[发明专利]使用动态优化框架的应用沙盒化

说明书

技术领域

概括地说，本发明涉及计算机安全和恶意软件防护，更具体地说，本发明涉及使用动态优化框架的应用沙盒化。

背景技术

计算机和其它电子设备上的恶意软件感染是非常侵入的，并且难以检测和修复。反恶意软件解决方案可能需要对恶意代码或文件的签名与被评估软件进行匹配来确定该软件对计算系统是有害的。恶意软件可以通过使用多形态的可执行文件来伪装自己，其中，恶意软件改变其自身以避免被反恶意软件解决方案检测到。在这种情况下，反恶意软件解决方案在零日攻击中可能无法检测到新的或演变的恶意软件。恶意软件可能包括但不限于：间谍软件、后门、密码窃取、垃圾邮件、网络钓鱼攻击源、拒绝服务攻击源、病毒、记录器、木马、广告软件、或产生不需要活动的任何其它数字内容。

发明内容

在一个实施例中，一种用于防止恶意软件攻击的方法包括：在电子设备上启动应用；拦截来自所述应用的一个或多个指令；确定所述一个或多个指令是否包括要访问所述电子设备的敏感系统资源的企图；重写所述一个或多个指令以访问所述电子设备的安全系统资源；在所述电子设备上执行重写的指令；以及观察所述重写的指令的结果。所述应用企图执行所述一个或多个指令。

在另一个实施例中，一件制造的物品包括计算机可读介质以及所述计算机可读介质上携带的计算机可执行指令。该指令是处理器可读取的。当被读取和执行时，所述指令使所述处理器用于：在电子设备上启动应用；拦截来自所述应用的一个或多个指令；确定所述一个或多个指令是否包括要访问所述电子设备的敏感系统资源的企图；重写所述一个或多个指令以访问所述电子设备的安全系统资源；在所述电子设备上执行重写的指令；以及观察所述重写的指令的结果。所述应用企图执行所述一个或多个指令。

在又一个实施例中，一种用于防止恶意软件攻击的系统包括：耦接到存储器的处理器，以及由所述处理执行的动态优化框架。所述动态优化框架位于所述存储器内。所述动态优化框架被配置为：在电子设备上启动应用；拦截来自所述应用的一个或多个指令；确定所述一个或多个指令是否包括要访问所述电子设备的敏感系统资源的企图；重写所述一个或多个指令以访问所述电子设备的安全系统资源；在所述电子设备上执行重写的指令；以及观察所述重写的指令的结果。所述应用企图执行所述一个或多个指令。

附图说明

为了更加完整地理解本发明及其特征和优点，现在结合附图引用以下描述，在附图中：

图1是使用动态优化框架应用沙盒化的示例系统的图示；

图2是用于对来自应用的代码或指令进行拦截和重写的运行时代码操纵器和反恶意软件模块的配置和操作的更详细的图示；

图3是用于对来自应用的代码或指令进行拦截和重写的分配模块、代码高速缓存器、以及反恶意软件模块的配置和操作的更详细的图示；

图4是用于对针对电子设备上的敏感文件的指令或代码进行重写的反恶意软件模块的配置和操作的更详细的图示；

图5是用于对针对电子设备上的注册表的指令或代码进行重写的反恶意软件模块的配置和操作的更详细的图示；

图6是用于对企图在电子设备上进行存储器修改的指令或代码进行重写的反恶意软件模块的配置和操作的更详细的图示；

图7是用于对企图在电子设备上调用操作系统函数的指令或代码进行重写的反恶意软件模块的配置和操作的更详细的图示；

图8是用于对企图在电子设备上加载内核模式驱动器的指令或代码进行重写的反恶意软件模块的配置和操作的更详细的图示；以及

图9是用于提供使用动态优化框架的应用沙盒化的方法的示例实施例的图示。

具体实施方式

图1是使用动态优化框架的应用沙盒化的示例系统100的图示。系统100可以被配置为：以安全方式执行应用104，以便将应用104的执行与电子设备102的其余部分隔开。这样的执行隔开可以被称为沙盒。系统100可以被配置为：提供一组安全资源让应用104来执行，从而使得应用104的任何恶意动作可以被重定向、监测和记录。系统100可以被配置为：在允许应用104在电子设备102上本地运行之前，在沙盒中操作应用104。为了以这样的安全方式来执行应用104，系统100可以被配置为使用动态优化框架，其包括通信地耦接到反恶意软件模块110的运行时代码操纵器106。运行时代码操纵器106和反恶意软件模块110可以被配置为：拦截应用104的企图执行，重写访问敏感系统资源112的指令，对安全系统资源112执行重写的执行，以及确定由应用104做出的动作是否是恶意的。