進行修改或重命名。第二種方法是使用系統(tǒng)快照“區(qū)分(diffing) ”。利用這第二種方法,可以在安裝應(yīng)用之前和之后在客戶端計算機上進行系統(tǒng)快照??煺諏ㄎ募⒛夸浐妥员硇畔?。通過識別兩個快照之間的差異,可以識別安裝器在安裝過程中創(chuàng)建的對象。一旦識別出新安裝的對象,無論采用何種方法來做,都需要確定對象之間的關(guān)系(例如,對象A指向?qū)ο驜,等等)。對象路徑和對象間關(guān)系一起定義了應(yīng)用相依性網(wǎng)絡(luò)。識別應(yīng)用相依性網(wǎng)絡(luò)的所有方法都會至少返回由安裝器創(chuàng)建的對象路徑列表。為了使路徑是計算機不可知的,必須首先將這些路徑歸一化,因為其他計算機可能具有不同的配置。歸一化過程將應(yīng)用安裝文件夾的目錄、臨時目錄、用戶簡檔目錄、系統(tǒng)引導(dǎo)符等等替換成固定的關(guān)鍵字。例如:% INSTALL_DIR%是安裝應(yīng)用的歸一化路徑。在具體計算機上,應(yīng)當(dāng)將其恢復(fù)成實際安裝目錄,例如 “c:\Program Files\Mozilla Firefox”。在歸一化之后,應(yīng)用相依性網(wǎng)絡(luò)將包括對象路徑,如:
% INSTALL_DIR% \firefox.exe% INSTALL_DIR% \xul.dll% INSTALL_DIR% \AccessibleMarshal.dll% INSTALL_DIR% \application.1ni% USER_PR0FILE% \Application Data\Mozilla\Firefox\此外,應(yīng)用相依性網(wǎng)絡(luò)可以包括與注冊表密鑰、啟動點和值相關(guān)的歸一化對象路徑,如:HKEY_CLASSES_R00T\.htm\OpenffithList\firefox.exeHKEY_CLASSES_R00T\.xhtHKEY_CLASSES_ROOT\Applications\firefox.exe\shell\open\command(Default value),REG_SZ, " % INSTALL_DIR % \f irefox.exe-requestPending-osint-url" % I"如上所述,對象之間的關(guān)系也會對定義應(yīng)用相依性網(wǎng)絡(luò)做出貢獻。為了識別這些關(guān)系,使用對象相依性信息。例如,使用上述對象示例,只要當(dāng)用戶點擊具有擴展名.Xht的文件時,就將啟動firefox.exe。這是因為.xht文件依賴于firefox.exe。因此,可以識別對象“ % INSTALL_DIR% \firefox.exe”和注冊表項對象 HKEY_CLASSES_R00T\.xht 之間的對象間關(guān)系。如果在包含% INSTALL_DIR% \firefox.exe的計算機上存在應(yīng)用相依性網(wǎng)絡(luò),但是沒有與HKEY_CLASSES_R00T\.xht的對應(yīng)關(guān)系,則這可能意味著應(yīng)用正在嘗試模仿合法的Firefox應(yīng)用或者尚未正確安裝或卸載合法的Firefox應(yīng)用。當(dāng)然可以只在安裝了反病毒掃描引擎并且在安裝新應(yīng)用時反病毒掃描引擎運行于客戶端計算機上的情況下采用上述識別應(yīng)用相依性網(wǎng)絡(luò)的方法。為了掃描先前安裝的(即,在安裝掃描引擎之前安裝的)應(yīng)用或者識別被管理為在不觸發(fā)反病毒掃描的情況下安裝自身的惡意軟件,需要一種備選方法,該備選方法能夠確定先前創(chuàng)建的應(yīng)用相依性網(wǎng)絡(luò)。該備選方法還使反病毒掃描引擎能夠?qū)蛻舳擞嬎銠C執(zhí)行全系統(tǒng)掃描以確定計算機系統(tǒng)上當(dāng)前所有對象和關(guān)系。這種全系統(tǒng)掃描將返回已安裝在客戶端計算機上的所有應(yīng)用的應(yīng)用相依性網(wǎng)絡(luò)(本地應(yīng)用相依性網(wǎng)絡(luò))以及并不作為整個應(yīng)用相依性網(wǎng)絡(luò)一部分的任何其他對象和對象間關(guān)系。圖1是示出了該備選方法的流程圖。該方法的關(guān)鍵步驟如下:Al.客戶端計算機以(如對象的路徑所限定的)輸入對象為開始。該輸入對象可能是系統(tǒng)上的任意對象或者智能地選擇的對象,例如,.exe文件。