[发明专利]经由动态转换的主动计算机恶意软件保护

权利要求书

1.一种用于响应于接收执行潜在恶意软件的请求而生成安全程序代码的计算 机实现的方法，所述方法包括：

(a)对所述潜在恶意软件中所包含的程序代码解码；

(b)将已解码的程序代码转换成安全且功能上相等的程序代码；以及

(c)在计算设备上执行所述安全且功能上相等的程序代码；

其中执行所述安全且功能上相等的程序代码的单位是基本块，并且其中所述 基本块的执行包括：

(a)选择所述基本块中的一条指令；

(b)使所述指令由中央处理单元执行；以及

(c)确定对所选指令的执行是否导致中断条件；

其中，当对所选指令的执行使所述基本块中被调度来在所选指令之后执行的 程序代码被更改时，所述基本块被拆分成两个基本块；其中经拆分的两个基本块中 的第一基本块包含已经执行的程序代码，经拆分的两个基本块中的第二基本块包含 所选指令之后的程序代码，且所述第二基本块将被扫描恶意软件，并在执行之前被 转换成安全且功能上相等的程序代码。

2.如权利要求1所述的方法，其特征在于，还包括将所述潜在恶意软件的基 本块加载到存储器中。

3.如权利要求2所述的方法，其特征在于，还包括使扫描器对存储器中所加 载的基本块执行分析以确定所述潜在恶意软件是否由具有恶意的程序代码特征组 成。

4.如权利要求2所述的方法，其特征在于，所述潜在恶意软件的基本块中的 第一条指令被标识。

5.如权利要求2所述的方法，其特征在于，所述潜在恶意软件的基本块中的 最后一条指令被标识。

6.如权利要求1所述的方法，其特征在于，还包括，生成描述所述潜在恶意 软件中的基本块之间的执行流的数据结构。

7.如权利要求1所述的方法，其特征在于，所述对潜在恶意软件中所包含的 程序代码解码包括从所述潜在恶意软件生成体系结构中立程序代码。

8.如权利要求7所述的方法，其特征在于，所述体系结构中立程序代码满足 X86-32位计算机体系结构的规范。

9.如权利要求1所述的方法，其特征在于，所述将已解码程序代码转换成安 全且功能上相等的程序代码包括：

(a)选择所述潜在恶意软件中的一条指令；

(b)生成不能实现恶意软件功能的体系结构中立格式的等效的指令集；以及

(c)将所述体系结构中立格式的等效的指令集编译成可执行的程序代码。

10.如权利要求1所述的方法，其特征在于，所述将已解码的程序代码转换 成安全且功能上相等的程序代码包括：

(a)选择所述已解码程序代码中的一条指令；以及

(b)生成不能实现恶意软件功能的功能上相等且安全的可执行指令集。

11.如权利要求1所述的方法，其特征在于，所执行的安全且功能上相等的 程序代码被配置成：

(a)检测在执行期间发生的出错；

(b)中断执行并调用异常处理程序；以及

(c)使所述异常处理程序完成执行之后恢复执行所必需的信息被存储。