[发明专利]用于以最小性能降级检测恶意软件的技术

说明书

各种实施例通常涉及用于以减轻处理设备的处理和/或存储资源的消耗的方式来检测恶意软件的技术。一种装置可以包括处理设备的第一处理器组件，其用于在被划分成多个页的第一存储装置内维护的第一页修改日志内按时间顺序生成条目，每个条目指示由第一处理器组件对多个页中的一个页进行的写入存取；处理设备的图形控制器的取回组件，其用于循环地从第一页修改日志中取回对多个页中的至少一个近期写入的页的指示；以及图形控制器的扫描组件，其用于循环地扫描至少一个近期写入的页以检测至少一个近期写入的页内的恶意软件。

相关申请的交叉引用

本申请要求于2015年12月24日提交的、先前提交的美国专利申请序列号14/757,945的优先权的权益，该申请的主题通过引用整体并入本文。

背景技术

随着越来越复杂的技术被用来使得恶意软件能够逃避用于检测恶意软件的安全例程进行的检测，检测恶意软件所需的技术必须消耗更多的处理和/或存储资源。因此，处理设备的处理和/或存储资源的越来越大的比例必须转移到检测恶意软件而远离执行最初获取这些处理设备以用于的功能。

通过示例的方式，常见的恶意软件块越来越多地使用包括数据压缩技术的各种字节打包技术，以使安全例程更加难以通过使用已知签名(例如，指令的特定组合，其可能对于恶意软件块是独一无二的)来识别这些恶意软件块。为了利用具有打包的恶意软件块的已知签名，必须首先对这些恶意软件块执行解包，这可能会消耗处理设备的很多可用处理和/或存储资源。

附图说明

图1示出了安全处理系统的示例实施例。

图2A和图2B各自示出了生成并维护至少一个页修改日志的示例实施例。

图3示出了将对已被写入的页的指示组织在至少一个页修改日志中的示例实施例。

图4A、图4B和图4C各自示出了循环存取至少一个页修改日志以识别近期写入的页的示例实施例。

图5示出了对易失性存储装置内的恶意软件进行扫描和响应的示例实施例。

图6图示根据实施例的逻辑流程。

图7示出根据实施例的处理架构。

具体实施方式

各种实施例总体上涉及用于以减轻处理设备的处理和/或存储资源的消耗的方式来检测恶意软件的技术。由于执行指令使得处理设备的主处理器组件写入处理设备的存储装置中的已作为页被分配的部分，所以主处理器组件可以参与页修改日志记录(PML)，其中处理器组件可以在一个或多个页修改日志中添加这些页中的哪些页近期被写入的指示。可替代地，当这些页被主处理器组件和/或其他处理器组件写入时，通过其存取这些页的存储控制器可以将这些指示添加到一个或多个页修改日志中。当生成一个或多个页修改日志时，图形控制器的图形处理器组件可以循环存取一个或多个页修改日志以识别页中的近期被写入的页。图形处理器组件然后可以执行对那些近期写入的页的扫描以检测恶意软件。在检测到一个或多个页内的恶意软件时，图形处理器组件可以将其中检测到恶意软件的那些页的指示提供给由处理设备内的主处理器组件和/或另一处理器组件和/或安全服务器的处理器组件执行的安全例程，以使得能够采取进一步的动作。

在各种实施例中，页修改日志的数量可以基于这样的因素而不同：例如，处理器组件的数量、每个处理器组件的核心的数量、每个处理器组件的每个核心所支持的执行线程的数量、虚拟机(VM)是否在处理设备内被实例化、被实例化的VM的数量、操作系统(OS)的数量和/或执行的应用例程等。更具体地，在一些实施例中，可以存在单个页修改日志，而不管可能存在多少个核心、执行线程、VM、OS和/或应用例程。但是，在特定情况下，单个页修改日志的大小可能会增加，或者可以实例化附加的(多个)页修改日志。在其中主处理器组件包含多个核心和/或支持多个执行线程以支持多个VM的其他实施例中，每个核心、每个执行线程、每个VM、每个OS和/或每个应用例程可以有一个页修改日志。