[发明专利]预测性堆溢出保护

说明书

技术领域

概括的说，本发明涉及计算机安全和恶意软件保护，更具体的说，本发明涉及预测性堆溢出保护。

背景技术

计算机和其他电子设备上的恶意软件感染非常具有侵入性且难以检测和修复。反恶意软件解决方案可能需要将恶意代码或文件的签名与评估的软件相对照，以确定该软件对计算系统有害。恶意软件可能通过使用多态的可执行文件来伪装自己，其中，恶意软件改变自身以避免被反恶意软件解决方案检测到。在这样的情况下，反恶意软件解决方案可能无法检测到在零日攻击中的新的或变体的恶意软件。恶意软件可以包括，但是不限于，间谍软件、隐匿程式、密码窃取程序、垃圾邮件、网络钓鱼攻击、拒绝服务攻击的来源、病毒、记录器、特洛伊木马、广告软件或产生不想要的活动的任何其他数字内容。

发明内容

在一实施例中，一种用于防止恶意软件攻击的方法包括：识别一组数据，所述一组数据的恶意软件状态不知道是安全的；发起使用所述数据的应用程序；确定所述应用程序已经创建了一个或多个先前的存储器分配；确定所述应用程序已经创建了新的存储器分配；将所述新的存储器分配与所述先前的存储器分配进行比较；以及基于所述比较，确定所述数据是否包括恶意软件。

在另一实施例中，一种制品，包括计算机可读介质和在计算机可读介质上携带的计算机可执行指令。所述指令由处理器可读。当读取或执行时，所述指令使所述处理器识别一组数据，所述一组数据的恶意软件状态不知道是安全的；发起使用所述数据的应用程序；确定所述应用程序已经创建了一个或多个先前的存储器分配；确定所述应用程序已经创建了新的存储器分配；将所述新的存储器分配与所述先前的存储器分配进行比较；以及基于所述比较，确定所述数据是否包括恶意软件。

在又一实施例中，一种用于防止恶意软件攻击的系统，包括耦合到存储器的处理器和由处理器执行的反恶意软件检测器。反恶意软件检测器驻留在存储器中。反恶意软件检测器被配置成：识别一组数据，所述一组数据的恶意软件状态不知道是安全的；发起使用所述数据的应用程序；确定所述应用程序已经创建了一个或多个先前的存储器分配；确定所述应用程序已经创建了新的存储器分配；将所述新的存储器分配与所述先前的存储器分配进行比较；以及基于所述比较，确定所述数据是否包括恶意软件。

附图说明

为了更完整的理解本发明及其特征和优点，现在结合附图参照下面的描述，其中：

图1是对用于预测性堆溢出保护的示例性系统的说明；

图2是对用于预测性堆溢出保护的系统的反恶意软件检测器和其他组件的示例性配置和执行进行进一步说明；

图3是对用于预测性堆溢出保护的系统的示例性操作的进一步说明；

图4是对用于预测性堆溢出保护的方法的示例性实施例的说明；

图5a和5b是对用于确定存储器分配与先前创建的存储器分配是否匹配并从而指示基于溢出的恶意软件的示例性方法的说明；

图6是对用于确定存储器分配是否与先前创建的存储器分配不匹配并从而指示基于溢出的恶意软件不存在的方法的示例性实施例的说明。

具体实施方式

图1是对用于预测性堆溢出保护的示例性系统100的说明。系统100可以被配置成确定具有应用程序或针对应用程序的数据的形式的实体是否是恶意软件。这样的数据可能是配置成利用系统或易受攻击的应用程序中的溢出弱点的恶意软件。在一实施例中，系统100可以被配置成检测试图利用诸如堆溢出弱点之类的缺陷的恶意软件。

系统中的堆溢出弱点可以包括对于缓冲器溢出的系统的缺陷，其中，向缓冲器写入数据，但是数据被写入到与缓冲器相邻的存储器中了。利用溢出弱点可以包括，例如，恶意软件使用基于栈或基于堆利用的技术。基于堆利用的技术可以包括利用恶意代码毁损在目标系统的存储器堆中分配的存储器。这样的存储器分配可以实时进行。系统100可以被配置成确定这样的、利用应用程序中的弱点的企图。

系统100可以被配置成保护客户端104免受恶意软件攻击。在一实施例中，系统100可以被配置成保护客户端104免受基于堆基于溢出的恶意软件攻击。客户端104可以包括计算机、服务器、膝上型电脑、平板电脑、智能电话、或易受恶意软件攻击的任何其它适当的电子设备。