CN102176224A

CN102176224A - 用于处理恶意软件的方法和装置

Info

Publication number: CN102176224A
Application number: CN2011100361241A
Authority: CN
Inventors: M·莫里斯; P·斯塔布斯; M·哈特维希; D·哈特
Original assignee: Prevx Ltd
Current assignee: Webroot Solutions Ltd
Priority date: 2005-06-30
Filing date: 2006-06-30
Publication date: 2011-09-07
Anticipated expiration: 2026-06-30
Also published as: US20070016953A1; US20120278895A1; EP1899884A2; US20150007327A1; CN102176224B; JP4936294B2; CN101213555B; US20220284094A1; US20120278891A1; CN102096784A; US8726389B2; US10803170B2; EP2629232A2; US8763123B2; EP2629232A3; WO2007003916A3; EP2629231A3; GB0513375D0; WO2007003916A2; EP2629231A2

Abstract

本发明的一个方面提供一种将计算机对象分类为恶意软件的方法，包括在基计算机处从多个远程计算机中的每一个接收关于计算机对象的数据，该对象或类似对象存储在远程计算机上。在基计算机中，比较从多个计算机接收的关于计算机对象的数据。根据所述比较，将计算机对象分类为恶意软件。在一个实施例中，关于计算机对象的数据包括以下中的一个或多个：包含在对象内或者由所述对象组成的可执行指令；对象的大小；对象的名称；对象在各个远程计算机上的对象逻辑存储位置或路径；对象的销售商；与对象相关联的软件产品和版本；以及当创建、配置对象或对象在各个远程计算机上运行时，由对象发起的事件或涉及对象的事件。

Description

用于处理恶意软件的方法和装置

本申请是申请日为2006年6月30日、申请号为“200680023707.8”，发明名称为“用于处理恶意软件的方法和装置”的发明专利申请的分案申请。

技术领域

本发明一般涉及用于处理恶意软件的方法和装置。在一个方面中，本发明涉及一种用于将计算机对象分类为恶意软件的方法和装置。在另一个方面中，本发明涉及一种用于确定远程计算机能够防止恶意软件的方法和装置。在另一个方面中，本发明涉及一种用于将计算机对象分类为恶意软件或安全的方法和装置。在另一个方面中，本发明涉及一种在计算机上安装软件的方法。

背景技术

在此使用的术语“恶意软件”一般指任何可执行的计算机文件或者是恶意代码或包含恶意代码(并且因此包括病毒、特洛伊、蠕虫、间谍软件、广告软件等)的更一般的“对象”。

一种诸如反病毒扫描软件的典型反恶意软件产品扫描对象或应用于对象的算法结果或其部分，从而在已知指示存在病毒的对象中查找签名(signature)。通常地，处理恶意软件的方法：当新型恶意软件例如经由因特网发布时，最终检测这些恶意软件。一旦检测到新的恶意软件条目，那么该领域中的服务提供商生成试图处理这些恶意软件的签名，并且然后将这些签名发布以更新他们的反恶意软件程序。还使用了启发式(Heuristic)方法。

这些系统很好地用于防止已知的恶意对象。然而，由于它们依靠生成和/或更新的签名文件，所以在一个新的恶意软件开始存在或发布与生成或更新用于与恶意软件进行战斗的签名并且将其提供给用户之间存在着不可避免的延迟。因此，用户在一个特定时间段内处于来自于新的恶意软件的风险中，该特定时间段可能高达一周甚至更长。而且，为了尽量击败反病毒产品，恶意软件编写者使用混淆(obfuscation)技术从而试图隐藏病毒代码的签名或签名基础数据以防止检测。通常地，混淆包括加密或对病毒代码打包。

WO-A-2004/097602描述了一种系统，该系统分析由本地计算机接收或生成的计算机文件并且将这些文件与已知文件的数据库进行比较以确定特定文件是否是已知的，并且如果是，确定该特定文件是否在足够长的时间内已知从而可以被看作“安全的”。然而，在实践中，关于它本身，这不太可能提供足够的保护，因为例如，可以仅将病毒或特洛伊的有效载荷进行编程来激活，这可以在特定日期、或者当从本地或远程系统或进程接收消息或指令时，或者可以在该进程已经进行了第一次运行或被发布之后的数月或者甚至数年时发生特定事件的时候进行。因此，仅查看文件的时间长短不是确定它是否是适当地安全的并且将继续如此的满意方法。

