[发明专利]用于检测由虚拟机所执行的恶意代码的系统和方法有效
| 申请号: | 201310642107.1 | 申请日: | 2013-12-03 |
| 公开(公告)号: | CN103593608B | 公开(公告)日: | 2016-11-23 |
| 发明(设计)人: | 米哈伊尔·A·帕夫柳席奇卡 | 申请(专利权)人: | 卡巴斯基实验室封闭式股份公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京市磐华律师事务所 11336 | 代理人: | 谢栒;魏宁 |
| 地址: | 俄罗斯联*** | 国省代码: | 俄罗斯;RU |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 检测 虚拟机 执行 恶意代码 系统 方法 | ||
1.一种用于防御由进程虚拟机可执行的恶意程序指令集的自动计算机实现的方法,所述进程虚拟机包括在具有硬件平台和操作系统的计算机系统上可执行的程序指令,所述方法包括:
由在所述计算机系统上执行的自动扩张进程来扩张所述进程虚拟机的所述程序指令以在所述进程虚拟机内建立异常监视模块;
经由所述进程虚拟机执行隶属程序指令集;
由所述异常监视模块检测作为所述隶属程序指令集的所述执行的结果而发生的异常,其中所述异常代表被确定为具有违反预定义安全策略的潜在性的事件的发生;
响应于检测到所述异常的发生,由所述异常监视模块采集来自所述进程虚拟机的上下文信息,所述上下文信息代表围绕所述异常的所述发生的情形;由所述异常监视模块提供所述上下文信息以承受对于所述恶意程序指令集的存在的分析;以及
由所述异常监视模块基于所述分析的结果确定是否许可由所述进程虚拟机对所述隶属程序指令集的进一步执行。
2.如权利要求1所述的方法,进一步包括:
响应于检测到所述异常的发生,停止所述进程虚拟机的操作以防止所述隶属程序指令集的进一步执行;以及
响应于表明所述隶属程序指令集中不存在恶意代码的所述分析的结果,重新开始所述进程虚拟机的操作。
3.如权利要求1所述的方法,进一步包括:
响应于检测到所述异常的发生,停止所述进程虚拟机的操作以防止所述隶属程序指令集的进一步执行;以及
响应于表明所述隶属程序指令集中存在恶意代码的所述分析的结果,终止所述进程虚拟机的操作。
4.如权利要求1所述的方法,其中所述扩张在发起所述进程虚拟机的所述程序指令的执行之后实施。
5.如权利要求1所述的方法,其中所述扩张在发起所述进程虚拟机的所述程序指令的执行之前实施。
6.如权利要求1所述的方法,其中在所述扩张中,用于实现所述异常监视模块的专门代码被插入到所述进程虚拟机的现有安全管理器部分中。
7.如权利要求1所述的方法,其中所述扩张包括对所述进程虚拟机的一个或多个现有功能的功能重载。
8.如权利要求1所述的方法,其中在提供所述上下文信息中,所提供的围绕所述异常的所述情形包括表明所述异常的原因的信息。
9.如权利要求1所述的方法,其中在提供所述上下文信息中,所提供的围绕所述异常的所述情形包括表明在被识别为所述异常的关键事件的所述发生之前的事件的信息。
10.如权利要求1所述的方法,进一步包括:
由在所述计算机系统上执行的分析模块接收所述上下文信息;以及
由所述分析模块确定所述上下文信息是否与恶意代码相关联。
11.如权利要求10所述的方法,其中所述确定所述上下文信息是否与恶意代码相关联包括将所述上下文信息和代表恶意活动的一组至少一个预定义模板相比较。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于卡巴斯基实验室封闭式股份公司,未经卡巴斯基实验室封闭式股份公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310642107.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:功率转换器驱动级中的电荷恢复
- 下一篇:被动式功因校正电路
