[发明专利]预测性堆溢出保护

权利要求书

1.一种用于防止恶意软件攻击的方法，包括：

识别一组数据，所述一组数据的恶意软件状态不是已知安全的；

使用所述数据发起应用程序；

确定所述应用程序已经创建了一个或多个先前的存储器分配；

确定所述应用程序已经创建了新的存储器分配；

将所述新的存储器分配与所述先前的存储器分配进行比较；以及

基于所述比较，确定所述数据是否包括恶意软件。

2.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括：应用标准来确定所述新的存储器分配是否与所述先前的存储器分配中的一个或多个匹配；以及

基于所述标准的应用，确定所述数据是否包括恶意软件。

3.根据权利要求1所述的方法，还包括：

在虚拟机上模拟所述应用程序的执行；

检测在所述虚拟机上的所述应用程序的执行中的执行循环的终止；以及

在所述虚拟机上创建所述新的存储器分配；

其中，在检测到所述执行循环的终止之后，比较所述新的存储器分配和所述先前的存储器分配。

4.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括：将所述新的存储器分配的校验和与所述先前的存储器分配中的一个或多个的校验和进行比较；以及

确定所述数据是否包括恶意软件包括：确定所述新的存储器分配的校验和是否与所述先前的存储器分配中的任何一个的校验和相等。

5.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括：将所述新的存储器分配的大小与一个或多个先前的存储器分配的大小进行比较；以及

确定所述数据是否包括恶意软件包括：确定所述新的存储器分配的大小是否在所述先前的存储器分配中的任何一个的大小的阈值量内。

6.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括：将所述新的存储器分配的创建时间与一个或多个先前的存储器分配的创建时间进行比较；以及

确定所述数据是否包括恶意软件包括：确定所述新的存储器分配是否在所述先前的存储器分配中的任何一个的阈值创建时间内创建。

7.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括：将所述新的存储器分配的第一熵值与一个或多个先前的存储器分配的第二熵值进行比较；以及

确定所述数据是否包括恶意软件包括：确定所述第一熵值是否在所述第二熵值的阈值量内。

8.根据权利要求1所述的方法，其中：

将所述新的存储器分配与所述先前的存储器分配进行比较包括以下各项中的两项或更多项：

将所述新的存储器分配的校验和与所述先前的存储器分配中的一个或多个的校验和进行比较；

将所述新的存储器分配的大小与一个或多个先前的存储器分配的大小进行比较；

将所述新的存储器分配的创建时间与一个或多个先前的存储器分配的创建时间进行比较；以及

将所述新的存储器分配的第一熵值与一个或多个先前的存储器分配的第二熵值进行比较；以及

确定所述数据是否包括恶意软件包括确定如下各项中的两项或更多项：

所述新的存储器分配的校验和是否等于所述先前的存储器分配中的任何一个的校验和；

所述新的存储器分配的大小是否在所述先前的存储器分配中的任何一个的大小的第一阈值量内；

所述新的存储器分配是否在所述先前的存储器分配中的任何一个的第二阈值创建时间内创建；

所述第一熵值是否在所述第二熵值的第三阈值量内。

9.根据权利要求1所述的方法，还包括：

基于所述比较，确定所述数据的恶意软件状态是未知的；以及

基于所述数据的内容，执行反恶意软件分析，以确定所述数据是否包括恶意软件。