恶意代码动态检测方法及装置与流程

技术领域

本发明实施例涉及计算机安全技术领域，尤其涉及一种恶意代码动态检测方法及装置。

背景技术：

随着计算机应用的日益普及，包括病毒、木马在内的恶意程序的数量也迅速增长，其中恶意程序通常是指带有攻击意图所编写的一段程序，用于窃取用户文件、隐私、账户等信息。恶意程序可以通过很多传播途径来侵害用户的电脑，例如便携的移动介质，如闪存盘，光盘等，而随着计算机网络技术的广泛应用，互联网逐渐成为恶意程序传播的主要途径之一，黑客或恶意程序传播者将木马等恶意程序文件伪装成其他类型文件，并引诱用户点击和下载，而恶意程序一旦被下载到用户计算机并成功运行，黑客或恶意程序传播者就可以利用这些恶意程序，进行破坏用户计算机，窃取用户个人信息等不法行为。

利用操作系统以及应用软件的漏洞实施攻击，是使恶意程序在用户计算机上成功植入和运行的最主要手段之一。漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误。这些缺陷或错误往往可以被黑客利用来植入木马等恶意程序，侵害或控制甚至破坏用户计算机软硬件系统，或者窃取用户的重要资料和信息。

目前，现有的研究更多是把目光集中在入侵监测，对入侵的预警研究不多，能做到在安全态势感知的基础上达成体系预警的系统非常少；并且入侵监测通过人工方式对可疑代码中每条指令逐条进行特征分析，来检测可疑代码是否为恶意代码，存在速度慢、效率低的技术问题。

技术实现要素：

本发明实施例提供了一种恶意代码动态检测方法及装置，用以解决现有技术中恶意代码检测时存在的速度慢、效率低等问题。

针对现有技术存在的问题，本发明实施例提供了一种恶意代码动态检测方法，包括：

当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；

若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；

根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

具体地，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：

判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；

若不存在，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；

若存在，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；

若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。

具体的，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：

判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；

若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。

具体的，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码包括：

判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；

判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；

若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。

进一步地，所述根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码之后，所述方法还包括：

若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。

本发明实施例提供了一种恶意代码动态检测装置，包括：

判断单元，用于当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；

执行单元，用于若所述文件执行事件可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；

所述判断单元，还用于根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

具体的，所述判断单元包括：

判断模块，用于判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；

记录模块，用于若不存在所述访问注册表操作，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；

所述判断模块还用于，若存在所述访问注册表操作，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；

确定模块，用于若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。

所述判断模块，还用于判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；

所述确定模块，还用于若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。

所述判断模块，还用于判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；

所述判断模块，还用于判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；

所述确定模块，还用于若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。

进一步地，所述装置还包括：

恢复单元，用于若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。

本发明实施例提供的一种恶意代码动态检测方法及装置，当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，最后根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。与传统的恶意代码检测不同，本发明实施例并未采集各个网络环节的检测数据，而是利用虚拟执行技术设计特定的虚拟环境，将可疑的文件执行事件定向到与真实环境相隔离的虚拟环境中执行，并通过记录、分析、对比网络应用在虚拟环境内执行前后主机内的文件、注册表、进程、服务、网络等5个关键模块的状态特征变化识别检测出恶意代码，从而通过本发明实施例大大降低了真实环境下主机被入侵或信息被泄露的可能性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种恶意代码动态检测方法流程图；

图2为本发明实施例提供的另一种恶意代码动态检测方法流程图；

图3为本发明实施例提供的一种恶意代码动态检测装置结构示意图；

图4为本发明实施例提供的另一种恶意代码动态检测装置结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种恶意代码动态检测方法，如图1所示，所述方法包括：

101、当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑。

其中，所述预置告警库中存储有各种可疑文件执行的特征信息；当真实环境的文件探针检测到文件执行事件时，首先基于预置告警库中的各种可疑文件执行的特征信息判断文件执行事件是否可疑。

102、若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行。

其中，所述虚拟环境中存储有真实环境中的文件、目录。如果是可疑文件执行事件，则拦截文件，并将所述文件执行事件复制到虚拟环境中，然后在受控的虚拟环境下执行；如果不是可疑文件执行事件，即没有命中预置告警库，则让文件在真实环境中执行，同时记录执行操作后文件系统的变化特征，作为深度分析的依据。

在本发明实施例中，可疑文件执行事件定向到虚拟环境后，通过监测文件执行情况判断文件是否为恶意程序或带有恶意程序，如果是则输出告警信息，并将告警信息加入告警库，如果不是则取消拦截，恢复文件执行事件至真实环境中执行。