在WO-A-2004/0083408的系统中，通过检查由计算机上运行的特定文件进行的连接尝试来检测文件中的蠕虫。

US-A-6944772、US-A-6772346、EP-A-1549012和EP-A-1280040都公开了“基于群体的”反恶意软件系统，其中多个“本地”计算机都经由网络(例如，其可以是LAN或因特网)连接到中央计算机。在遇到它们还不知道的文件时，本地计算机向中央计算机发送对运行文件进行授权的请求。如果在中央计算机处识别了文件，那么中央计算机可以发送对本地计算机的许可，以便当已知文件是安全时运行该文件，或者当已知文件是恶意时发送“拒绝”命令。然而，在这些现有技术方案的每个中，如果该文件在中央计算机处不是已知的，那么整个文件被发送到中央计算机，其中可以分析该文件以确定它是否应该被看作安全的还是恶意的。通常通过对文件进行详细分析(例如，通过模拟或解释)来手工或“半手工”执行此类分析，其可能仍需要花费数天来满足通常要求的人的介入。因此，在将新文件分类为安全或恶意软件之前仍旧存在相当长的时间段。在这些现有技术系统的情况中，由本地计算机发送到中央计算机的对运行文件授权的请求可以包括发送校验和或者唯一代表文件的“关键字”或“签名”。

类似的基于群体的反恶意软件系统在WO-A-02/33525中公开。在此系统中，在本地计算机寻求许可(clearance)运行中央计算机不知道是安全或恶意软件的文件的情况中，在其他本地计算机上的关于文件普及的某些受限审核信息可以被发送给与寻求允许运行该文件的本地计算机相关联的人类系统管理员。因此，人类系统管理员仍旧可以通过“手工”决定文件是否是运行安全的来更好地获得通知。

在US-A-2004/0073810的系统中，包含关于附件或其他传输的文件的数据的元文件发送到中央计算机。对关于该文件的数据进行分析从而确定传输的文件是恶意软件的可能性。给出的特定示例是，如果传输文件已经经由至少一定数目的服务器进行了传输，那么它应该被作为恶意软件。

在US-A-2005/0021994和US-A-2004/0153644中公开的系统中，可以由例如与文件相关联的软件销售商验证为安全的预先准许的文件可以在没有进一步检查的情况下总是被允许运行。在US-A-2004/0153644的系统的一个实施例中，执行监控，从而如果在中央机构处在一个时间段中从多个本地计算机接收到该文件的大量不正常请求，或者如果在一个时间段内从单个本地计算机接收到该文件的大量不正常请求，则确定文件是恶意的。

在US-A-2004/0006704的系统中，将计算机上的软件安装版本与软件版本及其已知弱点的数据库进行比较。因此，可以通知计算机用户特定的风险以及如何通过更新现有软件或安装新软件来最小化这些风险。

在WO-A-03/021402的系统中，中央数据库保存了存储在多个本地计算机的每个上的所有文件的虚拟映像。如果识别了一个本地计算机中的威胁，可以向具有类似配置的其他本地计算机通知该风险。

因此，现有技术系统或者依靠对新对象的深入分析从而确定对象是否是恶意的，这在分析文件和新的反恶意软件分布期间引入了延迟并因此引入了用户风险，或者执行对特定对象操作的受限分析或向计算机的传输方法，以确定对象是恶意的可能性。

发明内容

根据本发明的第一方面，提供一种将计算机对象分类为恶意软件的方法，该方法包括：

在基(基)计算机处，从多个远程计算机的每一个接收关于计算机对象的数据，该对象或类似对象存储在远程计算机上；

在基计算机中，比较从多个计算机接收的关于计算机对象的数据；以及

根据所述比较，将计算机对象分类为恶意软件。

与仅依靠签名匹配的现有技术相比，该方面允许在对象和/或它们对不同远程计算机的影响之间进行比较，以确定特定对象是否应该被归类为良好还是恶意软件。可以执行复杂的模式分析。这允许在不需要对对象本身进行详细分析的情况下，快速确定对象的本质，同样确定它是否是恶意软件，并且还避免了生成新签名用于签名匹配，如在传统现有技术反病毒软件中的那样。

