本發(fā)明總體涉及計(jì)算機(jī)安全領(lǐng)域，更具體地涉及防止不良程序的安裝和執(zhí)行的系統(tǒng)和方法。

背景技術(shù)：

許多計(jì)算機(jī)用戶經(jīng)常面對惡意程序(也被稱作惡意軟件)的操作的后果，該惡意程序可阻塞用戶的計(jì)算機(jī)、引起個(gè)人數(shù)據(jù)的盜用、散布垃圾郵件以及執(zhí)行其他的惡意行為。同時(shí)，反病毒行業(yè)也沒有停歇且已經(jīng)研發(fā)出可以有效地抗衡甚至未知的惡意程序的反病毒技術(shù)，例如仿真、行為分析和應(yīng)用控制。此類反病毒技術(shù)在許多情況下可以降低用戶的計(jì)算機(jī)感染惡意軟件的風(fēng)險(xiǎn)或者減小該感染所造成的損害。

隨著惡意程序的發(fā)展，不直接地實(shí)施惡意行為但是能夠頻繁地騷擾用戶或者強(qiáng)迫用戶采取不必要的行為(例如，支付對于其功能特征是無用的程序的許可)的應(yīng)用程序，近來已經(jīng)變得更為常見。此類應(yīng)用程序經(jīng)常被稱作不良程序、害蟲軟件(pestware)或垃圾軟件。通常將它們稱作不良程序。

這些不良程序的不良行為包括但不限于：

●瀏覽器的主頁、搜索引擎、以及全部可能的瀏覽器附件(插件)的安裝的未經(jīng)許可的變化，其經(jīng)常引起瀏覽器的不需要的操作。這些變化為最常見的不良行為。

●這類應(yīng)用程序經(jīng)常被稱作FakeAV，一種假冒反病毒軟件。一方面，它不對用戶或其數(shù)據(jù)造成任何危害，但是另一方面，它持續(xù)地建議購買對于無用的功能特征(其起作用，但實(shí)際上不帶來任何好處)的許可。

●優(yōu)化器程序以及優(yōu)化操作系統(tǒng)的操作(通過清除暫存文件、寄存器的未使用的分支等)的實(shí)際有用的實(shí)用程序。存在許多付費(fèi)的優(yōu)化器程序，其不執(zhí)行有 用的行為，而是僅僅包含通知用戶被執(zhí)行的“有用的”行為的界面。

●此外，頻繁地出現(xiàn)在不良軟件的列表中的特征為間諜軟件程序，在用戶不知情的情況下，這些間諜軟件程序可收集關(guān)于用戶及其計(jì)算機(jī)的數(shù)據(jù)。用戶自愿安裝此類軟件的情形(更多時(shí)候是由于缺乏注意)是可能的。

不良程序通常不執(zhí)行在多數(shù)國家可引起犯罪刑事制裁的類型的任何犯罪行為(例如，散布惡意程序或者發(fā)送垃圾郵件)，且不良程序也具有合法程序的全部標(biāo)志，即圖形界面、許可協(xié)議等。然而，用戶經(jīng)常不滿意他們的操作，即程序不斷地顯示其界面的窗口、或者不能夠滿足所需的功能特征，從而導(dǎo)致用戶希望清除這些程序且不再次安裝這些程序的結(jié)果。

目前，已知用于檢測和清除此類程序的方法。例如，微軟公司在其用于清除不良程序的實(shí)用程序中向其用戶提供了通過指出不良程序的“不良性”指標(biāo)來辨別不良程序的選項(xiàng)，上述“不良性”指標(biāo)包括：缺乏圖形用戶界面(Graphical User Interface，GUI)、缺乏關(guān)于程序的操作的信息、顯示廣告等。

然而，此類技術(shù)無法免于某些缺陷，例如此類技術(shù)不能夠防止安裝不良程序或者取消已進(jìn)行的變化(使已進(jìn)行的變化“回退”)。

因此，需要更為有效的用于檢測和阻斷包含不合用戶需要的功能特征的程序的操作的方案。

技術(shù)實(shí)現(xiàn)要素：

公開了防止不良程序的安裝和執(zhí)行的系統(tǒng)和方法。在一個(gè)示例性方面中，一種系統(tǒng)通過以下方式來控制程序在計(jì)算機(jī)上的安裝：檢測未知程序在計(jì)算機(jī)上的安裝；暫停所述未知程序的安裝；在安全環(huán)境下執(zhí)行所述未知程序；檢測所述未知程序的不良行為，所述不良行為包括：所述程序在用戶不知情的情況下執(zhí)行的行為、用于訪問在所述計(jì)算機(jī)上的個(gè)人用戶數(shù)據(jù)的行為、以及利用所述計(jì)算機(jī)的其它程序或操作系統(tǒng)影響用戶工作的行為；基于所檢測到的所述程序的所述不良行為確定所述未知程序是否是不良的；當(dāng)所述未知程序被確定為不良的時(shí)，提示所述用戶選擇是否允許或禁止所述不良程序在所述計(jì)算機(jī)上的 安裝；以及當(dāng)所述未知程序被確定為不是不良的時(shí)，允許所述未知程序在所述計(jì)算機(jī)上的安裝。

