可执行文件拆包为一个或多个中间自解压可执行文件中的一个;以及,允 许一个或多个中间自解压可执行文件中的一个相继地拆包,直到最终拆包存根将最终经打 包的可执行文件拆包为最终经拆包的可执行文件为止,其中,指令使一个或多个处理单元 对经拆包的可执行文件扫描恶意软件包括:这些指令使一个或多个处理单元对最终经拆包 的可执行文件扫描恶意软件。
[0088] 27.示例26的计算机可读介质,其中,指令使一个或多个处理单元对经拆包的可 执行文件扫描恶意软件进一步包括:这些指令使一个或多个处理单元对一个或多个中间自 解压可执行文件中的至少一个扫描恶意软件。
[0089] 28.示例26的计算机可读介质,其中,如果检测到恶意软件,则最终经拆包的可执 行文件不被允许执行。
[0090] 29.来自前述示例中任何一个的计算机可读介质,其中,指令使一个或多个处理单 元允许第一拆包存根对经打包的可执行文件拆包包括:这些指令使一个或多个处理单元使 用硬件辅助的虚拟化来控制存储器页面访问许可以检测执行先前由第一拆包存根写入到 存储器页面中的代码的尝试。
[0091 ] 30.来自前述示例中任何一个的计算机可读介质,其中,指令使一个或多个处理单 元允许第一拆包存根对经打包的可执行文件拆包包括:这些指令使一个或多个处理单元使 用硬件辅助的虚拟化来控制存储器页面访问许可以检测自解压可执行文件的入口点的执 行。
[0092] 31.来自前述示例中任何一个的计算机可读介质,其中,指令使一个或多个处理单 元允许第一拆包存根对经打包的可执行文件拆包包括:这些指令使一个或多个处理单元使 用硬件辅助的虚拟化来控制存储器页面访问许可以检测向先前在其中执行代码的存储器 页面的写入。
[0093] 32.来自前述示例中任何一个的计算机可读介质,其中,指令使一个或多个处理单 元允许第一拆包存根对经打包的可执行文件拆包进一步包括这些指令使一个或多个处理 单元:在检测到写入之后,使用硬件辅助的虚拟化来暂停第一拆包存根的执行;当第一拆 包存根的执行被暂停时,收集试探法统计信息;基于试探法统计信息来判断是否应当扫描 存储器;基于该判断来扫描存储器;以及允许第一拆包存根的执行继续。
[0094] 33.来自前述示例中任何一个的计算机可读介质,其中,在经拆包的可执行文件的 执行之前来执行扫描经拆包的可执行文件。
[0095] 34.来自前述示例中任何一个的计算机可读介质,其中,经打包的可执行文件是使 用未知的或不可检测的打包算法来打包的。
[0096] 35.来自前述示例中任何一个的计算机可读介质,其中,一个或多个试探法包括: 用于将在检测到第一拆包存根的完成之前记录的栈指针值和栈内容与在允许该第一拆包 存根开始对经打包的可执行文件拆包之前记录的栈指针值和栈内容进行比较的试探法。
[0097] 36.来自前述示例中任何一个的计算机可读介质,其中,指令使一个或多个处理单 元允许第一拆包存根对经打包的可执行文件拆包包括:这些指令使一个或多个处理单元在 允许第一拆包存根将经打包的可执行文件拆包为经拆包的可执行文件时,控制第一拆包存 根的执行。
[0098] 37. -种配置成用于对自解压可执行文件拆包以检测恶意软件的设备,包括用于 执行下列操作的模块:将自解压可执行文件加载到存储器中,该自解压可执行程序包括第 一拆包存根和经打包的可执行程序;允许第一拆包存根将经打包的可执行文件拆包为经拆 包的可执行文件;使用一个或多个试探法来检测第一拆包存根的完成;以及,对经拆包的 可执行文件扫描恶意软件。
[0099] 38.示例37的设备,其中,经打包的可执行文件是包括一个或多个中间自解压可 执行文件的经迭代打包的可执行文件,其中,指令使一个或多个处理单元允许第一拆包存 根对经打包的可执行文件拆包包括这些指令使一个或多个处理单元:允许第一拆包存根将 经打包的可执行文件拆包为一个或多个中间自解压可执行文件中的一个;以及允许一个或 多个中间自解压可执行文件中的一个相继地拆包,直到最终拆包存根将最终经打包的可执 行文件拆包为最终经拆包的可执行文件为止,其中,指令使一个或多个处理单元对经拆包 的可执行文件扫描恶意软件包括:指令使一个或多个处理单元对最终经拆包的可执行文件 扫描恶意软件。
[0100] 39.示例38的设备,其中,对经拆包的可执行文件扫描恶意软件进一步包括:对一 个或多个自解压可执行文件中的至少一个扫描恶意软件。
[0101] 40.示例38的设备,其中,如果检测到恶意软件,则最终经拆包的可执行文件不被 允许执行。
[0102] 41.来自前述示例中任何一个的设备,其中,允许第一拆包存根对经打包的可执行 文件拆包包括:使用硬件辅助的虚拟化来控制存储器页面访问许可以检测执行先前由第一 拆包存根写入到存储器页面中的代码的尝试。
[0103] 42.来自前述示例中任何一个的设备,其中,允许第一拆包存根对经打包的可执行 文件拆包包括:使用硬件辅助的虚拟化来控制存储器页面访问许可以检测自解压可执行文 件的入口点的执行。
[0104] 43.来自前述示例中任何一个的设备,其中,允许第一拆包存根对经打包的可执行 文件拆包包括:使用硬件辅助的虚拟化来控制存储器页面访问许可以检测向先前在其中执 行代码的存储器页面的写入。
