[发明专利]防止任务调度恶意软件的执行

说明书

技术领域

概括地说，本发明涉及计算机安全和恶意软件保护，具体地说，涉及防止执行任务调度恶意软件。

背景技术

在计算机和其他电子设备上的恶意软件感染非常具有侵入性并且难以检测和修理。反恶意软件解决方案可能要求匹配恶意代码或者文件的签名与评估的软件以确定软件对于计算系统是有害的。恶意软件可以通过使用多态可执行文件伪装自己，其中恶意改变自身以避免被反恶意软件解决方案检测。在这样的情况下，反恶意软件解决方案在零日攻击(zero-day attack)中可能不能够检测新的或者变形的恶意软件。恶意软件可以包括，但不限于间谍软件、隐匿工具、密码窃取器、垃圾邮件、钓鱼攻击源、拒绝服务攻击源、病毒、登录器、木马、广告软件、或者产生不想要的活动的任何其他的数字内容。

发明内容

在一个实施例中，一种用于防止恶意软件攻击的方法包括以下步骤：检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用。

在另一个实施例中，一种制品包括计算机可读介质和在计算机可读介质上承载的计算机可执行指令。指令可由处理器读取。当读取并且执行指令时，促使处理器检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态、以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序。

在另一个实施例中，一种用于防止恶意软件攻击的系统包括：耦合到存储器的处理器和由处理器执行的反恶意软件模块。反恶意软件模块驻留在存储器内，并且通信地耦合到在电子设备上的任务调度器。任务调度器被配置用来在指定的时间或者间隔发起一个或多个应用程序。反恶意软件模块被配置用来检测在电子设备上访问任务调度器的尝试、确定与访问任务调度器的尝试相关联的实体、确定实体的恶意软件状态、以及基于实体的恶意软件状态允许或者拒绝到任务调度器的尝试的访问。

附图说明

为了对本发明和它的特征和优势的更完全理解，现在结合附图参考以下描述，其中：

图1是用于防止执行任务调度恶意软件的示例系统的图示；

图2是被配置用来在特定的时间或者间隔执行工作的任务调度器设定的图示；

图3是通过访问任务调度器操作的恶意软件的示例操作的图示；

图4是用于防止恶意尝试访问任务调度器的系统的示例操作的图示；

图5是用于防止恶意尝试访问任务调度器的系统的示例操作的进一步的图示；以及

图6是用于防止执行任务调度恶意软件的方法的示例实施例。

具体实施方式

图1是用于防止执行任务调度恶意软件的示例系统100的图示。这样的恶意软件可以由任务调度器116在系统100上发起，或者作为被调度的用于由任务调度器116执行的结果。系统100可以包括电子设备102、反恶意软件模块114、名誉服务器104、网页名誉服务器106、目的地服务器110、和用户111。反恶意软件模块114可以被配置用来基于任务调度监测或者扫描电子设备102以寻找恶意软件。反恶意软件模块114可以被配置用来在电子设备102上检测尝试访问、修改、或者使用任务调度器116。反恶意软件模块114可以被通信地耦合到以下设备并且配置用来与以下设备通信：反恶意软件签名数据库120、名誉服务器104、和/或网页名誉服务器106，以确定有关于任务调度器116的检测到的行动是否包括恶意感染。反恶意软件模块114可以被配置用来与用户111通信以便例如，提供结果或者确定校正的行动。反恶意软件模块114可以被配置为：响应于检测到尝试访问、修改、或使用任务调度器116，采取一个或多个校正行动。

在一个实施例中，可以在电子设备102上执行反恶意软件模块114。可以在可执行文件、脚本、函数库、或者任何其他合适的机制中实现反恶意软件模块114。可以在电子设备102上加载并且执行反恶意软件模块114。反恶意软件模块114可以通过网络108或者任何其他合适的网络或者通信方案，通信地耦合到名誉服务器104和/或网页名誉服务器106。