在一個(gè)示例性方面中，為了確定所述未知程序是否是不良的，所述系統(tǒng)可將數(shù)值型權(quán)重分配給所檢測到的所述不良行為，其中，在用戶不知情的情況下執(zhí)行的不良行為的數(shù)值型權(quán)重比利用其它程序或操作系統(tǒng)影響用戶工作的其它不良行為的數(shù)值型權(quán)重大。

在一個(gè)示例性方面中，為了確定所述未知程序是否是不良的，所述系統(tǒng)可計(jì)算所檢測到的所述不良行為的所述數(shù)值型權(quán)重的總和；以及當(dāng)所有的檢測到的不良行為的所述數(shù)值型權(quán)重的總和超過預(yù)定的閾值時(shí)，將所述未知程序指定為不良的。

在另一示例性方面中，所述系統(tǒng)還可保存是否允許或禁止所述未知程序在所述計(jì)算機(jī)上的安裝的用戶選擇；以及當(dāng)以后試圖在所述用戶的計(jì)算機(jī)上安裝或執(zhí)行相同的程序時(shí)，自動(dòng)地執(zhí)行所保存的所述用戶選擇，而不再次提示所述用戶。

在另一示例性方面中，為了允許所述不良程序在所述計(jì)算機(jī)上的安裝，所述系統(tǒng)還可防止所述程序的一個(gè)或多個(gè)檢測到的不良行為的執(zhí)行。

在另一示例性方面中，防止所述程序的一個(gè)或多個(gè)檢測到的不良行為的執(zhí)行還包括：針對活躍的不良的圖形用戶界面(GUI)元素的存在情況，分析所述程序的安裝程序的GUI；以及停用所述程序的安裝程序的所檢測到的不良的GUI元素。

在另一示例性方面中，所述不良行為還可包括以下行為中的至少一者：修改網(wǎng)絡(luò)設(shè)置、修改瀏覽器設(shè)置、在所述計(jì)算機(jī)的桌面上創(chuàng)建圖標(biāo)和激活彈出窗口。

在另一示例性方面中，一種系統(tǒng)可通過以下方式來控制程序的執(zhí)行：檢測在計(jì)算機(jī)上安裝的未知程序；識別由所述未知程序在所述計(jì)算機(jī)上執(zhí)行的不良行為，其中，所述不良行為包括以下行為中的至少一者：所述程序在用戶不知情的情況下執(zhí)行的行為、用于訪問在所述計(jì)算機(jī)上的個(gè)人用戶數(shù)據(jù)的行為、以 及利用所述計(jì)算機(jī)的其它程序或操作系統(tǒng)影響用戶工作的行為；基于所識別的所述程序的所述不良行為確定所述未知程序是否是不良的；當(dāng)所述未知程序被確定為不良的時(shí)，提示所述用戶選擇是否允許或禁止所述不良程序在所述計(jì)算機(jī)上的執(zhí)行；以及當(dāng)所述未知程序被確定為不是不良的時(shí)，允許所述未知程序在所述計(jì)算機(jī)上的執(zhí)行。

在另一示例性方面中，所述系統(tǒng)還可保存是否允許或禁止所述未知程序在所述計(jì)算機(jī)上的執(zhí)行的用戶選擇；以及當(dāng)以后試圖在所述用戶的計(jì)算機(jī)上執(zhí)行相同的程序時(shí)，自動(dòng)地執(zhí)行所保存的所述用戶選擇，而不再次提示所述用戶。

在另一示例性方面中，為了允許所述不良程序在所述計(jì)算機(jī)上的執(zhí)行，所述系統(tǒng)可防止所述程序的一個(gè)或多個(gè)檢測到的不良行為的執(zhí)行。

在另一示例性方面中，為了防止所述程序的一個(gè)或多個(gè)檢測到的不良行為的執(zhí)行，所述系統(tǒng)還可針對活躍的不良的圖形用戶界面(GUI)元素的存在情況，分析所述程序的安裝程序的GUI；以及停用所述程序的安裝程序的所檢測到的不良的GUI元素。

上述示例性方面的簡要概括用于提供本發(fā)明的基本理解。該概括不是全部構(gòu)思方面的擴(kuò)展性綜述，且既不是旨在識別全部方面的關(guān)鍵要素或重要要素也不是旨在勾畫本發(fā)明的任何方面或全部方面的范圍。其唯一的目的在于以簡化形式呈現(xiàn)出一個(gè)或多個(gè)方面作為本發(fā)明下面的更為詳細(xì)的描述的前奏。為了完成上述內(nèi)容，本發(fā)明的一個(gè)或多個(gè)方面包括在權(quán)利要求中所描述的特征和特別指出的特征。

