[发明专利]计算设备中的恶意软件检测

权利要求书

1.一种操作计算设备的方法，其中，所述设备通过以下方式来防护于可执行恶意软件：

a.将可执行程序从所述设备上的不可执行存储器分离；以及

b.仅允许执行来自于可执行存储器的任何代码；以及

c.使用第一软件实体，所述第一软件实体能够就恶意软件仅扫描所述设备上的可执行存储器。

2.根据权利要求1所述的方法，其中，所述计算设备上的存储器包括可以被设定为可执行或不可执行的页面。

3.根据权利要求1或2所述的方法，其中，所述第一软件响应于所述设备上的可执行存储器的内容已经被改变的通知，而就恶意软件来扫描所述设备上的所述可执行存储器。

4.根据权利要求3所述的方法，其中，所述通知是可执行存储器的单个页面已经被改变，并且其中所述第一软件实体通过仅对已经发生改变的页面进行扫描来进行响应。

5.根据权利要求4所述的方法，其中，针对待扫描页面的未处理的通知或请求被保持在队列中，直到它们可以被处理。

6.根据权利要求3至5中任一项所述的方法，其中，寻求执行来自被改变的可执行存储器的代码的软件应用被阻止执行来自被改变的可执行存储器的代码，直到已经就恶意软件对所述被改变存储器进行了扫描。

7.根据权利要求6所述的方法，其中，检测被改变的可执行页面中的恶意软件使得寻求执行其内容的软件应用被中止。

8.根据权利要求6或7所述的方法，其中，检测被改变的可执行页面中的恶意软件使得将对被检测为包含所述恶意软件的存储器进行清除。

9.根据权利要求2所述的方法，其中，所述计算设备被设置为：可写入存储器不能被执行，并且可执行存储器不能被写入，并且其中，使得第二软件实体能够将所述存储器中的页面标记为可写入或可执行。

10.根据权利要求9所述的方法，其中，寻求执行来自一个或多个可写入存储器页面的代码的软件应用请求所述第二软件实体使所述页面可执行，并且所述第二软件实体并不履行该请求，直到所述第一软件实体已经将所述页面标记为只读并且已经就恶意软件了扫描所述页面。

11.根据权利要求10所述的方法，其中，存储器页面中恶意软件的检测使得所述存储器页面被标记为可写入而不是可执行。

12.根据权利要求10或11所述的方法，其中，存储器页面中恶意软件的检测使得中止寻求执行其内容的软件应用。

13.根据权利要求10-12中任一项所述的方法，其中，存储器页面中恶意软件的检测使得将所述页面的内容清除。

14.一种操作计算设备的方法，包括根据权利要求3-8中任一项所述的方法与根据权利要求9-13中任一项所述的方法的结合。

15.一种计算设备，其被编程以实现根据权利要求1-14中任一项所述的方法。

16.一种操作系统，其用于使计算设备按照根据权利要求1-14中任一项所述的方法来执行。