[发明专利]用于检测目标为计算机引导过程的恶意软件的系统和方法

权利要求书

1.一种用于调查目标计算机系统上未知程序的存在的自动的计算机实现的方法，所述目标计算机系统包括处理器、存储器和基本输入/输出系统（BIOS）并进一步包括可引导设备，所述可引导设备包含至少部分地定义用于所述目标计算机系统的引导过程的引导代码，所述方法包括：

由自动保护系统获得定义所述可引导设备的存储布置结构的物理参数数据；

由所述自动保护系统基于所述物理参数数据来仿真所述目标计算机系统的所述引导过程，其中所述仿真在表示所述目标计算机系统的虚拟环境中进行并且包括执行所述引导代码和响应于所述引导代码的执行来获得引导过程信息；

由所述自动保护系统生成至少表示所述引导过程信息的数据结构；以及

基于所述数据结构来获得所述引导过程信息是否包括未知程序的确定。

2.根据权利要求1所述的方法，其中获得所述引导过程信息包括获得所述可引导设备的主引导记录（MBR）。

3.根据权利要求1所述的方法，其中获得所述引导过程信息包括获得由所述可引导设备的主引导记录（MBR）所调用的程序代码。

4.根据权利要求1所述的方法，其中获得所述引导过程信息包括在所述目标计算机系统上操作rootkit旁路驱动程序。

5.根据权利要求1所述的方法，其中仿真所述引导过程在所述目标计算机系统的应用层上实施。

6.根据权利要求1所述的方法，其中仿真所述引导过程包括操作虚拟处理器、虚拟存储器、虚拟基本输入/输出系统（BIOS）和表示所述可引导设备的所述存储布置结构的虚拟启动设备。

7.根据权利要求1所述的方法，其中生成所述数据结构包括存储容器数据结构，所述容器数据结构包括用于存储所述可引导设备的所述存储布置结构的表示的第一部分和用于存储所述可引导设备的多个扇区的内容的第二部分，所述第一部分和第二部分足够完整以在位于远程的计算机系统上促进所述目标计算机系统的所述引导过程的仿真。

8.根据权利要求1所述的方法，进一步包括：

传送所述数据结构至位于远程的计算机系统。

9.根据权利要求1所述的方法，进一步包括：

拦截对所述可引导设备的启动相关的部分写数据的命令；

响应于所述拦截来启动所述仿真；以及

响应于所述引导过程信息包括未知程序的确定，阻止对所述可引导设备的所述启动相关的部分写数据的所述命令的执行。

10.根据权利要求1所述的方法，其中由所述自动保护系统生成所述引导过程信息是否包括未知程序的所述确定。

11.根据权利要求1所述的方法，其中从位于远程的计算机系统获得所述引导过程信息是否包括未知程序的所述确定。

12.一种用于在具有可引导设备的目标计算机系统上检测未知程序的自动的计算机实现的方法，所述方法包括：

由远离所述目标计算机系统的自动分析系统接收数据结构，所述数据结构包含：

存储在至少部分地定义所述目标计算机系统的引导过程的所述可引导设备上的引导过程信息；以及

定义所述可引导设备的存储布置结构的物理参数数据；

由所述自动分析系统分析所述可引导设备是否包含由所述目标计算机系统的所述引导过程所访问的可疑程序，所述分析包括基于所述数据结构来仿真所述目标计算机系统的所述引导过程，其中所述仿真包括在表示所述目标计算机系统的物理特性的虚拟化计算机系统中执行所述引导过程信息的代码，以及评估该代码的所述执行的结果。

13.根据权利要求12所述的方法，其中所述分析包括连同经修改的MBR一起发现所述可引导设备的原始主引导记录（MBR）的拷贝。

14.根据权利要求12所述的方法，其中评估所述引导过程的所述代码的所述执行的所述结果包括观察在所述仿真期间所调用的程序的功能以检测恶意软件的存在。

15.根据权利要求12所述的方法，进一步包括：

基于所述分析来更新恶意软件签名的数据库。