附圖說明

合并到本說明書中且構(gòu)成本說明書的一部分的附圖示出了本發(fā)明的一個(gè)或多個(gè)示例性方面，以及與詳細(xì)描述一起用于闡述這些示例性方面的原理和實(shí)現(xiàn)方式。

圖1示出防止不良程序在用戶的計(jì)算機(jī)系統(tǒng)上的安裝和執(zhí)行的示例性系統(tǒng)。

圖2A示出防止不良程序的安裝的示例性方法。

圖2B示出利用取消不良行為來防止不良程序的安裝的示例性方法。

圖2C示出潛在不良程序的安裝程序的窗口的示例。

圖3示出防止不良程序的執(zhí)行的示例性方法。

圖4示出其上可實(shí)現(xiàn)所公開的系統(tǒng)的和方法的通用計(jì)算機(jī)系統(tǒng)的示例。

具體實(shí)施方式

在此，在防止不良程序的安裝和執(zhí)行的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品的背景下描述了示例性方面。本領(lǐng)域普通技術(shù)人員將意識到下面的描述僅僅是示例性的且不意圖以任何方式進(jìn)行限制。受益于本發(fā)明的本領(lǐng)域技術(shù)人員將易于想到其他方面?，F(xiàn)在，將更為詳細(xì)地參考如在附圖中所示的示例性方面的實(shí)現(xiàn)方式。貫穿附圖和下面的描述，將盡可能地使用相同的附圖標(biāo)記來指代相同或類似的項(xiàng)目。

圖1示出了防止不良程序在用戶的計(jì)算機(jī)系統(tǒng)上的安裝和執(zhí)行的示例性系統(tǒng)。用戶150使用在計(jì)算機(jī)系統(tǒng)100中安裝的不同的程序110(例如，瀏覽器Chrome或Internet Explorer、文本編輯器Notepad或Word等，其將在后文中也被稱作“軟件”或“第三方軟件”)。除了軟件110外，系統(tǒng)100還包括操作系統(tǒng)(Operating System，OS)的組件120，這些組件負(fù)責(zé)程序和用戶與不同設(shè)備(例如，打印機(jī)、網(wǎng)絡(luò)服務(wù)等)之間的交互。

另外，系統(tǒng)100可包括不良軟件130，該不良軟件130可修改第三方軟件110及其設(shè)置(例如，以用于瀏覽器的插件的形式，通過改變其主頁)，可以引入操作系統(tǒng)OS的組件120的變化(例如，通過安裝驅(qū)動(dòng)器過濾器以實(shí)現(xiàn)信息的收集)，或者可周期性地向用戶150顯示不同的信息(例如，以FakeAV程序的形式)。為了清除不良軟件130，使用檢測器140，該檢測器140利用操作系統(tǒng)的圖形界面來評估第三方軟件110的變化、OS的組件120的變化以及用戶150的工作的變化。在一個(gè)示例性方面中，檢測器140可實(shí)現(xiàn)為反病毒軟件或者作為獨(dú)立的組件包括在反病毒軟件中。

圖2A示出了防止不良程序的安裝的示例性方法。在步驟210中，系統(tǒng)100 檢測安裝未知軟件的企圖。該未知軟件可為具有以下標(biāo)志之一的任意軟件：

●它不具有軟件制造商的數(shù)字簽名。

●它既未包含在被允許的應(yīng)用程序的白名單中、也未包含在至少一個(gè)反病毒

軟件制造商的惡意軟件名單中。

在一個(gè)示例性方面中，檢測到的安裝未知軟件的企圖采取通過檢測器140攔截正在執(zhí)行的任何文件(安裝程序)的打開的形式。在又一示例性方面中，可檢查正打開的文件的屬性，即名稱(例如，setup.exe)、大小、數(shù)字簽名、在磁盤上出現(xiàn)的日期等。根據(jù)這些屬性，確定檢查給定文件的需求。該技術(shù)的實(shí)施的示例在共同擁有的美國專利7,392,544中公開，該美國專利通過引用并入本文中。對可執(zhí)行文件的打開的攔截可通過攔截經(jīng)由圖像加載器的加載來實(shí)現(xiàn)。

在檢測到安裝未知軟件的企圖之后，在步驟220中，系統(tǒng)100在安全環(huán)境下執(zhí)行軟件。文件的仿真也可被認(rèn)為是在安全環(huán)境下的啟動(dòng)，這是因?yàn)闆]有變化超出仿真器的框架。沙箱可用作安全環(huán)境的示例，該沙箱代表一組可控資源(例如，虛擬存儲(chǔ)器、文件、寄存器分支、網(wǎng)絡(luò)連接)。未知軟件的安裝的另一示例為跟蹤在系統(tǒng)100內(nèi)的全部變化(具有隨后回退的可能性)的安裝。類似的技術(shù)的示例在共同擁有的美國專利8,181,247中進(jìn)行了描述，該美國專利通過引用并入本文中。當(dāng)實(shí)施正在執(zhí)行的文件的代碼的行為時(shí)(使用仿真或在安全環(huán)境下)，在步驟230，系統(tǒng)100從不良的視角進(jìn)行對所產(chǎn)生的行為的評估。

