[发明专利]检测计算机系统内隐藏的对象

说明书

技术领域

本发明总体上涉及数据处理系统中的安全，且具体而言，涉及在此类系统中确定隐藏的对象的存在，其相应地可被用于检测恶意软件的存在，例如恶意rootkit。

背景技术

当前，全世界的计算机用户都被恶意软件的传播问题所困扰，其不仅影响运行MS windows版本的计算机，还影响其它并不普及的平台。恶意软件正愈来愈复杂化，迫使反恶意软件的开发商持续地寻找用于检测和移除恶意软件程序的新的途径。

除了常规的例如数字签名检查和使用仿真程序的检测方法之外，其它被使用的技术包括用于入侵检测或入侵防御的系统，所述系统控制程序并维护由受信任的应用程序所组成的白名单。

特别令人关注的是被称为rootkit的恶意软件程序，到目前为止，利用传统的安全措施还无法对其进行有效的处理。这些程序能够在计算机系统中使用例如劫持管理员（或更高级别）权限的技术来隐藏它们存在的痕迹。这类程序很难通过使用已知的反病毒技术来检测，因为已知的技术已经限制了发现隐藏的对象的能力，所述隐藏的对象例如，隐藏的文件、隐藏的进程或隐藏的注册表项。

为了隐藏他们的存在，rootkit使用各种拦截系统功能的方法，例如拦截也就是挂载（hooking），和改变响应程序功能调用所返回的信息。例如，rootkit能够发现请求某些注册表项的程序功能调用，并且取代返回那些实际的注册表项，rootkit将修改或简化后的注册表项列表返回给调用程序。

值得注意的是，除了将rootkit作为恶意软件的传统观念以外，一些rootkit可被用于合法的应用程序，例如防拷贝技术。检测rootkit的已知方法包含创建与单个rootkit相应的特定过程（例如rootkit的操作可以被绕过，或干扰rootkit所使用的系统功能拦截）。对安全程序开发者来说这些方法表现出密集型的负担，开发者需要努力跟上恶意软件的不断扩展的增长。

另一个途径，如在公开号为2007/0078915（发明人为Gassoway）的美国专利申请中所披露的，包含在内核空间运行单独的检测器，所述单独的检测器能绕过某些可能已被rootkit所损害的操作系统的核心代码。如果通过受损的内核代码以及通过单独的检测器双方来请求关于该计算机系统的信息，在两个单独的结果之间的任何差异都可能表明rootkit的存在。这种途径提供了一种用于在对特定的现有rootkit没有先验知识的情况下检测rootkit的手段；但是，单独的检测器本身可能受到针对特定安全技术的类rootkit的恶意软件的损害。

此外，不排除在不久的将来，rootkit或类rootkit的恶意软件可能针对计算机系统的不具备检测这类恶意软件的能力的其他部分。

因此，需要克服上述或其它挑战的用于有效检测rootkit的改进技术。

发明内容

本发明一方面旨在提供一种计算机系统，所述计算机系统用于检测可能被隐藏在其中的对象。所述计算机系统具有计算机电路，所述计算机电路至少包括与存储器配置（arrangement）连接的处理器，所述计算机电路至少被配置为执行操作系统和安全配置。所述操作系统适合于帮助实现多个进程的执行以及提供至少一个原生（native）服务模块，所述原生服务模块响应由所述多个进程的至少其中之一做出的请求，返回与所述计算机系统中至少一个对象有关的第一组所请求的信息。

所述安全配置包括次级（secondary）服务模块，所述次级服务模块适合于响应由所述多个进程中至少一个已授权的进程做出的请求，生成并返回与所述计算机系统中的所述至少一个对象有关的第二组所请求的信息。在生成所述第二组所请求的信息的过程中，所述次级服务模块绕过所述至少一个原生服务模块。进一步地，所述安全配置包括访问限制模块，所述访问限制模块限制对所述次级服务模块的访问，从而仅仅允许所述至少一个已授权的进程访问所述次级服务模块。

此外，所述安全配置包括比较模块，所述比较模块适合于比较所述第一组所请求的信息和所述第二组所请求的信息，并且基于比较结果，确定任一不在所述第一组所请求的信息中的对象是否存在于所述第二组所请求的信息中。 

本发明的另一个方面旨在提供一种用于检测运行于计算机系统上的操作系统的服务模块的安全损害的方法。根据本方法，至少一个原生服务模块响应由至少一个线程做出的请求，返回与所述计算机系统中的至少一个对象有关的第一组所请求的信息。