硬件和軟件執(zhí)行概況分析的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體涉及電子安全領(lǐng)域���,更具體地涉及硬件和軟件執(zhí)行概況分析(profiling)。
【背景技術(shù)】
[0002]在電子安全領(lǐng)域��,電子安全產(chǎn)品常常發(fā)覺它們自身比有害軟件的所有者和分發(fā)者遲一步���。電子安全的許多傳統(tǒng)方式以標識威脅并且對這些威脅的反應(yīng)來作為它們的起始點。此反應(yīng)性方式可以保護電子設(shè)備免受已知威脅的破壞���,但是仍使電子設(shè)備易受未知威脅的侵害�����。此外�����,此反應(yīng)性方式要求電子設(shè)備的恒久的警戒和更新�,以便跟上有害軟件的最新的進展。
【附圖說明】
[0003]為了更完整地理解本發(fā)明以及其優(yōu)點����,現(xiàn)在結(jié)合所附附圖來參照以下描述,其中:
[0004]圖1示出根據(jù)本公開的某些實施例的��、用于在無論什么插入方法的情況下檢測事件的處理中惡意軟件的存在的示例系統(tǒng)����;
[0005]圖2示出根據(jù)本公開的某些實施例的、用于檢測事件嗅探惡意軟件的示例系統(tǒng)�;
[0006]圖3示出根據(jù)本公開的某些實施例的、用于處置用戶模式和內(nèi)核模式惡意軟件兩者的示例系統(tǒng)�����;以及
[0007]圖4示出根據(jù)本公開的某些實施例的����、用于組裝執(zhí)行簡檔(profile)的示例方法的流程圖。
【具體實施方式】
[0008]在現(xiàn)代的電子系統(tǒng)中���,一個主要問題仍是電子安全�。對電子系統(tǒng)的安全的恒久的威脅是通過除系統(tǒng)的用戶計劃的那些裝置以外的裝置對系統(tǒng)資源的吸收的威脅����。這些裝置可以采取軟件��、硬件����、固件���,或它們的某種組合的形式��,并且可包括計算機病毒�����、蠕蟲、間諜軟件��、廣告軟件����,或可以從被感染的電子設(shè)備搜集信息,損壞設(shè)備���,或具有某種其他有害影響的其他裝置���。這些裝置可以一般被稱為“惡意軟件”���。
[0009]一種特別惡意種類的惡意軟件可以將其本身插入到電子設(shè)備的事件處理例程中,以便破壞�����、監(jiān)視和/或改變這些進程��。例如�,擊鍵記錄軟件可以被插入到對擊鍵的處置中以捕捉這些擊鍵。另一類型的惡意軟件可以利用“面向返回的編程”����,其中,惡意軟件企圖利用對主機計算機的各種棧和/或寄存器的返回調(diào)用以插入其自身的惡意代碼�����。
[0010]惡意軟件一般能以被插入到對某種事件的處置中的需求來表征��,即使僅被調(diào)度而由系統(tǒng)執(zhí)行也是如此���。在事件處理中檢測惡意軟件的存在是有價值的����,但是常常是困難的。例如�,惡意軟件可以通過間接的方法(諸如,利用電子設(shè)備本身的漏洞(“漏洞利用(exploit)”))而被包括在事件的處理中��。某個先前的電子安全軟件已經(jīng)能夠發(fā)現(xiàn)可以使用哪些插入方法并且監(jiān)視這些插入方法(例如�,已知的漏洞)。例如�����,在擊鍵記錄器的情況下�,插入的方法可以是對應(yīng)用編程接口(“API”)的利用。解決此漏洞的一個歷史方法是監(jiān)視API以檢測對正常操作的顛覆�。
[0011]對諸如這種方法之類的反應(yīng)性檢測方法使得要跟上惡意軟件插入技術(shù)的變化是困難的。改善的方式可以是允許在無論什么插入技術(shù)的情況下都檢測事件的處理中惡意軟件的存在一種方式。另外�����,也支持使用組裝的執(zhí)行簡檔以驗證API (諸如�,特許的API)的調(diào)用者可能是有益的��。
[0012]圖1示出了根據(jù)本公開的某些實施例的�����、用于在無論什么插入方法的情況下檢測事件的處理中惡意軟件的存在的示例系統(tǒng)100��。系統(tǒng)100可包括處理器102���、存儲器104、可通信地耦合到處理器102的安全模塊106��、可通信地耦合到處理器102的執(zhí)行概況分析模塊108以及可通信地耦合到處理器102的概況分析控制模塊110。
