[发明专利]实时模块保护

说明书

技术领域

本发明的实施例总体上涉及计算机安全和恶意软件保护，并且更具体地，涉及实时模块保护。

背景技术

本机操作系统服务可阻止安全软件在系统的内核中安装任意挂钩。因而可防止安全软件过滤电子设备的所有行为，包括恶意软件的潜在恶意行为。恶意软件可以包括但不限于，间谍软件、根程序病毒包(rootkits)、密码窃取器、垃圾邮件源、网络钓鱼攻击源、拒绝服务攻击源、病毒、记录器、木马、广告软件，或产生恶意行为的任何其他数字内容。

操作系统的过滤功能可能会受到限制，并且可能仅在由操作系统供应商所决定的时间轴上可用。恶意软件可与安全软件在相同的层级处操作和驻留，尤其是在操作系统内核中，并从而损害操作系统及安全软件本身的完整性。

多种形式的积极(aggressive)内核模式恶意软件篡改用户模式存储器以实现恶意任务，例如动态地注入恶意代码、修改用户模式代码分段(subsection)以改变执行路径并重定向到恶意代码、以及修改用户模式数据结构以使安全软件失效。此外，一些恶意软件可通过篡改进程存储器代码和数据分段以欺骗检测逻辑来从内核攻击反恶意软件应用程序及进程。

内核模式根程序病毒包及其他恶意软件采用各种方法从用户模式应用程序和内核模式设备驱动程序中隐藏自身的存在。根据感染所发生的位置，所使用的技术可以改变。例如，恶意软件能够攻击操作系统的内核活动进程列表从而从列表中清除或取消根程序病毒包或其他恶意软件进程。其他恶意软件可篡改进程访问和枚举函数的代码分段。

附图说明

为了更完整地理解本发明的实施例及其优点，现参考以下与附图相结合的书面描述，其中：

图1是用于保护电子设备避免恶意软件的系统的示例实施例；

图2是用于保护电子设备避免恶意软件的基于虚拟机监视器和基于安全规则的可配置安全解决方案的系统的示例实施例；

图3是用于保护电子设备避免恶意软件的基于虚拟机监视器的方法的示例实施例；

图4是用于在电子设备上使用操作系统下层捕获来调节软件访问以保护存储器的系统的示例实施例；

图5是存储器映射的示例实施例的示意图；

图6是用于使用对电子设备的尝试访问的操作系统下层捕获来保护存储器的方法的示例实施例；

图7是用于实时模块保护的系统的示例操作的示意图；

图8是用于实时模块保护的方法的示例实施例。

具体实施方式

图1是用于保护电子设备避免恶意软件的系统100的示例性实施例。系统100可包括操作系统(“O/S”)下层(below-O/S)捕获代理104，捕获代理104通信地耦合到触发事件处理器108。O/S下层捕获代理104可被配置为捕获(trap)对电子设备103的资源106的各种尝试访问。O/S下层捕获代理104可被配置为创建与所捕获的尝试访问相关联的触发事件，并将所述触发事件发送给触发事件处理器108。触发事件处理器108可被配置为查询一个或多个安全规则114或保护服务器102，以确定如何处理所述触发事件。触发事件处理器108还可被配置为评估所述触发事件的倾向是恶意软件或颠覆电子设备103的资源或操作的恶意尝试的指示。此外，触发事件处理器108可被配置为向O/S下层捕获代理104提供是否应当允许或拒绝触发事件的确定，或者可被配置为产生另一纠正动作。