如已經(jīng)提及的，不良行為通常為騷擾用戶或者強(qiáng)迫用戶進(jìn)行不必要的事情的應(yīng)用程序的行為。不良行為可使第三方軟件110和OS的組件120產(chǎn)生變化，且通過其它程序和/或操作系統(tǒng)(例如，操作系統(tǒng)的圖形界面)影響用戶150的工作。不良行為的某些示例可包括但不限于：

●改變?yōu)g覽器的主頁；

●改變?yōu)g覽器的默認(rèn)設(shè)置；

●改變網(wǎng)絡(luò)參數(shù)(包括代理服務(wù)器和分層服務(wù)提供者(Layered Service Provider，LSP))技術(shù)；

●在用戶不知情的情況下在瀏覽器中添加新的工具欄；

●在OS注冊表中創(chuàng)建自啟動(dòng)鍵；

●在用戶不知情的情況下將圖標(biāo)添加到桌面和/或任務(wù)欄；

●在用戶不知情的情況下試圖訪問來自用戶的不同文件夾(例如，來自“C:/用戶/<用戶_名稱>/我的文檔”)的文件；

●在應(yīng)用程序的界面中出現(xiàn)大量的彈出窗口(這可為FakeAV的特征)；

●在代碼中出現(xiàn)去往未經(jīng)認(rèn)證的站點(diǎn)的統(tǒng)一資源定位符(Uniform Resource Locator，URL)鏈接，這里要求用戶支付對于應(yīng)用程序的進(jìn)一步操作的密鑰或者提供個(gè)人信息；

●通過添加看起來騷擾用戶150的額外的圖形用戶界面菜單來改變關(guān)鍵的操作系統(tǒng)組件120，如explorer.exe。

如果在用戶不知情的情況下進(jìn)行任何行為，則意味著在執(zhí)行該行為之前沒有顯示出應(yīng)用程序的圖形界面的任何元素，在該圖形界面中向用戶提供選擇(例如，將應(yīng)用程序的圖標(biāo)添加到桌面)。因此，對于行為的不良性的主要標(biāo)準(zhǔn)是在用戶不知情的情況下執(zhí)行該行為或者對系統(tǒng)造成變化，這些變化利用操作系統(tǒng)和利用應(yīng)用程序(例如，利用瀏覽器)直接影響用戶的工作。

應(yīng)注意到，引入未知軟件經(jīng)常在于安裝數(shù)個(gè)組件，在這種情況下，安裝各個(gè)組件可被認(rèn)為是安裝獨(dú)立的軟件，因此對于各個(gè)組件單獨(dú)地進(jìn)行不良性的解決方案。

在一個(gè)示例性方面中，根據(jù)各個(gè)行為的不良性(通過檢測器140)，將限定的權(quán)重分配給各個(gè)行為。

例如，表1給出了行為的不良性的權(quán)重的示例。

表1

使用上表中的示例，可以看出，如果用戶自己已經(jīng)同意改變?yōu)g覽器的主頁(例如，當(dāng)安裝未知軟件時(shí))，則此類行為的不良性的權(quán)重相當(dāng)小(大約20個(gè)單位)，然而在用戶本人未確認(rèn)的情況下，相同的行為立即將不良性提高至100單位。在給出的示例中，假定當(dāng)不良性達(dá)到100個(gè)單位時(shí)，被安裝的應(yīng)用程序(或被執(zhí)行的文件)被認(rèn)為是不良的(通過檢測器140)，且其安裝是不良的(在圖2A中的步驟240)。對于特定的行為，不良性的總權(quán)重可以以各個(gè)行為的不良性的權(quán)重的簡單總和的形式進(jìn)行考慮，但是更為復(fù)雜的計(jì)算不良性的權(quán)重的示例還考慮到各個(gè)類型的行為的數(shù)目以及使用校正系數(shù)(例如，使得具有小的不良性權(quán)重的許多行為不能夠相加得到等于100的權(quán)重)。在另一示例性方面中，不良性的總權(quán)重等于這些行為中的一個(gè)行為的最大不良性權(quán)重。