[0013]執(zhí)行概況分析模塊108、安全模塊106和/或概況分析控制模塊110可以配置成用于在系統(tǒng)100的任何合適的部分上執(zhí)行。它們可以被配置成在例如服務(wù)器�����、計算機���、節(jié)點�、網(wǎng)關(guān)�����、路由器���、發(fā)射機或接收機上執(zhí)行��?��?梢杂扇魏魏线m的電子設(shè)備和/或電子設(shè)備的組合來實現(xiàn)系統(tǒng)100����,諸如:計算機�、膝上型計算機�����、云計算服務(wù)器��、刀片(blade)�、臺式機�、機架服務(wù)器、移動設(shè)備和/或web服務(wù)器�。在一些實施例中,系統(tǒng)100可以通過一個或多個微處理器���、微控制器�����、專用集成電路和/或片上系統(tǒng)(“SoC”)配置中的其他合適的電子設(shè)備來實現(xiàn)���。
[0014]在一些實施例中�,由執(zhí)行概況分析模塊108����、安全模塊106和/或概況分析控制模塊110執(zhí)行的功能中的一些或全部功能可以由一個或多個安全代理來執(zhí)行?���?砂惭b安全代理以在各種電子設(shè)備上運行����,所述各種電子設(shè)備包括計算機、膝上型計算機�、云計算服務(wù)器、刀片���、臺式機����、機架服務(wù)器���、移動設(shè)備和/或web服務(wù)器���。
[0015]在一些實施例中�����,處理器102可以包括例如����,微處理器�����、微控制器��、數(shù)字信號處理器(DSP)��、專用集成電路(ASIC)�,或配置成解釋和/或執(zhí)行程序指令和/或處理數(shù)據(jù)的任何其他數(shù)字或模擬電路。在一些實施例中�����,處理器102可以解釋和/或執(zhí)行存儲在存儲器104中的程序指令和/或處理數(shù)據(jù)�。存儲器104可以部分地或整體地被配置為應(yīng)用存儲器、系統(tǒng)存儲器�,或這兩者。存儲器104可包括配置成用于保持和/或容納一個或多個存儲器模塊的任何系統(tǒng)�、設(shè)備或裝置��。每一個存儲器模塊都可包括配置成用于保留程序指令和/或數(shù)據(jù)達一段時間的任何系統(tǒng)�����、設(shè)備或裝置(例如���,計算機可讀存儲介質(zhì))。用于配置系統(tǒng)100的操作(諸如��,對諸如概況分析模塊108����、安全模塊106和/或概況分析控制模塊110之類的組件的配置)的指令��、邏輯或數(shù)據(jù)可以駐留在存儲器104中���,用于由處理器102執(zhí)行���。
[0016]在一些實施例中,系統(tǒng)100可以監(jiān)視選擇活動的執(zhí)行���。也就是說�����,系統(tǒng)100可以允許對未經(jīng)授權(quán)的軟件的通用運行時檢測��。例如��,系統(tǒng)100可以允許系統(tǒng)100的用戶來確定軟件執(zhí)行流源自哪里�����,以及執(zhí)行流可以繼續(xù)進行到哪里���。在相同或替代實施例中�����,系統(tǒng)100可以發(fā)現(xiàn)在對被跟蹤的事件的處置中所涉及的代碼���。例如,系統(tǒng)100可以發(fā)現(xiàn)在對輸入/輸出(“I/o”)事件處置����、對特許的API的調(diào)用返回等的處置中所涉及的代碼。
[0017]在一些實施例中��,系統(tǒng)100可以配置成基于未經(jīng)授權(quán)的軟件的行為的在先獲悉,在不使用簽名�����、插入����、監(jiān)視單個已知的漏洞利用和/或標識惡意軟件的其他方法來檢測未經(jīng)授權(quán)的軟件。也就是說�����,系統(tǒng)100可以配置成用于檢測未經(jīng)授權(quán)的軟件的片段的先前未知的版本�,和/或可以不要求響應(yīng)于系統(tǒng)軟件的變化而頻繁地更新監(jiān)視軟件。