103、根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。

其中，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。需要说明的是，由于恶意代码的各种操作最终都会通过调用内核级API 函数来完成，因此通过使用API Hook技术拦截并控制Windows 中的文件管理API 就能够取得恶意代码对文件的操作信息。当有程序读、写和创建文件就会调用这些被拦截的API 函数。如若程序要创建文件，就会调用ZwCreateFile 函数；同样地，读取文件的内容时，会相应地调用ZwReadFile 函数，写文件时，就会执行ZwWriteFile 函数。一旦发现被拦截的API 函数被调用，系统就会利用重定向技术将真实环境中的文件、目录重定向到虚拟环境中去，即虚拟环境中的程序修改的文件和目录只是原文件的副本，从而保证了真实环境下文件系统的安全。

本发明实施例提供了另一种恶意代码动态检测方法，如图2所示，所述方法包括：

201、当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑。

其中，所述预置告警库中存储有各种可疑文件执行的特征信息。

202、若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行。

其中，所述虚拟环境中存储有真实环境中的文件、目录。步骤202包括：判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；若不存在，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；若存在，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。

需要说明的是，注册表记录所有应用程序信息和驱动程序信息的数据库，是操作系统的核心。系统启动、应用程序运行以及硬件驱动程序装载都受注册表的控制，因此通过所述文件执行事件的访问注册表操作可以判断出文件执行事件是否为恶意代码。在本发明实施例中，首先需要判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作，如果没有访问注册表的操作，应实时记下操作记录，为后续分析提供依据。如果有，则应再判断访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作，即判断文件副本执行时是否恶意修改、删除或创建注册表信息，特别应注意那些影响系统启动的注册表项。如果属于恶意注册表操作，则将所述文件执行事件确定为恶意代码；如果不属于恶意注册表操作，则输出操作记录，为将来可能进行的人工审核提供素材。

Windows为注册表设计了一套管理API，恶意程序通常都是通过系统提供的注册表访问API 函数来获取系统信息并修改、添加或删除一个表项或键值任何程序要打开、创建、删除以及设置注册表项，都得通过内核级函数RegOpen-Key、RegCreateKey、RegDeleteKey和RegSetValue来实现。因此，当有程序修改注册表操作时应首先检查虚拟环境中是否存在该注册表项，若注册表项存在，则直接打开虚拟环境中该注册表项并返回；否则检查真实环境下该注册表项是否存在，如果真实系统下注册表项存在，则利用虚拟环境的重定向技术将真实系统下的注册表项重定向到虚拟环境中再执行。

对于本发明实施例，步骤202包括：判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。在所述虚拟环境中文件执行事件的进程操作主要从4个方面对进程进行监测：注入操作主要监测是否存在写进程内存、创建远程线程等可疑操作； 加载模块主要监测非系统目录下的模块加载和驱动程序加载；修改内存属性主要监测内存属性修改为可执行属性的行为；创建内核对象通过内核对象，可以识别某些恶意代码。预置恶意执行结果库中的恶意进程操作的作用与预置恶意执行结果库中的恶意注册表操作类似，存储着恶意代码执行对进程可能造成的各类影响的特征。

在本发明实施例中，步骤202还包括：判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。

恶意代码常利用Windows 的系统服务实现自启动并获取较高权限。由于创建新服务的网络应用带有恶意行为的可能性较高，因此，对服务过程的监测十分重要。服务策略设计的实现主要包括2个方面：记录程序创建服务的信息；对服务执行进行跟踪。在对虚拟环境内服务进行跟踪的过程中，一旦发现有非法操作就在真实环境中阻止上述网络应用创建新服务，从而保证在待检测程序可以“正常”运行的前提下，完成对程序的检测、分析，而不会对本地真实环境造成任何破坏。

攻击者往往在用户浏览网页时采用水坑式攻击方法，诱使用户访问一个已被插入恶意代码的Web链接或者打开一个特定的邮件附件。Web 链接或邮件附件往往会显示热点新闻或者其他人们感兴趣的内容，一旦用户访问此链接或附件，就会引发后续的漏洞利用过程。针对此类情况，本发明实施例利用网络探针实时捕获网络的数据流量，基于已有的特征库实时分析已捕获的网络数据包。当发现可疑网络流量时，利用虚拟执行技术将该网络连接程序重定向到虚拟环境中执行，最后将告警信息存入特征库中。