因此，在步驟240，當(dāng)考慮在步驟230中執(zhí)行的評估時(shí)，確定安裝是否是不良的。例如，一個(gè)檢查標(biāo)準(zhǔn)可以是行為之一必須出現(xiàn)在仿真過程中(在安全環(huán)境下的實(shí)現(xiàn))，例如“改變?yōu)g覽器的主頁”。另一示例性方面預(yù)先假定不良性的總權(quán)重與某一閾值(例如100)的比較。當(dāng)滿足檢查標(biāo)準(zhǔn)時(shí)，或者當(dāng)超出不良性的總權(quán)重時(shí)，在步驟260，用戶可仍然被要求允許安裝。在一個(gè)示例性方面中，可以進(jìn)行該安裝以降低錯(cuò)誤判斷的風(fēng)險(xiǎn)(例如，一級錯(cuò)誤，其中，合法應(yīng)用程序被視為惡意的而被錯(cuò)誤地阻斷)。當(dāng)用戶仍能夠安裝未知應(yīng)用程序時(shí)(甚至不存在數(shù)字簽名)，此類方法的示例是Windows OS中的用戶賬戶控制(User Account Control，UAC)技術(shù)的一個(gè)部分。如果用戶同意安裝，或者如果在步驟240中不滿足條件，則在步驟250發(fā)生軟件的安裝。否則，在步驟270取消該安裝。用戶關(guān)于軟件的安裝(或軟件的取消)的選擇可被記住(借助檢測器140)，且當(dāng)以后檢測到類似的不良軟件時(shí)，考慮到先前由用戶所制定的選擇，步驟260可被自動(dòng)省略。

取消安裝的一種方式可以是將不良軟件設(shè)定為停用狀態(tài)，例如關(guān)閉瀏覽器中的插件。這可以是較安全的方式，這是因?yàn)樨?fù)面影響第三方軟件110的依賴于給定組件的操作的風(fēng)險(xiǎn)被最小化，且還向用戶提供了在以后改變其方案的可能性，即如果用戶真正需要的話，可將插件包括在瀏覽器設(shè)置中。

在步驟250中的軟件的安裝可通過取消許多不良行為而執(zhí)行，這使得能夠安裝用戶所需的程序。圖2B示出了在取消不良行為的情況下安裝軟件的方法。在步驟251中，當(dāng)安裝軟件時(shí)，系統(tǒng)100檢查安裝程序的窗口；例如，檢查在窗口中的全部活躍元素(例如RadioButton)及其描述。圖2C示出潛在的不良軟件的安裝程序的窗口的示例。不檢查Checkbox類型的元素(這類元素導(dǎo)致瀏覽器中的主頁的變化且設(shè)立不良的工具欄)使得能夠避免所指示的不良行為。在一個(gè)示例性方面中，通過檢測器140執(zhí)行元素的狀態(tài)的變化。在步驟252(該步驟252可以與步驟251并行執(zhí)行)中，也使用安裝程序的操作的結(jié)果(主要是對文件操作和注冊表操作的跟蹤)來檢查系統(tǒng)中的變化。在步驟253中，如果在OS中已經(jīng)發(fā)生變化，則取消發(fā)現(xiàn)的所有不良行為，或者使發(fā)現(xiàn)的所有不良行為回退。不良行為的取消可按照以下來實(shí)現(xiàn)：

●使用諸如Unchecky的實(shí)用程序以改變在安裝程序的窗口中的活躍元素(Radio Button、Checkbox等)；

●對某些文件操作或注冊表操作的執(zhí)行的禁止，這些操作諸如安裝自啟動(dòng)注冊表項(xiàng)或者將文件寫入到文件夾“C:/Windows/system32”中；

●在安全環(huán)境下安裝程序使得能夠“在前仿真”在軟件安裝期間的許多不良行為，不是通過在真正的OS中執(zhí)行不良行為，而是通過從安裝期間的函數(shù)調(diào)用返回正面的結(jié)果。例如，當(dāng)在系統(tǒng)文件夾內(nèi)創(chuàng)建文件時(shí)，該文件不會(huì)真正地被創(chuàng)建，而是代表該文件成功創(chuàng)建的結(jié)果將從該函數(shù)調(diào)用返回到安裝程序。一方面，這使得能夠正確地安裝軟件，但是另一方面，它不確保其穩(wěn)定的操作。

也值得一提的是，在圖2A的步驟中可能使用統(tǒng)計(jì)資料，其隨后存儲(chǔ)在云服務(wù)中以用于較早地防止(在安裝程序啟動(dòng)之前或者在系統(tǒng)內(nèi)的變化完成之前) 此類不良程序130的安裝程序的啟動(dòng)或者用于較早地向用戶150發(fā)出警告。由于從其他用戶獲得的信息以及該信息在云服務(wù)中的累積，可以在早期階段查明此類安裝程序的啟動(dòng)的事實(shí)(使用來自啟動(dòng)的文件的散列或其他關(guān)鍵信息)。另外，由于從其他用戶獲得的關(guān)于這些安裝程序的下載資源的信息，可以在早期階段在用戶150下載此類程序之前阻斷下載或者警告用戶150。因此，不僅可以防止此類程序130的啟動(dòng)，而且可以節(jié)省用戶150的網(wǎng)絡(luò)流量和時(shí)間。