A2.客戶端計算機執(zhí)行對依賴于輸入對象的所有其他對象的搜索。例如,使用以上給出的示例,在firefox應(yīng)用路徑上執(zhí)行的搜索將發(fā)現(xiàn).xht擴展注冊表密鑰依賴于firefox 應(yīng)用。A3.客戶端計算機確定是否有任何搜索結(jié)果。A4.如果有結(jié)果,則客戶端計算機將這些其他對象及其對象間關(guān)系的路徑存儲在結(jié)果文件中。然后針對每一個其他對象遞歸地重復(fù)步驟Al至A4,直到找不到其他相依的對象為止。因此,搜索擴大范圍,直到找到相依性網(wǎng)絡(luò)內(nèi)的所有對象為止。相依對象的搜索通常將遵循以下規(guī)則集合,例如:
權(quán)利要求
1.一種分析計算機的方法,所述計算機上安裝有多個應(yīng)用,每個應(yīng)用包括相互關(guān)聯(lián)的對象的集合,所述方法包括: 針對一個或多個應(yīng)用中的每一個識別本地相依性網(wǎng)絡(luò),所述本地相依性網(wǎng)絡(luò)至少包括對象路徑和對象間關(guān)系的集合; 將每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫相比較,以確定與本地相依性網(wǎng)絡(luò)相關(guān)聯(lián)的應(yīng)用是否是已知的;以及 使用比較結(jié)果來識別惡意軟件和/或孤立對象。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述相互關(guān)聯(lián)的對象是以下中的一個或多個:可執(zhí)行文件、數(shù)據(jù)文件、注冊表項、注冊表值、注冊表數(shù)據(jù)和啟動點。
3.根據(jù)權(quán)利要求1或2所述的方法,包括:識別本地應(yīng)用相依性網(wǎng)絡(luò)的對象路徑,并將對象路徑歸一化以使所述對象路徑是系統(tǒng)無關(guān)的。
4.根據(jù)前述任一項權(quán)利要求所述的方法,其中,通過跟蹤在啟動應(yīng)用的安裝程序時的活動,來識別本地應(yīng)用相依性網(wǎng)絡(luò)的對象路徑。
5.根據(jù)權(quán)利要求1至3中任一項權(quán)利要求所述的方法,其中,通過在安裝應(yīng)用之前和之后進行系統(tǒng)快照并識別兩個快照之間的差異,來識別本地應(yīng)用相依性網(wǎng)絡(luò)的對象路徑。
6.根據(jù)前述任一項權(quán)利要求所述的方法,其中,通過以下操作來識別本地應(yīng)用相依性網(wǎng)絡(luò): 1)對于給定的輸入對象,執(zhí)行對依賴于所述輸入對象的所有其他對象的搜索; 2)將所述輸入對象和通過 搜索找到的任何其他對象的路徑以及這些對象的對象間關(guān)系存儲在結(jié)果文件中; 3)針對每個其他對象遞歸地重復(fù)步驟I)和步驟2),直到找不到其他相依的對象為止;以及 4)將結(jié)果文件內(nèi)的對象路徑歸一化。
7.根據(jù)前述任一項權(quán)利要求所述的方法,其中,通過觀察已知應(yīng)用的安裝以捕獲所述已知應(yīng)用的相依性網(wǎng)絡(luò),來填充已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫。
8.根據(jù)權(quán)利要求1至6中任一項權(quán)利要求所述的方法,其中,通過從分布式客戶端基站的本地系統(tǒng)收集應(yīng)用相依性網(wǎng)絡(luò),來填充已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫。
9.根據(jù)前述任一項權(quán)利要求所述的方法,包括:在客戶端計算機處執(zhí)行針對一個或多個應(yīng)用中的每一個識別本地相依性網(wǎng)絡(luò)的步驟,在中央服務(wù)器處執(zhí)行將每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫相比較的步驟。
10.根據(jù)前述任一項權(quán)利要求所述的方法,包括:對于未知應(yīng)用相依性網(wǎng)絡(luò),對屬于所述未知應(yīng)用相依性網(wǎng)絡(luò)的對象執(zhí)行另一惡意軟件掃描。