在优选的实施例中，从多个远程计算机发送到基计算机并且在比较中使用的关于计算机对象的数据包括以下中的一个或多个：包含在对象内或者由所述对象组成的可执行指令；对象的大小；对象的当前名称；对象在盘上的物理和文件夹位置；对象的原始名称；对象的创建和修改日期；销售商、产品、版本以及存储在对象内的任何其他信息；对象头部或由所述远程计算机保持的头部；以及当创建、配置对象或对象在各个远程计算机上运行时，由对象发起的事件或涉及对象的事件。

优选地，该比较识别该对象和另一个对象之间的关系。在示例中，如果该对象或者父对象或其他相关对象为不良(或良好)，可以立刻并自动地使用此比较来将子对象标记为不良(或良好)。因此，如果所述对象与其相关的至少一个其他对象被分类为恶意软件，那么该方法可以包括将所述对象分类为恶意软件。所述其他对象包括存储在至少某些远程计算机上的对象或类似对象。所述其他对象可以包括的其他对象是父对象或子对象或与所述对象进程相关的对象。

在最优选的实施例中，以关键字的形式发送数据，该关键字通过关于各个远程计算机上的对象执行的哈希进程获得。使用这样的关键字的主要优势是缩减了需要传输到基计算机的数据量。假设可能存在数千或甚至数百万连接的远程计算机，并且进一步假设每个远程计算机可以发送关于非常多个对象的细节，这可以是非常重要的优势。

关键字优选地具有代表包含在对象之内或由对象组成可执行指令的至少一个部分。此重要的优选特征允许在对象的仅可执行指令的基计算机处进行比较。这意味着例如基本上具有相同可执行指令的命名不同的对象(其经常是指示对象是恶意软件的指示符)可以被认为是出于此目的的“相同”对象。如另一个示例，可以发布程序的新版本，与基计算机已知的先前版本相比，新版本具有微小的改变，并且至少关于可执行指令而言新版本基本上可以被看作与先前版本相同。在该情况中，可以忽略微小差异并且对象被认为是相同的。不仅在恶意软件之间的区分中这是有用的，而且例如对于先前软件的修改版本，它还缩减了数据传输和存储要求，因为基计算机可以通知远程计算机，看起来是新的对象由于此目的与之前已知的对象是相同的，因此避免了使远程计算机向基计算机发送关于对象的全面细节或者对象本身。

关键字优选地具有至少一个代表关于所述对象的数据的部分。关于所述对象的数据包括以下至少一个内容：对象的当前名称；对象在盘上的物理或文件夹位置；对象的原始名称；对象的创建和修改日期；销售商、产品和版本以及存储在对象内的任何其他信息；对象头部或由远程计算机保持的头部；以及当创建、配置对象或对象在各个远程计算机上运行时，由对象发起的事件或涉及对象的事件。

关键字优选地具有至少一个部分，该部分表示对象的物理大小。

在这些部分中的多于一个部分存在于关键字中的情况下，多个部分优选地可分开。

该方法可以包括将对象初始分类为非恶意软件，生成针对所述对象的掩码(mask)，该掩码定义对象的可接受行为，并且包括监控至少一个远程计算机上的对象的操作，以及如果实际监控的行为超出了掩码允许的行为，则将对象重新分类为恶意软件。这提供了监控已经被分类或被看作良好的对象行为的有效率并且高效的方式，并且如果该对象的行为证明了它，则允许将该对象快速重新分类为恶意软件。

根据本发明的第二方面，提供了一种用于将计算机对象分类为恶意软件的装置，该装置包括：

基计算机，被构建和安排为从多个远程计算机中的每一个接收关于计算机对象的数据，对象或类似对象存储在远程计算机上；

该基计算机被构建和安排为比较从所述多个远程计算机接收的关于所述计算机对象的数据；以及，

该基计算机被构建和安排为根据比较将所述计算机对象分类为恶意软件。

根据本发明的第三方面，提供一种用于从远程计算机向基计算机提供关于计算机对象的数据以便可以在基计算机处与从其他远程计算机接收的类似数据进行比较的方法，该方法包括：

从远程计算机向基计算机提供关于存储在远程计算机上的计算机对象的数据；

该数据包括以下中的一个或多个：包含在对象之内或由对象组成的可执行指令；对象的大小；对象的当前名称；对象在盘上的物理以及文件夹位置；对象的原始名称；对象的创建和修改日期；销售商、产品和版本以及存储在对象内的任何其他信息；对象头部或由远程计算机保持的头部；以及当创建、配置对象或该对象在各个远程计算机上运行时，由对象发起的事件或涉及对象的事件；

