[发明专利]保护反恶意软件进程

说明书

描述了反恶意软件进程保护技术。在一个或多个实施方案中，启动反恶意软件进程。至少部分地基于包含证书的反恶意软件驱动器对所述反恶意软件进程进行验证，所述证书包含用来自已验证的源的受信任的证书进行了签名的身份。在所述反恶意软件进程被验证之后，可以为所述反恶意软件进程指派保护级别，以及可以防止管理员用户变更所述反恶意软件进程。

背景技术

计算设备已日益成为公司和用户的敏感数据的仓库。这已产生试图获得对这些计算设备的访问的恶意用户。附加地，恶意用户通常尝试安装这样的程序，所述程序跟踪用户交互或者将计算设备的计算资源用于恶意目的。

因此，已开发了反恶意软件的软件来阻止这些恶意用户获得对计算设备的访问。然而，恶意用户继续尝试规避反恶意软件的软件提供的保护。这些恶意用户可以尝试：作为反恶意软件的软件来操作，其也称为“欺骗”反恶意软件的软件；终止反恶意软件的软件等。恶意程序获得对反恶意软件的软件的访问的一种方式是伪装成管理员用户。由于管理员用户具有用于终止或否则变更进程的宽权限，所以伪装成管理员用户的恶意用户可以打开计算设备，以便通过禁用由反恶意软件的软件提供的保护来进行攻击。

发明内容

描述了用于保护反恶意软件进程的技术。在一个或多个实施方案中，至少部分地基于包含在反恶意软件驱动器中的证书对关联于反恶意软件驱动器的反恶意软件进程进行验证。已向操作系统注册所述证书以便将来使用。

在一个或多个实施方案中，一种计算设备包括一个或多个处理器以及一个或多个至少部分地用硬件实施的模块。所述一个或多个模块被配置为启动反恶意软件进程。所述一个或多个模块还至少部分地基于包含在反恶意软件驱动器中的证书将所述反恶意软件进程指派到由签名者和保护类型定义的保护级别。所述一个或多个模块还可以在所述计算设备上执行所述反恶意软件进程。

在一个或多个实施方案中，一个或多个计算机可读存储媒体包括存储在其上的指令，所述指令响应于被所述计算设备执行而导致所述计算设备执行反恶意软件进程保护模块。所述反恶意软件进程保护模块被配置为执行操作，所述操作包括：在引导过程中对关联于反恶意软件程序的反恶意软件驱动器进行验证，所述验证至少部分地基于包含在所述反恶意软件驱动器中的证书，所述证书包含已用来自己验证的源的受信任的证书进行了签名的身份；向操作系统的内核注册所述证书；至少部分地基于所述已注册证书，并且在不考虑与关联于所述反恶意软件进程的用户相关联的权限级别的情况下，对关联于所述反恶意软件程序的反恶意软件进程进行验证；至少部分地基于所述已注册证书向所述反恶意软件进程指派保护级别；以及防止所述用户变更所述反恶意软件进程，所述变更包括终止所述反恶意软件进程、注入代码或加载与所述反恶意软件进程相关的二进制文件。

在一个或多个实施方案中，反恶意软件驱动器被签名，并且然后被提供给计算设备。

提供本发明内容用于以简化形式介绍下面在具体说明中进一步描述的概念的选择。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，其也不旨在被用作在确定所要求保护的主题的范围时的辅助。

附图说明

参考附图描述了具体说明。在附图中，参考标号的最左边数字标识该参考标号首次出现在其中的图。在说明书和附图的不同实例中使用相同参考标号可以指示相似或相同的项。

图1是可操作来实施本文中描述的反恶意软件进程保护技术的示例计算设备的图示。

图2图示了与反恶意软件进程保护技术相关的保护级别的层次结构。

图3描绘了用于对反恶意软件驱动器进行签名的示例实施方案中的系统。

图4A和4B描绘了用于保护反恶意软件进程的示例实施方案中的过程。

图5描绘了用于对反恶意软件驱动器进行签名的示例实施方案中的过程。

图6描绘了用于为计算设备提供反恶意软件驱动器的示例实施方案中的过程。