關(guān)于步驟253，為了在安裝期間利用用戶警告來確定對應(yīng)于切換或阻斷的選項(xiàng)，可使用下列方法：

●對流行程序的安裝程序進(jìn)行初步分析，以及將結(jié)果上傳到可通過因特網(wǎng)進(jìn)行更新的數(shù)據(jù)庫；和

●基于這些結(jié)果分析安裝程序的圖形用戶界面(GUI)以及啟發(fā)式確定各種控制元素的“不良性”(例如，使用關(guān)鍵詞的分析)。

圖3示出防止不良程序的執(zhí)行的示例性方法。在步驟310，在系統(tǒng)100中檢測已安裝的未知軟件。通常，這種檢測可與全盤殺毒掃描相關(guān)聯(lián)(例如，通過檢測器140)，或者發(fā)生在已安裝的未知軟件的下載期間。另一示例可與應(yīng)用程序窗口的搜索相關(guān)聯(lián)，該應(yīng)用程序窗口周期性地被置于前層且被顯示給用戶(例如，在FakeAV的情況下)，隨后確定控制一個(gè)窗口的進(jìn)程。在步驟320，評估軟件的不良性。該評估涉及已安裝的未知軟件正在執(zhí)行的不良行為。在圖2A的描述中給出了此類行為的示例。另外，該評估還可發(fā)生在軟件本身的實(shí)時(shí)操作期間(例如，使用在共同擁有的美國專利No.8,566,943中描述的技術(shù)，該美國專利通過引用并入本文中)。不良性的評估還可包括在評估已安裝的未知軟件的行為期間使用不良性的權(quán)重。在圖2A的描述中也更為詳細(xì)地給出了示例。如果在步驟330，已安裝的未知軟件被識別為是不良的，則在步驟350(該步驟350在一個(gè)示例性方面中是可選的)，用戶可被要求允許繼續(xù)已安裝的未知軟件的操作。如果用戶允許該操作，則在步驟340，已安裝的未知軟件將不再被分析為不良軟件。否則，在步驟360，清除已安裝的未知軟件。用戶清除(或者取消)此類軟件的選擇可被記住，且以后在檢測具有類似的不良行為的不良軟件時(shí)，考 慮到用戶先前所做出的選擇，步驟350可被自動(dòng)省略。

已安裝的未知軟件可通過下列方法中的一種方法來清除：

●將應(yīng)用程序從程序和功能中規(guī)范地清除(喚醒應(yīng)用程序卸載程序)；

●自動(dòng)清除屬于已安裝的未知軟件的OS注冊表的全部文件和分支(在一個(gè)示例性方面中，檢測器140跟蹤此類文件活動(dòng)和注冊表活動(dòng))；

●通知用戶在系統(tǒng)中存在需要進(jìn)行清除的不良軟件。

對于評估不良性的步驟(在圖2A中的步驟240和圖3中的步驟330)的另一擴(kuò)展。不良性也可通過軟件制造商來考慮，該軟件制造商很多時(shí)候通過數(shù)字簽名進(jìn)行識別。如果對于具有同一個(gè)數(shù)字簽名的某些類型的軟件已經(jīng)得出不良性的裁定，則以后在列舉的步驟中可將此考慮在內(nèi)，例如，以增大具有特定數(shù)字簽名的新類型的軟件的不良性的權(quán)重的形式?？蓮挠脩羰占祟惙答?，在該用戶的計(jì)算機(jī)上首次出現(xiàn)此類軟件。此類用戶本身可指出不良軟件，禁止安裝(或清除)某些應(yīng)用程序以及將這些應(yīng)用程序標(biāo)記為不良的，以及這將通過檢測器140進(jìn)行考慮，從應(yīng)用程序的元數(shù)據(jù)(諸如數(shù)字簽名、大小、圖標(biāo)等)開始，檢測器140在最后的分析中形成關(guān)于應(yīng)用程序的不良性的一定等級。

在一個(gè)示例性方面中，檢測器140維持先前制定的不良軟件的列表，這使得能夠立即檢測到已經(jīng)安裝在用戶的計(jì)算機(jī)上的此類軟件。下列表格可以是此類列表的示例：

圖4示出其上可實(shí)施所公開的系統(tǒng)和方法的通用計(jì)算機(jī)系統(tǒng)(其可以是個(gè)人計(jì)算機(jī)或服務(wù)器)的示例。如所示，該計(jì)算機(jī)系統(tǒng)包括中央處理單元21、系統(tǒng)存儲(chǔ)器22和連接各種系統(tǒng)組件的系統(tǒng)總線23，各種系統(tǒng)組件包括與中央處理單元21相關(guān)聯(lián)的存儲(chǔ)器。系統(tǒng)總線23像從現(xiàn)有技術(shù)已知的任何總線結(jié)構(gòu)一樣來實(shí)現(xiàn)，依次包括總線存儲(chǔ)器或總線存儲(chǔ)器控制器、外圍總線和本地總線，系統(tǒng)總線23能夠與任何其它的總線架構(gòu)交互。系統(tǒng)存儲(chǔ)器包括永久性存儲(chǔ)器(ROM)24和隨機(jī)存取存儲(chǔ)器(Random-Access Memory，RAM)25。基本輸入/輸出系統(tǒng)(Basic Input/Output System，BIOS)26包括確保在個(gè)人計(jì)算機(jī)20的元件之間的信息傳輸?shù)幕境绦?，例如在使用ROM 24加載操作系統(tǒng)時(shí)的那些基本程序。