以关键字的形式发送的数据，该关键字通过关于各个远程计算机上的对象执行的哈希进程获得。

可以由运行在远程计算机上的所谓的代理软件执行的方法允许向基计算机有效地发送数据，其最小化了数据传输和存储要求，并且还允许在基计算机处进行快速分析。

关键字优选地具有至少一个部分，该部分表示包含在该对象内或由该对象组成的可执行指令。

关键字优选地具有代表关于所述对象数据的至少一个部分。关于所述对象的所述数据可以包括以下中的至少一个：对象的当前名称；对象在盘上的物理或文件夹位置；对象的原始名称；对象的创建和修改日期；销售商、产品和版本以及存储在对象内的任何其他信息；对象头部或由远程计算机保持的头部；以及当创建、配置对象或对象在各个远程计算机上运行时，由该对象发起的事件或涉及该对象的事件。

关键字优选地具有至少一个部分，该部分表示对象物理大小。

根据本发明的第四方面，提供一种确定远程计算机具有防止恶意软件的保护的方法，该方法包括：

在基计算机处接收所有或选择的安全产品的细节，该安全产品在所述远程计算机上按时间点操作；

从连接到基计算机的其他远程计算机接收类似信息；以及

识别具有安全产品的特定组合的所述其他远程计算机没有识别出来的任何恶意软件进程。

以此方式，基计算机可以用于获取关于例如操作系统和各种安全产品的特定、指定组合的信息，包括存在于时间点的设置和签名文件，呈现具有那些易受任何特定恶意软件对象攻击的那些产品和设置的特定计算机。相应地可以建议用户并且例如向用户提供用于补救情况的建议。

因此，该方法包括可以在所述识别的基础上向所述远程计算机的用户提供信息，所述远程计算机可能易受所述恶意软件进程的攻击。

所有或选择的安全产品的细节优选地包括安全产品的名称、版本和装载的签名文件。

根据本发明的第五方面，提供一种用于确定远程计算机具有防止恶意软件的保护措施的装置，该装置包括：

基计算机，被构建和安排为接收所有或选择的安全产品的计算机细节，所述安全产品在所述远程计算机上按时间点操作；

该基计算机被构建和安排为从连接到所述基计算机的其他远程计算机接收类似的信息；以及

该基计算机被构建和安排为识别具有安全产品的特定组合的所述其他远程计算机没有识别出来的任何恶意软件进程。

根据本发明的第六方面，提供一种将计算机对象分类为恶意软件或安全的方法，其中所述计算机对象是第一计算机对象的后代或相关的对象，该方法包括：

将第一计算机对象分类为恶意软件或安全；

在关于所述第一计算机对象的关键字中识别一个部分，该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中；以及，

根据唯一标识符部分存在于所述计算机对象的关键字中，将所述计算机对象分类为恶意软件或安全。

此方面使用祖先的概念来使对象能够被标记为恶意软件。例如，任何特定进程可以繁殖因此相关的子进程。可以检查关于第一对象的关键字以识别一个部分，该部分唯一地标识第一对象并且被继承的或存在于第一对象的后代或其他相关对象的关键字中。

该方法可以包括监控所述第一计算机对象的活动，并且在将第一计算机对象初始地分类为安全并且随后确定为恶意软件的情况中，将第一计算机对象重新分类为恶意软件，该方法进一步包括将具有其中存在所述唯一标识符部分的关键字的任何计算机对象自动地分类为恶意软件。

根据本发明的第七方面，提供一种用于将计算机对象分类为恶意软件或安全的装置，其中所述计算机对象是第一计算机对象的后代或相关对象，该装置包括：

计算机，被构建和安排为将第一计算机对象分类为恶意软件或安全；

该计算机被构建和安排为在关于所述第一计算机对象的关键字中识别一个部分，该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中；以及