203、根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。

204、若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。

本发明实施例提供的一种恶意代码动态检测方法，当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，最后根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。与传统的恶意代码检测不同，本发明实施例并未采集各个网络环节的检测数据，而是利用虚拟执行技术设计特定的虚拟环境，将可疑的文件执行事件定向到与真实环境相隔离的虚拟环境中执行，并通过记录、分析、对比网络应用在虚拟环境内执行前后主机内的文件、注册表、进程、服务、网络等5个关键模块的状态特征变化识别检测出恶意代码，从而通过本发明实施例大大降低了真实环境下主机被入侵或信息被泄露的可能性。

进一步地，作为图1所述方法的具体实现，本发明实施例提供了一种恶意代码动态检测装置，如图3所示，所述装置包括：判断单元31、执行单元32。

判断单元31，用于当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；

执行单元32，用于若所述文件执行事件可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；

所述判断单元31，还用于根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

需要说明的是，本发明实施例提供的一种恶意代码动态检测装置所涉及各功能单元的其他相应描述，可以参考图1中的对应描述，在此不再赘述。本发明实施例中可以通过硬件处理器（hardware processor）来实现相关功能模块。

进一步地，作为图2所述方法的具体实现，本发明实施例提供了另一种恶意代码动态检测装置，如图4所示，所述装置包括：判断单元41、执行单元42。

判断单元41，用于当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；

执行单元42，用于若所述文件执行事件可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；

所述判断单元41，还用于根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

对于本发明实施例，所述判断单元41包括：

判断模块411，用于判断在所述虚拟环境中所述文件执行事件的执行过程中是否存在访问注册表操作；

记录模块412，用于若不存在所述访问注册表操作，则记录所述文件执行事件在所述虚拟环境中的访问注册表操作；

所述判断模块411，还用于若存在所述访问注册表操作，则判断所述文件执行事件的访问注册表操作是否属于所述预置恶意执行结果库中的恶意注册表操作；

确定模块413，用于若所述文件执行事件的访问注册表操作属于恶意注册表操作，则将所述文件执行事件确定为恶意代码。

所述判断模块411，还用于判断在所述虚拟环境中文件执行事件的进程操作是否属于所述预置恶意执行结果库中的恶意进程操作；

所述确定模块413，还用于若所述文件执行事件的进程操作属于所述预置恶意执行结果库中的恶意进程操作，则将所述文件执行事件确定为恶意代码。

所述判断模块411，还用于判断在所述虚拟环境中文件执行事件的网络操作是否属于所述预置恶意执行结果库中的恶意网络操作；

所述判断模块411，还用于判断在所述虚拟环境中文件执行事件的服务操作是否属于所述预置恶意执行结果库中的恶意服务操作；

所述确定模块413，还用于若所述文件执行事件的网络操作属于所述预置恶意执行结果库中的恶意网络操作，或所述文件执行事件的服务操作属于所述预置恶意执行结果库中的恶意服务操作，则将所述文件执行事件确定为恶意代码。

进一步地，所述装置还包括：

恢复单元43，用于若所述文件执行事件不是恶意代码，则恢复所述文件执行事件在真实环境中执行。

需要说明的是，本发明实施例提供的另一种恶意代码动态检测装置所涉及各功能单元的其他相应描述，可以参考图2中的对应描述，在此不再赘述。本发明实施例中可以通过硬件处理器来实现相关功能模块。

本发明实施例提供的一种恶意代码动态检测装置，当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，最后根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码。与传统的恶意代码检测不同，本发明实施例并未采集各个网络环节的检测数据，而是利用虚拟执行技术设计特定的虚拟环境，将可疑的文件执行事件定向到与真实环境相隔离的虚拟环境中执行，并通过记录、分析、对比网络应用在虚拟环境内执行前后主机内的文件、注册表、进程、服务、网络等5个关键模块的状态特征变化识别检测出恶意代码，从而通过本发明实施例大大降低了真实环境下主机被入侵或信息被泄露的可能性。

所述恶意代码动态检测装置包括处理器和存储器，上述判断单元、执行单元和恢复单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决现有技术中恶意代码检测时存在的速度慢、效率低等问题。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：当在真实环境中检测到文件执行事件时，根据预置告警库判断所述文件执行事件是否可疑，所述预置告警库中存储有各种可疑文件执行的特征信息；若可疑，则拦截所述文件执行事件在所述真实环境中的执行，并将所述文件执行事件复制到虚拟环境中执行，所述虚拟环境中存储有真实环境中的文件、目录；根据所述文件执行事件在所述虚拟环境中的执行结果和预置恶意执行结果库判断所述文件执行事件是否为恶意代码，所述预置恶意执行结果库中存储有各种恶意代码的执行结果。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器 (CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体 (transitory media)，如调制的数据信号和载波。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。