[0105] 44.来自前述示例中任何一个的设备,其中,允许第一拆包存根对经打包的可执行 文件拆包进一步包括:在检测到写入之后,使用硬件辅助的虚拟化来暂停第一拆包存根的 执行;当所述第一开包存根的执行被暂停时,收集试探法统计信息;基于试探法统计信息 来判断是否应当扫描存储器;基于该判断来扫描存储器;以及允许第一拆包存根的执行继 续。
[0106] 45.来自前述示例中任何一个的设备,其中,在经拆包的可执行文件的执行之前来 执行扫描经拆包的可执行文件。
[0107] 46.来自前述示例中任何一个的设备,其中,经打包的可执行文件是使用未知的或 不可检测的打包算法来打包的。
[0108] 47.来自前述示例中任何一个的设备,其中,一个或多个试探法包括:用于将在检 测到第一拆包存根的完成之前记录的栈指针值和栈内容与在允许该第一拆包存根开始对 经打包的可执行文件拆包之前记录的栈指针值和栈内容进行比较的试探法。
[0109] 48.来自前述示例中任何一个的设备,其中,允许第一拆包存根对经打包的可执 行文件拆包包括:在允许第一拆包存根将经打包的可执行文件拆包为经拆包的可执行文件 时,控制第一拆包存根的执行。
[0110] 49. -种配置成用于对自解压可执行文件拆包以检测恶意软件的设备,包括:用 于将自解压可执行文件加载到存储器中的装置,该自解压可执行文件包括第一拆包存根和 经打包的可执行文件;用于允许第一拆包存根将经打包的可执行文件拆包为经拆包的可执 行文件的装置;用于独立于对第一拆包存根的知晓而使用一个或多个试探法来检测第一拆 包存根的完成的装置;以及用于对经拆包的可执行文件扫描恶意软件的装置。
[0111] 50.前述示例的设备,其中,经打包的可执行文件包括自解压可执行程序的序列, 该序列除最后一个成分之外的每一个成分包括拆包存根和后继自解压可执行文件,其中, 最后一个成分包括最终拆包存根和最终经打包的可执行文件,其中,用于允许第一拆包存 根对经打包的可执行文件拆包的装置包括:用于允许第一拆包存根将经打包的可执行文件 拆包为自解压可执行文件的序列的第一成分的装置;以及,用于允许自解压可执行文件的 序列的每一个成分对后继自解压可执行文件拆包,直到最终拆包存根将最终经打包的可执 行文件拆包为最终经拆包的可执行文件的装置,其中,用于对经拆包的可执行文件扫描恶 意软件的装置包括:用于对最终经拆包的可执行文件扫描恶意软件的装置。
[0112] 以上示例中的特定细节可被用在一个或多个实施例中的任何地方。例如,也可将 以上所描述的设备的所有任选特征实现为本文中所描述的方法或过程。进一步,可将以上 示例实现在系统中的一个设备或多个设备中。
[0113] 以上所描述的示例和实施例可以被实现为具体化在计算机可读存储介质中的计 算机可执行指令或代码。可将计算机可执行指令或计算机程序产品以及在所公开的技术的 实现期间创建并使用的任何数据存储在一个或多个有形的计算机可读存储介质中,诸如, 光介质盘(例如,DVD、⑶)、易失性存储器组件(例如,DRAM、SRAM)或非易失性存储器组件 (例如,闪存、盘驱动器)。计算机可读存储介质可以被包含在诸如固态驱动器、USB闪存驱 动器和存储器模块之类的计算机可读存储设备中。
[0114] 在前述的描述中,为了进行说明,阐述了众多特定细节以提供对所公开的诸实施 例的全面理解。然而,对本领域技术人员显而易见的是,可在没有这些特定细节的情况下实 践所公开的诸实施例。在其他实例中,以框图形式示出结构和设备以避免使所公开的诸实 施例含糊。对不具有下标或后缀的编号的引用被理解为引用对应于所引用编号的下标和后 缀的全部实例。此外,已出于可读性和指导性目的选择了本公开中所使用的语言,可能未选 择这些语言来描绘或限定发明主题,借助于确定此类发明主题所必需的权利要求书。说明 书中对"一个实施例"或对"实施例"的引用意味着结合这些实施例所描述的特定特征、结 构或特性被包括在至少一个所公开的实施例中,并且不应当将对"一个实施例"或"实施例" 的多次引用理解为一定全都引用同一个实施例。
[0115] 还应当理解,以上描述旨在是说明性的而非限制性的。例如,上文所描述的诸实施 例可彼此相结合地使用,并且能以不同于所示的顺序来执行说明性过程步骤。在回顾了以 上描述之后,许多其他实施例对本领域技术人员将是显而易见的。因此,应当参照所附权利 要求书以及被授予权利的此类权利要求的等效方案的完整范围来确定本发明的范围。在所 附权利要求书中,术语"包括"("including")和"其中"("in which")被用作相应的术 语"包括"("comprising")和"其中"("wherein")的简明英语等效词。
【主权项】
1. 一种非瞬态计算机可读介质,包括存储在所述非瞬态计算机可读介质上的计算机可 执行指令,所述计算机可执行指令使一个或多个处理单元: 将自解压可执行文件加载到存储器中,所述自解压可执行文件包括第一拆包存根和经 打包的可执行文件; 允许所述第一拆包存根将所述经打包的可执行文件拆包为经拆包的可执行文件; 独立于对所述第一拆包存根的知晓,使用一个或多个试探法来检测所述第一拆包存根 的完成;以及 对所述经拆包的可执行文件扫描恶意软件。2. 如权利要求1所述的非瞬态计算机可读介质