该计算机被构建和安排为根据唯一标识符部分存在于所述计算机对象的关键字中，将所述计算机对象分类为恶意软件或安全。

根据本发明的第八方面，提供一种在计算机上安装软件的方法，该方法包括：

在计算机上安装软件的开始，在计算机上向用户提供计算机生成的提示，以确定用户是否授权安装；以及，

如果没有接收到用户授权则停止安装，否则：

在计算机处接收用户进行安装的授权；

进行安装；

获取关于安装期间创建或使用的计算机对象的数据；

在本地计算机处存储所述数据。

当用户正在安装新软件并且例如没有连接到具有上述类型的群体数据库的基计算机时，此方法提供安全性。在该情况中，可以在运行在本地计算机上的代理软件中实现的方法允许用户许可进行安装，而同时收集关于安装期间创建的对象(诸如进程、新文件等)的数据。

优选地，在安装期间参考本地存储的数据以确保在安装期间创建或使用的所有对象是安装进程的部分，并且如果发现在安装期间创建或使用的对象不是安装进程的一部分，则进行以下之一或进行以下两者：(i)停止安装，和(ii)在计算机上向用户提供计算机生成的提示。这允许该方法确保仅许可创建或使用安装所要求的那些对象，并且因此避免无意地允许安装恶意软件(假设恶意软件经常创建对象，该对象是新软件的正常安装部分所不期望的)。

在优选的实施例中，该方法包括将计算机连接到群体数据库，该群体数据库可连接到多个计算机，并且将存储的数据上传到群体数据库用于与其他计算机提供的类似数据进行比较。

该方法可以包括将关于受信任安装者的数据下载到计算机，在安装期间参考所述关于受信任安装者的数据，以便关于受信任安装者或由受信任安装者创建的任何对象是自动授权进行的。这便于安装已经受信任的软件。

仅在计算机处接收到用户授权以进行安装之后的预定时间段，参考所述关于受信任安装者的数据。

本发明还包括计算机程序，计算机程序包括用于使计算机执行任何上述方法的程序指令。

尽管参考附图描述的本发明的实施例包括计算机装置中执行的计算机进程以及计算机装置本身，本发明还扩展到适于实现本发明的计算机程序，特别是在载体上或载体中的程序。程序可能是源代码、目标代码、诸如部分编译形式的中间源代码和目标代码、或用于实现根据本发明的进程的任何其他适合的形式。载体可以是能够承载程序的任何实体或设备。例如，载体可以包括诸如ROM的存储介质，例如CD ROM或半导体ROM、或磁记录介质，例如软盘或硬盘。而且，载体可以是可传输载体，诸如电或光信号可以经由电缆或光缆或通过无线或其他方式传递。

附图说明

现在，将通过参考附图的示例描述本发明的实施例，其中：

图1示意性地示出了可以在其中实现本发明的实施例的装置；

图2是示意性地示出了根据本发明实施例的方法的示例操作的流程图；

图3是示意性地示出了根据本发明的实施例的方法的另一个示例操作的流程图；以及，

图4是示意性地示出了信息获取阶段的流程图。

具体实施方式

参考图1，计算机网络通常示出为基于诸如因特网1的分布式网络。然而，本发明可以通过或使用诸如LAN的其他类型的网络来实现。多个本地或“远程”计算机2经由因特网1连接到“中央”或“基”计算机3。每个计算机2都可以是个人计算机、任何类型的服务器、PDA、移动电话、交互电视或能够装载并且操作计算机对象的任何其他设备。此情况中的对象可以是计算机文件、文件或子程序的部分、宏、web页面或由计算机或在计算机上操作的任何其他代码片段，或任何不论是执行、模拟、模仿或解释的事件。在图中示意性地示出了对象4，并且对象4可以例如如线5所示的那样将对象4经由因特网1下载到远程计算机2、或如线6所示的那样直接被应用。

在一个优选的实施例中，基计算机3具有数据库7，当远程计算机2运行对象4以确定对象4是安全的还是不安全的时，远程计算机2可以与数据库7进行交互。随着时间向群体(community)数据库7提供涉及在所有连接的远程计算机2上运行的每个对象的信息组装。如下面将进行的进一步描述，代表每个对象4的数据优选地采用涉及对象及其影响的所谓的签名或关键字的形式。还如以下将进行的进一步描述，数据库7可以进一步包括用于对象4的掩码，其设定了对象的性能和操作的参数。

