[发明专利]补救不希望有的应用程序的影响

说明书

背景技术

计算机系统通常容易受到蓄谋破坏的软件(恶意软件(malware))的攻击，例如病毒、蠕虫等。恶意软件的有害影响可包括数据丢失或者对数据未经授权的修改、对计算机设备的损害、破坏安全性以及为了识别和去除该恶意软件以及补救其影响所需的时间和金钱的大量损失。

通常，恶意软件是由没有很多编程知识的个人(有时称作“脚本小子”)所生成的，他们例如可以使用例如病毒工具包之类的现成工具来生成病毒。病毒包容易从互联网下载而获得，例如在恶意黑客和脚本小子经常访问的网站进行下载。这样的人利用病毒工具包或者其它恶意软件生成器可以轻易地造成对多种计算机系统安全性的新威胁。恶意软件从一台计算机传播到另一台通常导致局部或者广泛的病毒发作。为了到达最大可能数量的计算机系统，最普遍的是将病毒工具包设计成生成以运行最近版本的微软视窗操作系统的计算机系统为目标(而不是与其竞争的操作系统-例如Unix或者Linux为目标)的恶意软件。

商业安全解决方案供应商和反恶意软件解决方案供应商(统称为“反病毒商”)已经研发了检测新恶意软件的技术。例如，入侵检测系统(IDS)可以包括用于检测和识别侵入者的蜜罐(honeypot)技术；这种蜜罐技术在捕获恶意软件样本方面已经获得了一些成功。最普遍的是，当经历恶意软件的有害影响时，受到影响的计算机用户、系统或者网络管理员等(统称为“受影响实体”)识别恶意软件。受影响实体最初的发现有时可以是在首次感染之后的几个小时或几天。例如，在受影响实体注意到诸如网络流量增加或者在一些计算机上的CPU利用率增大之类的症状之后，可以识别出新的恶意软件。然后，受影响实体可能怀疑恶意软件，并且在进行一些调查之后，可以向反病毒商提供可疑代码的样本以供分析。

尽管常规的反病毒软件设计成检测并阻挡已知的恶意软件，但是这种反病毒软件通常不会清除或者补救该恶意软件的影响(例如注册变化、本身没有病毒的其它文件变化、服务操作等)。为了有助于补救与恶意软件相关的事故的影响，反病毒商可以生成针对特定恶意软件的工具(通常称作“修复工具(fix tool)”)。为了制备修复工具，反病毒商通常通过对可疑代码进行反向工程来分析恶意软件，并且还可以对该恶意软件所造成的影响进行事后分析。这种分析需要时间和不总是容易获得的资源，并且能够导致对受影响实体的延迟答复。在反病毒商获得新发现的恶意软件的样本之后，该反病毒商可能花费几个小时或几天来分析该样本，开发适当的响应，并且生成并分发用于帮助补救该恶意软件的影响的修复工具。

在某些情况下，反病毒商可能能够在最初几个小时内提供手动清除程序的文件；然而，受影响实体继而不得不手动实施该清除程序，或者为该清除程序开发其自己的自动脚本，同时等待官方的供应商所提供的修复工具的发布。如这里所使用的，“脚本”包括包含任意形式或格式代码的计算机程序。这对于没有大量编程资源的受影响实体而言是耗费时间或者不可能实现的。

即便对于拥有可以用来阻击恶意软件发作的编程资源的受影响实体而言，通常在获得修复工具之前也会出现非常显著的延迟。在典型的方法中，受影响实体等待反病毒商证明恶意软件做了什么。当受影响实体独立地发现了更多的信息时，受影响实体可以向反病毒商提供反馈和/或修正。受影响实体还可以等待一个或多个反病毒商或者其他人(例如与恶意软件相关的新闻组或者在线论坛中的成员)发贴信息。用于防止恶意软件进一步扩散的信息(例如有关IDS签名的信息或者用于远程网络扫描仪的模块，例如Nessus)通常被认为比研发或发贴补救或清除程序更加急迫。等待反病毒商提供补救信息和修复工具会使受影响实体的资源处于危险之中。

恶意软件的反向工程，例如通过反汇编恶意软件的可执行代码和/或检查恶意软件的源代码，是反病毒商发现可能需要补救的恶意软件影响的最常用的方式。然而，反向工程需要相当多的时间和专业的编程技能，并且对于受影响实体的职员而言通常是不可能的或者不切实际的。当发现恶意软件的可补救影响时，准备修复工具也会需要很多时间和受影响实体无法获得的编程资源。

发明内容

在一个实施例中，本发明包括用于补救不希望有的应用程序的影响的系统。所述系统包括脚本生成器和修复工具编制器。所述脚本生成器能够生成脚本，所述脚本包括对应于用于补救不希望有的应用程序的一个或多个影响的一个或多个操作的补救信息。所述修复工具编制器能够生成用于执行这些操作的修复工具。