個(gè)人計(jì)算機(jī)20依次包括用于數(shù)據(jù)的讀取和寫入的硬盤27、用于在可移動(dòng)磁盤29上讀取和寫入的磁盤驅(qū)動(dòng)器28以及用于在可移動(dòng)光盤31(例如CD-ROM、DVD-ROM和其它的光學(xué)信息媒介)上讀取和寫入的光盤驅(qū)動(dòng)器30。硬盤27、磁盤驅(qū)動(dòng)器28和光盤驅(qū)動(dòng)器30分別通過硬盤接口32、磁盤接口33和光盤驅(qū)動(dòng)器接口34而連接到系統(tǒng)總線23。驅(qū)動(dòng)器和對應(yīng)的計(jì)算機(jī)信息媒介為用于存儲(chǔ)個(gè)人計(jì)算機(jī)20的計(jì)算機(jī)指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的電源獨(dú)立的模塊。

本發(fā)明提供了使用硬盤27、可移動(dòng)磁盤29和可移動(dòng)光盤31的系統(tǒng)的實(shí)現(xiàn)方式，但是應(yīng)當(dāng)理解的是，可以采用能夠以計(jì)算機(jī)可讀的形式存儲(chǔ)數(shù)據(jù)的其它類型的計(jì)算機(jī)信息媒介56(固態(tài)驅(qū)動(dòng)器、閃存卡、數(shù)字盤、隨機(jī)存取存儲(chǔ)器(RAM)等等)，計(jì)算機(jī)信息媒介56經(jīng)由控制器55連接到系統(tǒng)總線23。

計(jì)算機(jī)20具有保留所記錄的操作系統(tǒng)35的文件系統(tǒng)36，并且還具有額外的程序應(yīng)用37、其它程序模塊38和程序數(shù)據(jù)39。用戶能夠通過使用輸入設(shè)備(鍵盤40、鼠標(biāo)42)將命令和信息輸入到個(gè)人計(jì)算機(jī)20中?？梢允褂闷渌妮斎朐O(shè)備(未示出)：麥克風(fēng)、操縱桿、游戲控制器、掃描器等等。這些輸入設(shè)備通常通過串行端口46插入到計(jì)算機(jī)系統(tǒng)20中，串行端口46轉(zhuǎn)而連接到系統(tǒng)總線，但是這些輸入設(shè)備可以以其它的方式連接，例如在并行端口、游戲端口或通用串行總線(Universal Serial Bus，USB)的幫助下得以連接。監(jiān)控器47或 其它類型的顯示設(shè)備也可以通過接口(例如視頻適配器48)連接到系統(tǒng)總線23。除了監(jiān)控器47，個(gè)人計(jì)算機(jī)還可以裝備有其它的外圍輸出設(shè)備(未示出)，例如揚(yáng)聲器、打印機(jī)等等。

個(gè)人計(jì)算機(jī)20能夠使用與一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)49的網(wǎng)絡(luò)連接而工作在網(wǎng)絡(luò)環(huán)境中。一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)49也是個(gè)人計(jì)算機(jī)或服務(wù)器，其具有在描述個(gè)人計(jì)算機(jī)20的性質(zhì)時(shí)使用的上述元件中的大多數(shù)元件或全部元件。其它的設(shè)備也可以存在于計(jì)算機(jī)網(wǎng)絡(luò)中，例如路由器、網(wǎng)站、對等設(shè)備或其它的網(wǎng)絡(luò)節(jié)點(diǎn)。

網(wǎng)絡(luò)連接可以形成局域計(jì)算機(jī)網(wǎng)絡(luò)(Local-Area computer Network，LAN)50和廣域計(jì)算機(jī)網(wǎng)絡(luò)(Wide-Area computer Network，WAN)。這些網(wǎng)絡(luò)用在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和公司內(nèi)部網(wǎng)絡(luò)中，并且這些網(wǎng)絡(luò)通常有權(quán)訪問因特網(wǎng)。在LAN或WAN網(wǎng)絡(luò)中，個(gè)人計(jì)算機(jī)20通過網(wǎng)絡(luò)適配器或網(wǎng)絡(luò)接口51連接到局域網(wǎng)50。當(dāng)使用網(wǎng)絡(luò)時(shí)，個(gè)人計(jì)算機(jī)20可以采用調(diào)制解調(diào)器54或其它的用于提供與廣域計(jì)算機(jī)網(wǎng)絡(luò)(例如因特網(wǎng))的通信的模塊。調(diào)制解調(diào)器54是內(nèi)部設(shè)備或外部設(shè)備，通過串行端口46連接到系統(tǒng)總線23。應(yīng)當(dāng)注意的是，網(wǎng)絡(luò)連接僅僅是示例并且不需要描述網(wǎng)絡(luò)的準(zhǔn)確配置，即實(shí)際上具有通過技術(shù)通信模塊建立一個(gè)計(jì)算機(jī)到另一個(gè)計(jì)算機(jī)的連接的其它方式。