现在参考图2，在开始点21，计算机对象4(诸如进程)在远程计算机2上运行。在步骤22，通过在远程计算机2上运行的本地“代理”软件的操作，钩住(hook)了进程的操作，从而代理软件可以搜索存储在远程计算机2上的本地数据库以搜索代表该特定进程的、其相关对象和/或事件的签名或关键字。如果存在本地签名，它将指示该进程被认为是不安全的或将指示该进程被认为是安全的。不安全的进程可能是一个已经被发现的恶意软件，或可能是已经被发现来自其运行的不可预知的或已知的不安全或恶意的结果。如果签名指示进程是安全的，那么在步骤23，远程计算机2上的本地代理软件允许该进程或事件运行。如果签名指示进程是不安全的，那么在步骤24，进程或事件停止。

应该理解，可以存在除“安全”或“不安全”以外的多于两个的状态，并且用户可以选择。例如，如果对象在本地被认为是不安全的，则可以向用户呈现选项以允许相关进程仍然运行。也可能向每个远程计算机2呈现不同的状态。该状态可以由中央系统改变，以考虑时间帧或远程计算机的位置、状态或所有权。

如果对象是本地未知的，那么对象的细节通过因特网1或其他网络传递到基计算机3以便存储在群体数据库7中，并且优选地用于在基计算机3处进一步分析。在该情况中，则在步骤25搜索群体数据库7中的已经存储在群体数据库7中的对象的签名。群体数据库7提供有表示对象的签名，该对象诸如每个监控的远程计算机2运行的程序或进程。在本领域中典型的实现中，可以存在数千甚至数百万连接到基计算机3或可连接到基计算机3的远程计算机2，并且因此将很快发现在因特网1上新发布的任何对象或在这些远程计算机2的任何一个上发现的任何对象，并且由各个远程计算机2创建签名并且将该签名发送到基计算机3。

当向群体数据库7搜索所关注的远程计算机2先前不知道的对象的签名时，那么如果发现了签名并且该签名指示对象是安全的，则在步骤26将至少一条有关对象是安全的消息或签名的拷贝发送到所关注的远程计算机2的本地数据库，以填充本地数据库。以此方式，远程计算机2立刻具有此信息从而当下次遇到对象4时对其进行处理。分离消息也传递回远程计算机2以允许对象在当前实例中运行。

如果在群体数据库7中发现签名，并且由于一些原因，这指示对象是不安全的，则在步骤27该签名被再次拷贝回本地数据库并且标记为“不安全”，和/或消息被发送到远程计算机2从而对象的运行停止(或不允许其运行)和/或给予用户通知选择是否运行它。

如果在搜索了整个群体数据库7之后，对象仍旧是未知的，那么假设这是本领域中之前从没见过的全新对象。因此，在步骤28创建代表对象的签名，或将由远程计算机2发送的签名用于此目的，并且在步骤29初始地将此签名标记为不良或不安全的群体数据库7。在步骤30，将签名拷贝到第一次运行该对象的远程计算机2的本地数据库。然后，可以将消息传递到远程计算机2以指示远程计算机2不运行该对象，或者可替换地，可以向用户通知关于是否允许对象运行的意见。另外，在步骤31，群体数据库7可以向远程计算机2请求对象本身的拷贝。

如果远程计算机2处的用户选择运行因为其太新所以被认为是不安全的进程，那么该进程可以由远程计算机2和/或群体数据库7可以监控，并且如果例如在n天的时间之后，没有出现或表现出不良效果，那么可以认为它是安全的。可替换地，群体数据库7可以保持由组成网络部分的多个远程计算机2发现的进程的每个实例的日志，并且在记录了特定数量的实例以及可能记录了被允许运行并且安全运行的其他特定数量的实例或进程之后，则可以将群体数据库7中的签名标记为安全而不是不安全。在此概念下可以完成监控安全性的多种其他变形。

对象4的细节优选以唯一标识对象4的签名或“关键字”的形式传递到基计算机3。这主要缩减了数据存储和传输要求。可以通过对远程计算机2处的对象进行哈希函数操作来形成此关键字。

