(例如)使用所属领域已知的方法(例如,DLL注入)可识别哪一过程正执行动 作,可检测所述被评估过程正尝试下载文件,且可确定文件从哪个IP地址下载及下载的文 件的磁盘位置等等。同时,以管理程序级执行的过程评估器可仅检测网络包的集合正在主 机系统的网络适配器中循环。尽管将关于被评估过程的行为的信息从管理程序的级恢复在 原则上可为可能的,但此类任务针对恶意软件检测可为不切实际的,因为其可耗费显著的 计算成本。通过组合在相应VM内执行的反恶意软件组件与在VM外部执行的存储器自省引 擎,本发明的一些实施例可使用内部VM组件可获取的丰富的行为数据,同时保护此类组件 的完整性免于相应VM外部的影响。
[0074] 在常规反恶意软件系统中,以类似于操作系统的处理器特权级的处理器特权级执 行的软件组件检测过程何时被启动,且指示其它反恶意软件组件监视相应过程的行为。一 些恶意软件代理设法通过停用检测过程启动的软件组件来破坏此类反恶意软件系统,因此 导致反恶意软件系统仅监视当前执行过程的子集。相反,在本发明的一些实施例中,组件检 测过程启动被移到相应虚拟机外部,其以与操作系统相比较更高的处理器特权级启动。此 类配置可防止恶意软件躲避反恶意软件组件。
[0075] 在一些实施例中,过程评分模块从在相应VM内或外部执行的多个过程评估器接 收每过程评估指示符。从在受保护VM内执行的组件接收的过程评估指示符可指示(例如) 被评估过程已执行恶意软件指示行为(例如,尝试修改0S的注册表值或尝试删除文件)。 在相应VM的外部确定的过程评估指示符可指示(例如)被评估过程正尝试写入受保护存 储器区段。过程评估指示符可包括指示相应过程的恶意程度的数值得分。在一些实施例中, 过程评分模块根据从各种过程评估器接收的多个过程评估指示符/得分来确定累积得分, 且根据所述累积得分来确定被评估过程是否为恶意的。
[0076] 所属领域的技术人员将清楚,在不脱离本发明的范围的情况下,可以多种方式更 改以上实施例。因此,本发明的范围应由所附权利要求书及其合法等效物确定。
【主权项】
1. 一种包括至少一个处理器的主机系统,其经配置以执行: 管理程序,其经配置以公开虚拟机; 过程评估器,其在所述虚拟机内执行; 存储器自省引擎,其在所述虚拟机的外部执行;及 过程评分模块,其中: 所述过程评估器经配置以: 确定在所述虚拟机内执行的被评估过程是否执行动作,且 作为响应,当所述被评估过程执行所述动作时,将第一过程评估指示符传输到所述过 程评分模块,所述第一过程评估指示符是针对所述被评估过程确定; 所述存储器自省引擎经配置以: 拦截对操作系统功能的调用,以检测在所述虚拟机内执行的受保护过程的启动,其中 所述操作系统功能经配置以将所述受保护过程添加到在所述虚拟机内执行的过程列表,且 响应于检测到所述启动, 确定所述被评估过程是否尝试修改所述受保护过程的存储器页,且 作为响应,当所述被评估过程尝试修改所述存储器页时, 将第二过程评估指示符传输到所述过程评分模块,所述第二过程评估指示符是针对所 述被评估过程确定;且 所述过程评分模块经配置以: 接收所述第一及第二过程评估指示符,且 作为响应,根据所述第一及第二过程评估指示符来确定所述被评估过程是否为恶意 的。2. 根据权利要求1所述的系统,其中所述存储器自省引擎进一步经配置以: 响应于检测到所述受保护过程的所述启动,将所述受保护过程的指示符发送到在所述 虚拟机内执行的安全应用程序,且 作为响应,从所述安全应用程序接收所述存储器页的指示符。3. 根据权利要求1所述的主机系统,其中所述过程评估器包括以处理器特权的用户级 执行的用户级过程评估器,所述用户级过程评估器经配置以确定所述被评估过程是否执行 所述动作。4. 根据权利要求1所述的主机系统,其中所述过程评估器包括以处理器特权的内核级 执行的内核级过程评估器,所述内核级过程评估器经配置以确定所述被评估过程是否执行 所述动作。5. 