[发明专利]用于透明地对应用程序进行插桩的方法和设备

说明书

技术领域

本公开涉及对应用程序进行插桩，更具体来说，涉及透明地对应用程序进行插桩。

背景

许多电子设备包括被配置成执行一个或多个应用程序的处理器。电子设备包括，但不仅限于，计算机（例如，台式、便携式、膝上型、平板、手持式等等）和智能电话。这样的电子设备可以通过网络连接到其他电子设备（已知和未知的），容易受到若干种安全性威胁。安全性威胁可以包括，例如，恶意程序（“恶意软件程序”），暴露个人信息和/或暴露关键信息。恶意软件可以包括病毒应用、电子邮件病毒、间谍软件、被配置成禁用防病毒应用的应用和/或被配置成模仿网站（例如，银行网站）以便捕捉用户密码的应用。

已经开发了防恶意软件和/或硬件组件（也简称为防恶意软件引擎）以对抗恶意软件。防恶意软件组件通常被配置成检测恶意软件，并响应于检测到恶意软件而采取动作。这样的动作包括，但不仅限于，禁用恶意软件、禁用电子设备、警告管理程序和/或警告用户。例如，诸如防病毒组件或主机防入侵组件之类的防恶意软件组件可以被配置成在某些点对操作系统（OS）内核进行“插桩（instrument）”，以便监测不受信任的应用程序的动作。然后，防恶意软件组件可以被配置成判断不受信任的应用程序是否违犯防恶意软件组件的任何规则。这样的规则违犯被配置成指示不受信任的应用程序事实上是恶意软件。

附图简述

随着下列“详细描述”的进行并参考附图，所要求保护的主题的实施例的特征和优点将变得显而易见，其中，类似附图标记描绘了相似的部分，其中：

图1示出了根据本公开的系统的一个示例性实施例；

图2示出了根据本公开的宾客页表和扩展页表之间的寻址；

图3A和3B示出了根据本公开的扩展页表条目的示例；

图4示出了根据本公开的示例性初始化操作的流程图；

图5示出了根据本公开的用于使用管理程序来管理对目标可执行代码的两个版本的访问的示例性操作的流程图；

图6示出了根据本公开的用于管理对目标可执行代码的两个版本的访问而不激活管理程序的示例性操作的另一个流程图；以及

图7示出了根据本公开的用于使用管理程序来管理对目标可执行代码的两个版本的访问的示例性操作的另一个流程图。

虽然下列“详细描述”将参考说明性实施例来进行，但是，许多替代方案、修改以及其变体将对所属领域的技术人员显而易见。相应地，所要求保护的主题应该从广义上来看待，并且只如所附权利要求阐述的那样定义。

详细描述

根据本公开的方法和设备被配置成允许对应用程序进行插桩，不管应用程序本身是否被配置成可插桩。插桩被配置成对存储器扫描器是透明的，以便存储器扫描器可以在存在插桩的情况下继续适当地操作。存储器扫描器可以独立于可能存在的任何插桩，读取对应于应用程序的物理存储器地址。

“插桩”对应于将新的行为引入到现有的程序中以便监视程序的行为的能力，例如，用于安全性、调试、性能和/或测试。防恶意软件组件可以使用插桩技术来检测和阻止程序中的潜在恶意活动。代码插入是一种插桩技术，并包括二进制修补。二进制修补包括可执行代码修改方法，其中，修改被配置成允许防恶意软件组件监视现有程序的行为。例如，二进制修补可以被配置成在程序执行过程中将控制从经过插桩的应用程序转移到防恶意软件组件。然后，防恶意软件程序可以检查经过插桩的应用程序被调用的上下文。“可执行代码”对应于可执行的应用程序或可执行的应用程序的一部分。

另一种插桩技术使用回调API（应用程序编程接口），以便对现有的应用程序进行插桩。回调是对作为自变量传递到其他可执行代码的可执行代码或一段可执行代码的引用。例如，回调可以包括作为自变量传递函数指针。应用程序编程接口是一个应用程序可以用来访问并使用实现API的另一应用程序的服务和资源的一组函数和数据结构定义。当回调API被用于对现有应用程序进行插桩时，现有应用程序提供回调API。然而，并非所有的现有应用程序都提供回调API，而那些提供回调API的现有应用程序可能不会提供对所有期望控制点进行插桩的机会。这可能会干扰对现有应用程序进行插桩的能力。