优选实施例中的关键字具体设置为具有至少三个可服务的部分，第一所述部分代表包含在对象内或由该对象组成的可执行指令，第二所述部分代表关于所述对象的数据，并且第三所述部分代表对象的物理大小。第二部分中的关于对象的数据可以是任何或所有其他形式的身份，诸如文件名称、其在盘上的物理以及文件夹位置、其原始文件名称、其创建和修改日期、销售商、产品和版本以及存储在对象内的任何其他信息，其文件头部或由远程计算机2保持的关于其的头部；以及当创建、配置或在各自的远程计算机2上运行对象时，由对象发起或涉及该对象的事件。通常地，关键字中提供的信息可以包括这些元素中的至少一个或者这些元素的任何两个或更多个的任何组合。

在一个优选的实施例中，针对PE类型(微软定义的可移动可执行文件)的所有可执行文件(诸如(但不限于).exe和.dll文件)创建校验和。根据文件的性质生成三种类型的校验和：

类型1：对文件的五个不同部分的求校验和。这些包括引入表、代码段的开始部分和结束部分、以及整个文件的开始部分和结束部分。此类型应用于分析的极大多数文件；

类型2：对于旧的DOS或16比特可执行文件，对整个文件求校验和；

类型3：对于超过一定预定大小的文件，将文件采样为块，然后求校验和。对于小于一定预定大小的文件，对整个文件求校验和。

对于求校验和进程，原则上可能是任何技术。MD5(消息摘要算法5)是广泛使用的密码哈希函数，其可以用于此目的。

这允许仅通过查看校验和的可执行元素并且在共享公共可执行代码的两个可执行元素之间进行比较来生成核心校验和。

对于上述类型1校验和，可以使用三个签名进程。第一个定义了全部文件并且将使用几乎任何改变去改变文件内容。第二个试图仅定义改变更少的进程的处理指令。第三个利用文件的大小，其大量减少了不同大小的对象的潜在冲突。通过跟踪具有独立出现的不同拷贝的所有签名的出现，可以识别已经改变或已经从公共点创建但还没有编辑以执行新的、可能的恶意功能性的进程。

此“元数据”使当前和新近设计的启发式方法能够在群体数据库7中的数据上运行。

存储在群体数据库7中的数据提供对象的创建、配置、执行、行为、身份以及与影响它或被它影响的其他对象的关系的广泛结果。

优选的中央启发式方法使用五个不同的进程以确定对象是安全的、不安全的或可疑的。

第一所述进程使用从已经看到对象的所有远程计算机2捕获的和相关的名称、位置、销售商、产品和版本信息的单个或多个。通过针对单个对象考虑多个这种信息，可以确定可以用作对象的真实性和/或可信性度量的分数。大部分安全对象不倾向于使用大量多个识别信息或位置。可以建立规则以考虑这种关于对象类型以及其位置的信息。例如，临时文件经常使用多个系统生成的文件名，该文件名在针对相同对象的每个远程计算机上可以是不同的。在几乎没有多个对象时，则提供参考点以在对先前使用的、识别信息的其他对象的已知行为的比较中考虑它的行为。例如，与已知为notepad.exe的一个或多个对象的行为相比，表示notepad.exe的一个版本的新对象可以具有其行为。此比较可以针对使用相同或类似识别信息的单个其他对象或多个其他对象。以此方式，可以针对新对象识别新的行为模式。而且，允许优选的实施例随着时间管理对象的行为以识别新的行为模式，该新的行为模式可以使得先前被认为是安全的对象的状态被重新考虑。可替换地，基于身份的分数可以连同其他对象的分数一起被考虑，或者连同组合考虑有此对象上的其他进程创建的分数一起被考虑。

