[发明专利]用于检测恶意软件的方法和系统

说明书

分案说明

本申请属于申请日为2009年12月18日的中国发明专利申请200910254092.5的分案申请。

背景技术

用户和企业越来越依赖于用计算机存储敏感数据。结果，恶意程序员似乎不断地增加其获取对其他计算机非法控制和访问的努力。具有恶意动机的计算机程序员已经并将继续创造病毒、特洛伊木马、蠕虫、和其他意图损害计算机系统和他人数据的程序。通常将这些恶意程序称为恶意软件(malware)。

为抵抗日益增多的恶意软件，安全软件公司为其用户定期创建和部署恶意软件签名(例如，识别恶意软件的散列函数)。然而，还有相当数量的恶意软件尚未被识别。所以，需要一种用于检测未识别的恶意软件的过程。

发明内容

本公开的实施例涉及基于恶意文件的一个或多个元数据字段属性对恶意文件进行检测。例如，检查模块可以对多个已知洁净的可执行文件的多个元数据字段进行检查。检查模块还可以对多个已知恶意的可执行文件的多个元数据字段进行检查。推导模块可以基于通过对多个已知洁净和已知恶意的可执行文件的多个元数据字段进行检查所收集的信息来推导指示恶意软件的元数据字段属性。

在一些实施例中，安全模块可以使用从对多个已知洁净和已知恶意的可执行文件的元数据字段的检查所推导出的信息，来确定未知的可执行文件是否包括恶意软件。例如，安全模块可以接收未知的可执行文件。然后，安全模块可以通过确定该未知的可执行文件是否包含指示恶意软件的元数据字段属性，来确定该未知的可执行文件是否包含恶意软件。

在至少一个实施例中，如果未知的可执行文件包括恶意软件，则安全模块可以执行安全动作。安全模块可以通过隔离该未知的可执行文件、把该未知的可执行文件报告给安全软件销售商、将该未知的可执行文件添加到恶意软件文件列表和/或通过执行任何其他适当的安全动作来执行安全动作。根据此处描述的一般原理，取自任何上述实施例的特征可以相互结合使用。通过结合附图阅读以下详细描述和权利要求，将会更加透彻理解这些和其他实施例、特征、和优点。

附图说明

附图说明了多个示例性实施例，并且是本说明的一部分。与以下描述一起，这些附图展示并解释了本公开的各种原理。

图1是根据某些实施例的用于检测恶意软件的示例性系统的框图。

图2是根据某些实施例的用于检测恶意软件的示例性方法的流程图。

图3是根据某些实施例的示例性可执行文件的框图。

图4是根据某些实施例的用于检测恶意软件的示例性方法的流程图。

图5是能够实现此处描述和/或说明的一个或多个实施例的示例性计算系统的框图。

图6是能够实现此处描述和/或说明的一个或多个实施例的示例性计算网络的框图。

在所有附图中，相同的附图标记和描述指示相似但不一定是相同的元素。尽管此处描述的示例性实施例可以采用各种修改和替代形式，但是，特定实施例已通过附图中的示例示出，并将在此处详细描述。然而，此处描述的示例性实施例并非意欲限于公开的特定形式。更确切地说，本公开覆盖落于所附权利要求范围内的所有修改、等效物和替选。

具体实施方式

如以下将要详细描述的，本公开一般地涉及通过对已知洁净和已知恶意的可执行文件进行检查，并使用在检查期间获取的信息来确定未知文件是否包含恶意软件，从而检测恶意软件的方法和系统。图1是用于检查已知洁净和已知恶意的可执行文件并确定未知的可执行文件是否包含恶意软件的示例性系统的图。图2示出用于检查已知洁净和已知恶意的可执行文件并推导指示恶意软件的元数据属性的示例性过程。图3示出示例性可移植可执行(PE，PortableExecutable)文件，而图4示出用于确定PE文件是否包含恶意软件的示例性过程。在图5和6中示出用于实现本公开的实施例的示例性计算系统和示例性网络。

图1是示例性系统100的框图。系统100可以包括用于执行一个或多个任务的一个或多个模块110。例如，模块110可以包括检查模块112，用于检查已知洁净和已知恶意的可执行文件的元数据字段。可执行文件的元数据字段可以包括头字段和/或可执行文件的其他字段。模块110还可以包括推导模块114，用于基于从对已知洁净和已知恶意的可执行软件进行检查所获取的信息，推导指示恶意软件的元数据字段属性。模块110可以包括安全模块116，其可以使用指示恶意软件的元数据字段属性，来确定未知的可执行文件是否包含恶意软件。