[0018]在一些實施例中�����,系統(tǒng)100可包括安全模塊106�。安全模塊106可以配置成用于監(jiān)視選擇活動的執(zhí)行����。安全模塊106可以配置成用于接收來自執(zhí)行概況分析模塊108的輸出以檢測未經(jīng)授權(quán)的軟件。例如�,安全模塊106可以是在系統(tǒng)100上執(zhí)行的代理��,所述代理配置成用于將安全策略應(yīng)用于所收集的關(guān)于所標識的事件的執(zhí)行簡檔的數(shù)據(jù)�����。
[0019]在一些實施例中�����,系統(tǒng)100還可包括概況分析控制模塊110��。概況分析控制模塊110可以配置成與安全模塊106對接�����,以便將適用的安全策略的變化和/或其他相關(guān)的信息通知給安全模塊106�。例如���,概況分析控制模塊110可以將新類型的執(zhí)行事件策略�����、過濾規(guī)則和/或回調(diào)條件傳遞到執(zhí)行概況分析模塊108和/或安全模塊106�����。概況分析控制模塊110也可以配置成用于處置新執(zhí)行概況分析事件���,以便創(chuàng)建和/或優(yōu)化反惡意軟件試探發(fā)(heuristics)(例如��,面向返回的編程檢測�����、API誤用和/或一般代碼注入)��。
[0020]在一些實施例中����,系統(tǒng)100可包括執(zhí)行概況分析模塊108���。執(zhí)行概況分析模塊108可以配置成用于實現(xiàn)并提供執(zhí)行概況分析和監(jiān)視能力�����。在一些實施例中,可以通過硬件��、軟件和/或它們的某種組合來實現(xiàn)執(zhí)行概況分析模塊108��。例如,可以通過使用二進制轉(zhuǎn)換技術(shù)(或其他合適的代碼仿真技術(shù))和/或被開發(fā)以與執(zhí)行概況分析模塊108 —起使用的CHJ硬件擴展來實現(xiàn)執(zhí)行概況分析模塊108��。作為后者的示例�,可以基于分叉設(shè)陷來開發(fā)CHJ擴展。
[0021]在一些實施例中��,執(zhí)行概況分析模塊108可以配置成用于在滿足指定的準則時來調(diào)用對安全模塊106的回調(diào)�。例如,執(zhí)行概況分析模塊108可以:當標識和/或生成了要被跟蹤的事件時�,調(diào)用對安全模塊106的回調(diào),當某些分支指令執(zhí)行時(可取決于和/或更改在特定點處的執(zhí)行流的任何合適的代碼段��,例如����,CALL、JMP��、RET)��,啟用回調(diào)的生成��;通過二進制轉(zhuǎn)換(基于軟件的和/或硬件輔助的)���、現(xiàn)有的分支上CPU調(diào)試斷點(Debug Break)和/或其他CPU擴展�,生成回調(diào);過濾由與執(zhí)行指令的進程和/或線程相關(guān)聯(lián)的標識符(例如�����,軟件進程ID)進行的回調(diào)��,其中����,可以通過檢查CPU寄存器的內(nèi)容來確定標識符;當處置回調(diào)時����,標識分支(分支前和/或分支后)中所涉及的代碼;校驗標識的代碼的有效性(例如��,簽名校驗���,掃描惡意軟件)���;對所標識的代碼校驗其包括在處置被跟蹤的事件中的愿望(或必要性);和/或校驗是否使用了面向返回的編程技術(shù)�����。在相同或替代的實施例中�����,執(zhí)行概況分析模塊108可以進一步被配置為在校驗對面向返回的編程技術(shù)的使用時�,檢查分支點處的調(diào)用棧以驗證它是否是合法的或是否是由面向返回的編程引起的??梢詰{借其來執(zhí)行此檢查的手段的示例可以在美國專利N0.7,987�,451中找到,在此通過引用并入此專利�����。
[0022]在相同或替代的實施例中��,執(zhí)行概況分析模塊108可以配置成用于在滿足其他準則時來調(diào)用對安全模塊106的回調(diào)�,從而執(zhí)行校驗。例如��,可在以下時機調(diào)用回調(diào):棧樞軸(stack