11.根據(jù)權(quán)利要求10所述的方法,其中,所述另一惡意軟件掃描包括以下之一或兩者: 執(zhí)行對應(yīng)用二進制證書的檢查;以及 對在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象運行啟發(fā)式分析; 并且另一惡意軟件掃描還包括:如果發(fā)現(xiàn)應(yīng)用是惡意的,則從客戶端計算機移除在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象或者使在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象安全。
12.根據(jù)權(quán)利要求10或11所述的方法,其中,將所述另一惡意軟件掃描之后發(fā)現(xiàn)合法的未知本地應(yīng)用的應(yīng)用相依性網(wǎng)絡(luò)輸入到已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫。
13.根據(jù)權(quán)利要求10所述的方法,其中,所述另一惡意軟件掃描包括以下之一或兩者: 執(zhí)行對應(yīng)用二進制證書的檢查;以及 對在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象運行啟發(fā)式分析; 并且另一惡意軟件掃描包括:如果發(fā)現(xiàn)應(yīng)用是惡意的,則從客戶端計算機移除在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象或者使在未知本地應(yīng)用相依性網(wǎng)絡(luò)中識別的對象安全,與其他已知應(yīng)用相依性網(wǎng)絡(luò)共享的對象除外。
14.一種計算機程序,用于使計算機執(zhí)行根據(jù)前述任一項權(quán)利要求所述的方法。
15.—種客戶端計算機,包括: 系統(tǒng)掃描器,用于針對安裝在客戶端計算機上的一個或多個應(yīng)用中的每一個識別本地相依性網(wǎng)絡(luò),所述本地應(yīng)用相依性網(wǎng)絡(luò)至少包括對象路徑和對象間關(guān)系的集合; 結(jié)果處理器,用于獲得每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫的比較結(jié)果,以確定與本地應(yīng)用相依性網(wǎng)絡(luò)相關(guān)聯(lián)的應(yīng)用是否是已知的;以及監(jiān)督單元,用于使用所述比較結(jié)果來識別惡意軟件和/或孤立對象。
16.一種服務(wù)器計算機系統(tǒng),用于為多個客戶端計算機服務(wù),所述服務(wù)器計算機系統(tǒng)包括: 已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫,每個應(yīng)用相依性網(wǎng)絡(luò)包括對象路徑和對象間關(guān)系; 接收機,用于從所述客戶端計算機中的一個或多個接收本地應(yīng)用相依性網(wǎng)絡(luò); 相依性網(wǎng)絡(luò)比較 器,用于將接收到的本地應(yīng)用相依性網(wǎng)絡(luò)與數(shù)據(jù)庫中的已知應(yīng)用相依性網(wǎng)絡(luò)相比較,以確定關(guān)聯(lián)的本地應(yīng)用是否是已知的;以及發(fā)射機,用于將比較結(jié)果發(fā)送至相應(yīng)的客戶端計算機。
全文摘要
一種分析計算機的方法,所述計算機上安裝有多個應(yīng)用,每個應(yīng)用包括相互關(guān)聯(lián)的對象的集合。首先,所述方法包括針對一個或多個應(yīng)用中的每一個識別本地相依性網(wǎng)絡(luò),所述本地相依性網(wǎng)絡(luò)至少包括對象路徑和對象間關(guān)系的集合。然后,將每個本地應(yīng)用相依性網(wǎng)絡(luò)與已知應(yīng)用相依性網(wǎng)絡(luò)的數(shù)據(jù)庫相比較,以確定與本地相依性網(wǎng)絡(luò)相關(guān)聯(lián)的應(yīng)用是否是已知的。然后,使用比較結(jié)果來識別惡意軟件和/或孤立對象。
文檔編號G06F21/56GK103180863SQ201180050706
公開日2013年6月26日 申請日期2011年9月7日 優(yōu)先權(quán)日2010年10月21日
發(fā)明者帕威爾·特爾賓 申請人:F-賽酷公司