[发明专利]用于处理恶意软件的方法和装置

权利要求书

1.一种将计算机对象分类为恶意软件的方法，所述方法包括：

在基计算机处，从多个远程计算机中的每一个接收关于计算机对象的数据，所述对象或类似对象存储在远程计算机上，其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件的信息，所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份；

在所述基计算机处存储从多个远程计算机接收的所述数据；

在所述基计算机中，比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系；以及

根据所述比较，将所述计算机对象分类为恶意软件。

2.根据权利要求1所述的方法，其中所述关系是直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。

3.根据权利要求1或2所述的方法，其中当发现对象和其他对象具有关系时，监控作为同类实体的那些相关的对象。

4.根据权利要求1或2所述的方法，包括基于相关的对象的行为将对象推导为恶意软件。

5.根据权利要求1或2所述的方法，其中如果所述对象相关的至少一个其他对象被分类为恶意软件，则将所述对象分类为恶意软件。

6.根据权利要求1或2所述的方法，其中所述其他对象包括存储在至少一些远程计算机上的对象或类似对象。

7.根据权利要求1到6的任意一项所述的方法，其中所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。

8.根据权利要求1到7的任意一项所述的方法，其中关于从所述多个远程计算机发送到所述基计算机并且在比较中使用的所述计算机对象的所述数据包括以下中的一个或多个：

包含在所述对象内或者由所述对象组成的可执行指令；所述对象的大小；所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；以及对象头部或由所述远程计算机保持的头部。

9.根据权利要求1到8的任意一项所述的方法，其中以关键字的形式发送所述数据，所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。

10.根据权利要求9所述的方法，其中所述关键字具有至少一个部分，所述部分表示包含在所述对象内或由所述对象组成的可执行指令。

11.根据权利要求9或10所述的方法，其中所述关键字具有至少一个部分，所述部分表示关于所述对象的数据。

12.根据权利要求11所述的方法，其中关于所述对象的所述数据包括以下中的至少一个：所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；对象头部或由所述远程计算机保持的头部；以及当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件。

13.根据权利要求9到12的任意一项所述的方法，其中所述关键字具有至少一个部分，所述部分表示所述对象的物理大小。

14.根据权利要求1到13的任意一项所述的方法，包括初始将对象分类为非恶意软件，生成所述对象的掩码，所述掩码定义所述对象的可接受行为，并且包括监控至少一个所述远程计算机上的对象的操作，以及如果所述实际监控的行为超出了所述掩码允许的行为，则将所述对象重新分类为恶意软件。