在各個(gè)方面中，本文所描述的系統(tǒng)和方法可以以硬件、軟件、固件或它們的任何組合來實(shí)施。如果以軟件來實(shí)施，則上述方法可以作為一個(gè)或多個(gè)指令或代碼而被存儲(chǔ)在非易失性計(jì)算機(jī)可讀介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)包括數(shù)據(jù)存儲(chǔ)器。以示例性而非限制性的方式，這種計(jì)算機(jī)可讀介質(zhì)可以包括RAM，ROM，EEPROM，CD-ROM，閃存或其它類型的電存儲(chǔ)介質(zhì)、磁存儲(chǔ)介質(zhì)或光存儲(chǔ)介質(zhì)，或可用來攜帶或存儲(chǔ)所期望的指令或數(shù)據(jù)結(jié)構(gòu)形式的程序代碼并可以被通用計(jì)算機(jī)的處理器訪問的任何其它介質(zhì)。

在各個(gè)方面中，本發(fā)明中所描述的系統(tǒng)和方法可以按照模塊來處理。本文所使用的術(shù)語“模塊”指的是例如現(xiàn)實(shí)世界的設(shè)備、組件、或使用硬件(例如通過專用集成電路(Application Specific Integrated Circuit，ASIC)或現(xiàn)場可編程 門陣列(Field-Programmable Gate Array，F(xiàn)PGA))實(shí)現(xiàn)的組件的布置，或者指的是硬件和軟件的組合，例如通過微處理器系統(tǒng)和實(shí)現(xiàn)模塊功能的指令組(該指令組在被執(zhí)行時(shí)將微處理器系統(tǒng)轉(zhuǎn)換成專用設(shè)備)來實(shí)現(xiàn)這樣的組合。一個(gè)模塊還可以被實(shí)施為兩個(gè)模塊的組合，其中單獨(dú)地通過硬件促進(jìn)某些功能，并且通過硬件和軟件的組合促進(jìn)其它功能。在某些實(shí)現(xiàn)方式中，模塊的至少一部分(以及在一些情況下，模塊的全部)可以被執(zhí)行在通用計(jì)算機(jī)(例如上文更詳細(xì)描述的通用計(jì)算機(jī))的處理器上。因此，每個(gè)模塊可以以各種適合的配置來實(shí)現(xiàn)，而不應(yīng)受限于本文所列舉的任何特定的實(shí)現(xiàn)方式。

為了清楚起見，本文沒有公開各個(gè)方面的所有例程特征。應(yīng)當(dāng)領(lǐng)會(huì)的是，在本發(fā)明的任何實(shí)際的實(shí)現(xiàn)方式的開發(fā)中，必須做出許多特定實(shí)現(xiàn)方式的決定，以便實(shí)現(xiàn)開發(fā)者的特定目標(biāo)，并且這些特定目標(biāo)將對于不同的實(shí)現(xiàn)方式和不同的開發(fā)者變化。應(yīng)當(dāng)理解的是，這種開發(fā)努力會(huì)是復(fù)雜的且費(fèi)時(shí)的，但對于了解本發(fā)明的優(yōu)點(diǎn)的本領(lǐng)域的普通技術(shù)人員來說仍然是工程的例行任務(wù)。

此外，應(yīng)當(dāng)理解的是，本文所使用的措辭或術(shù)語出于描述而非限制的目的，從而本說明書的術(shù)語或措辭應(yīng)當(dāng)由本領(lǐng)域技術(shù)人員根據(jù)本文所提出的教導(dǎo)和指導(dǎo)結(jié)合相關(guān)領(lǐng)域技術(shù)人員的知識來解釋。此外，不旨在將本說明書或權(quán)利要求中的任何術(shù)語歸于不常見的或特定的含義，除非明確如此闡述。

本文所公開的各個(gè)方面包括本文以說明性方式所引用的已知模塊的現(xiàn)在和未來已知的等同物。此外，盡管已經(jīng)示出并描述了各個(gè)方面和應(yīng)用，但是對于了解本發(fā)明的優(yōu)點(diǎn)的本領(lǐng)域技術(shù)人員將顯而易見的是，在不脫離本文所公開的發(fā)明構(gòu)思的前提下，相比于上文所提及的內(nèi)容而言的更多的修改是可行的。