根据权利要求1所述的主机系统,其中所述过程评估器包括系统调用评估器,所述 系统调用评估器经配置以拦截由所述被评估过程执行的系统调用。6. 根据权利要求1所述的主机系统,其中所述过程评分模块在所述虚拟机内执行。7. 根据权利要求1所述的主机系统,其中所述过程评分模块在所述虚拟机外部执行。8. 根据权利要求1所述的主机系统,其中确定所述被评估过程是否为恶意的包括根据 第一得分及第二得分确定累积得分,所述第一得分及所述第二得分是根据所述第一过程评 估指示符及所述第二过程评估指示符在安全服务器处分别确定,其中所述安全服务器经配 置以执行与包含所述主机系统的多个计算机系统的反恶意软件事务。9. 根据权利要求1所述的主机系统,其中确定所述被评估过程是否为恶意的包括根据 第一得分与第二得分的加权总和来确定累积得分,所述第一得分及所述第二得分是根据所 述第一过程评估指示符及所述第二过程评估指示符分别确定,且其中所述过程评分模块进 一步经配置以从安全服务器接收第一权重及第二权重,所述第一权重乘所述加权总和中的 所述第一得分,且所述第二权重乘所述加权总和中的所述第二得分,且其中所述安全服务 器经配置以执行与包含所述主机系统的多个计算机系统的反恶意软件事务。10. 根据权利要求1所述的主机系统,其中所述受保护过程包含所述过程评分模块。11. 根据权利要求1所述的主机系统,其中所述受保护过程形成包括所述过程评估器 的安全应用程序的部分。12. -种非暂时性计算机可读媒体,其编码指令,所述指令当在包括至少一个处理器的 主机系统上执行时导致所述主机系统形成: 管理程序,其经配置以公开虚拟机; 过程评估器,其在所述虚拟机内执行; 存储器自省引擎,其在所述虚拟机的外部执行;及 过程评分模块,其中: 所述过程评估器经配置以: 确定在所述虚拟机内执行的被评估过程是否执行动作,且 作为响应,当所述被评估过程执行所述动作时,将第一过程评估指示符传输到所述过 程评分模块,所述第一过程评估指示符是针对所述被评估过程确定; 所述存储器自省引擎经配置以: 拦截对操作系统功能的调用,以检测在所述虚拟机内执行的受保护过程的启动,其中 所述操作系统功能在所述虚拟机内执行且经配置以将所述受保护过程添加到在所述虚拟 机内执行的过程列表,且 响应于检测到所述启动, 确定所述被评估过程是否尝试修改所述受保护过程的存储器页,且 作为响应,当所述被评估过程尝试修改所述存储器页时, 将第二过程评估指示符传输到所述过程评分模块,所述第二过程评估指示符是针对所 述被评估过程确定;且 所述过程评分模块经配置以: 接收所述第一及第二过程评估指示符,且 作为响应,根据所述第一及第二过程评估指示符来确定所述被评估过程是否为恶意 的。13. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述存储器自省引擎进一 步经配置以: 响应于检测到所述受保护过程的所述启动,将所述受保护过程的指示符发送到在所述 虚拟机内执行的安全应用程序,且 作为响应,从所述安全应用程序接收所述存储器页的指示符。14. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述过程评估器包括以处 理器特权的用户级执行的用户级过程评估器,所述用户级过程评估器经配置以确定所述被 评估过程是否执行所述动作。15. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述过程评估器包括以处 理器特权的内核级执行的内核级过程评估器,所述内核级过程评估器经配置以确定所述被 评估过程是否执行所述动作。16. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述过程评估器包括系统 调用评估器,所述系统调用评估器经配置以拦截由所述被评估过程执行的系统调用。17. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述过程评分模块在所述 虚拟机内执行。18. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述过程评分模块在所述 虚拟机外部执行。19. 根据权利要求12所述的非暂时性计算机可读媒体,其中确定所述被评估过程是否 为恶意的包括根据第一得分及第二得分确定累积得分,所述第一得分及所述第二得分是根 据所述第一过程评估指示符及所述第二过程评估指示符在安全服务器处分别确定,其中所 述安全服务器经配置以执行与包含所述主机系统的多个计算机系统的反恶意软件事务。20. 根据权利要求12所述的非暂时性计算机可读媒体,其中确定所述被评估过程是否 为恶意的包括根据第一得分与第二得分的加权总和来确定累积得分,所述第一得分及所述 第二得分是根据所述第一过程评估指示符及所述第二过程评估指示符分别确定,且其中所 述过程评分模块进一步经配置以从安全服务器接收第一权重及第二权重,所述第一权重乘 所述加权总和中的所述第一得分,且所述第二权重乘所述加权总和中的所述第二得分,且 其中所述安全服务器经配置以执行与包含所述主机系统的多个计算机系统的反恶意软件 事务。21. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述受保护过程包含所述 过程评分模块。22. 根据权利要求12所述的非暂时性计算机可读媒体,其中所述受保护过程形成经配 置以执行所述过程评估器的安全应用程序的部分。23. -种方法,其包括: 使用主机系统的至少一个处理器以接收针对被评估过程而确定的第一过程评估指示 符,所述被评估过程在由在所述主机系统上执行的管理程序公开的虚拟机内执行; 使用所述至少一个处理器以接收针对所述被评估过程而确定的第二过程评估指示符; 且 响应于接收到所述第一及第二过程评估指示符,使用所述至少一个处理器以根据所述 第一及第二过程评估指示符来确定所述被评估过程是否为恶意的; 其中确定所述第一过程评估指示符包括使用在所述虚拟机内执行的过程评估器来确 定所述被评估过程是否执行第一动作, 且其中确定所述第二过程评估指示符包括使用在所述虚拟机的外部执行的存储器自 省引擎来确定所述被评估过程是否执行第二动作。24. -种方法,其包括: 使用主机系统的至少一个处理器以执行存储器自省引擎,所述存储器自省引擎在由在 所述主机系统上执行的管理程序公开的虚拟机的外部执行,其中执行所述存储器自省引擎 包括检测在所述虚拟机内执行的过程的启动; 响应于所述存储器自省引擎检测到所述过程的所述启动,使用所述至少一个处理器以 确定所述过程的第一及第二过程评估指示符;以及 响应于确定所述第一及第二评估指示符,使用所述至少一个处理器以根据所述第一及 第二过程评估指示符来确定所述过程是否为恶意的。
【专利摘要】所描述的系统及方法允许保护计算机系统不受例如病毒及rootkits的恶意软件的攻击。反恶意软件组件在由在所述计算机系统上执行的管理程序公开的虚拟机VM内执行。存储器自省引擎以所述管理程序的处理器特权级在所述虚拟机外部执行,且通过写入保护相应过程的存储器页来保护在所述虚拟机内执行的过程。通过组合在所述相应VM内部及外部执行的反恶意软件组件,本发明的一些实施例可使用内部VM组件可获取的丰富的行为数据,同时保护此类组件的完整性免受所述相应VM外部的影响。
【IPC分类】G06F21/56
【公开号】CN105393255
【申请号】CN201480038552
【发明人】山多尔·卢卡奇, 劳尔-瓦西里·托萨, 保罗-丹尼尔·博卡, 格奥尔基-弗洛兰·哈嘉玛山, 安德烈-弗拉德·鲁塔斯
【申请人】比特梵德知识产权管理有限公司
【公开日】2016年3月9日
【申请日】2014年7月2日
【公告号】CA2915888A1, EP3017392A1, US9117080, US20150013008, WO2015152748A1