[发明专利]经由动态转换的主动计算机恶意软件保护

说明书

技术领域

本发明涉及计算设备，尤其涉及针对恶意软件的计算设备保护。

背景技术

随着越来越多的计算机和其它计算设备经由诸如因特网等各种网络互连，计 算机安全变得日益重要，尤其对于经由网络或信息流传递的侵入或攻击。如本领域 的技术人员可以认识到的，这些攻击具有各种形式，包括但当然不限于，计算机病 毒、计算机蠕虫、系统组件替换、服务拒绝攻击、甚至是对合法的计算机系统特性 的误用/滥用，所有这些都为不合法的目的而利用一个或多个计算机系统的漏洞。 尽管本领域的技术人员将认识到各种计算机攻击在技术上彼此不同，但为本发明的 目的以及描述的简明性起见，所有恶意计算机程序在后文中一般被称为计算机恶意 软件，或简称为恶意软件。

当计算设备被计算机恶意软件攻击或“感染”时，不利的结果是各有不同的， 包括禁用系统设备；擦除或破坏固件、应用程序或数据文件；将潜在敏感的数据发 送给网络上的另一位置；关闭计算机设备；或使计算设备崩溃。众多而不是全部计 算机恶意软件的另一有害方面在于，受感染的计算设备被用于感染其它系统。

针对计算机恶意软件，尤其是计算机病毒和蠕虫的传统防御是反病毒软件。 一般而言，反病毒软件扫描传入的数据、查找与已知计算机恶意软件相关联的可标 识模式。而且，反病毒软件越来越多地利用将传入的数据与已知恶意软件的特征进 行比较的试探技术。在任何情况中，当检测到计算机恶意软件时，反病毒软件可通 过从受感染的数据中移除该计算机恶意软件、隔离该数据或删除受感染的传入数据 来响应。不幸的是，反病毒软件一般对已知的、可标识的计算机恶意软件起作用。 通常，这是通过将数据内的模式与所谓的恶意软件的“签名”进行比较来完成的。 这种恶意软件检测模型的核心缺陷之一在于，未知的计算机恶意软件可在网络中未 经检查地传播，直到计算设备上的反病毒软件被更新来标识并响应该恶意软件。

随着反病毒软件对识别成千种已知计算机恶意软件变得越来越老练且高效， 计算机恶意软件也变得越来越复杂。例如，恶意计算机用户现在对恶意软件加密以 便在不可识别模式背后模糊恶意软件签名。例如，多形(polymorphic)恶意软件 由恶意软件解密例程和经加密的恶意软件“有效负载”组成。当用户执行受感染程 序时，恶意软件解密例程获取对该计算设备的控制，并对之前加密的恶意软件有效 负载解密。然后，解密例程将对计算设备的控制传送给已解密的恶意软件有效负载。 每当新目标被感染时，恶意软件复制解密例程和恶意软件有效负载两者。一般，用 于加密恶意软件有效负载的加密密钥在恶意软件被复制时被改变。结果是，经加密 的恶意软件不具有反病毒软件可用于识别恶意软件的可标识模式或“签名”。

当寡形(oligomorphic)恶意软件被创建时，反病毒软件开发员认识到，解密 例程在恶意软件的各版本之间保持不变。反病毒软件开发员通过不仅扫描恶意软件 签名，还扫描已知与恶意软件相关联的专用解密例程来利用该弱点。作为响应，恶 意计算机用户开发了被设计成防止解密例程被标识的更复杂的恶意软件(后文中， 使用被设计成隐藏恶意软件签名的技术的所有类型的恶意软件将被称为“隐蔽 (obscured)恶意软件”)。

图1是示出可用于分发“有效负载”的被称为多形恶意软件100的一种隐蔽 恶意软件的示意图。如图1中所示，多形恶意软件100附加到主机程序102，且在 此实例中，它被示为包括加密引擎106、解密例程108以及多形文件传染者110的 病毒104。多形恶意软件100对病毒104的片段加密以防止可标识签名被标识。然 而，病毒104还包括每当病毒104传播时即生成随机加密例程的加密引擎106。当 病毒104运行时，多形文件传染者110标识新目标，并在计算机存储器中复制病毒 104。此时，加密引擎106随机生成具有极少或不具有与之前开发的加密例程的相 似性的新加密例程。然后，病毒104的经加密的副本被追加给被标识的目标。结果， 病毒104被加密，且用于加密和解密的例程随感染而有所不同。在没有固定恶意软 件签名或固定加密例程的情况中，常规的反病毒软件不可能检测多形恶意软件 100，因为签名不可标识。

考虑到上述问题，计算机用户拥有针对诸如隐蔽恶意软件等恶意软件来主动 保护计算机的软件将是有利的。

发明概述