第二所述进程使用其他对象影响该对象或其他对象由该对象影响的关系。例如，可以分析哪个对象创建了此对象，哪些对象是此对象创建的，哪些对象创建了注册关键字以运行或配置此对象，哪些对象由此对象创建的注册关键字所配置或具有由此对象创建的注册关键字，等等。在这点上，基于一个对象在另一个对象上执行的事件，或基于另一个对象在该对象上执行的事件，考虑该对象具有的关系。此简单的1对1关系链提供了一系列复杂的相关点，允许针对任何对象及其按事件的前辈(predecessor)或其按事件的后代(issue)(即子进程以及sub子进程)来考虑遗传(ancestral)关系。这允许评定分数来描述其与已知的、未知的、已知安全的或已知不良对象或其组合的关联和关系。具有特定关系、多个关系或一类或另一类关系混合的对象可以因此被判断为安全或不安全。可替换地，可以连同其他分数一起考虑基于关系的分数，从而确定安全还是不安全。此数据还可以用于直接或经由其他对象及其行为推导出相关的对象的多个因素。例如可能推导出一个对象的行为可以被其到另一个对象的关联或链接来影响或改变。例如，考虑由微软利用Windows系列操作系统提供的notepad.exe。其具有有限范围的功能，并且因此将不期望它执行多种事件，诸如向另一个计算机传输数据或运行其他程序等。然而，notepad.exe的行为可以通过诸如经由动态链接库注入(DLL注入)而向它注入新代码而修改。在此情况中，notepad.exe现在将具有通过代码注入或到另一个对象的链接所推导出的新功能。使用定义对象之间关系的数据，可以推导出程序的新行为可以被分配到与另一个对象的关联。如果该新行为是恶意的，那么可以适当地将一个或所有进程标记为不安全。

捕获行为的组合提供了基础以确定对象是安全的还是不安全的。恶意软件通常表现出特定行为和特征。例如，恶意软件经常需要自我持续。这表明当系统重启或发生特定事件时，其本身需要自动重启。在特定位置创建对象以自动重启或触发执行是恶意软件的典型特征。替换Windows系统环境的核心对象是恶意软件典型特征的另一个示例。通过提供行为模式，可以自动确定对象是不安全的还是安全的。群体数据库7中的群体数据集中化提供了快速同化(assimilate)对象行为的能力，允许对恶意软件的快速识别和确定。对象还可以在其本身上执行事件，这可以在推导分数中考虑。

第三所述进程包括时间和空间。相关数据包括何时第一次看到对象，何时最后看到对象，已经看到其多少次，在给定的时间间隔中已经看到其多少次，以及其被看到的加速度的提高或降低。此信息与确定远程计算机的群体中的对象普遍性高度相关。基于这些度量来评分，该分数可以用于确定对象是安全的、不安全的，还是过于普遍的使得在没有非常全面的检查时不能允许其执行或传播。在此情况中，可以临时保持对象，或者可以阻止对象执行未决的关于其行为或关系的其他信息。此分数还可以与来自于其他进程的分数组合使用。时间也和包括但不限于行为和身份的其他信息组合高度相关。例如，在多态或随机命名对象的情况中，时间是有力的限定符。(每次多态病毒从一个计算机复制到另一个计算机时，该多态病毒改变其加密算法以及相应的加密关键字，并且因此传统测量方法难以对其进行检测)。基于其随着时间的活动，可以经常将创建其他程序的程序认为是正常的或不正常的。

第四所述程序考虑对象的行为。这允许基于对象执行的事件类型或由对象本身或其他对象对该对象执行的事件类型评定分数。群体数据库7的集中式系统允许无限数量的事件类型，并且可以考虑执行事件的对象或者是具有在其上执行事件的对象，或者以上两者。某些事件类型还涉及除对象之外的外部信息，例如，执行事件以与因特网聊天中继站点连接的程序、或修改诸如Windows主文件的非可执行文件的程序。对象的行为事件，无论是任何事件的“参与者(actor)”(即，该对象对另一个对象做了某些事)或“承受者(victim)”(即，另一个对象对该对象做了某些事)可以以诸如组合方式、序列方式、空间方式、出现或未出现方式、或其的任何组合的多种方式来考虑。优选的实施例中的行为事件可能由远程计算机2提供或者来自于其他外部源。进程可以孤立地考虑这些或将这些组合起来考虑。而且，以下是优选的实施例的特征，当该对象影响其他对象或者其他对象影响该对象时可以将行为事件与其他对象的状态组合考虑。例如，如果创建的程序是安全的、不安全的、新的、未知的或可疑的，则创建程序可以具有不同的分数。类似地，由已知的不良程序创建的程序将很可能由于根据创建其的对象的状态而具有分配给其创建事件的不同分数。

第五所述进程考虑web页面或脚本的行为。在此方面中，为web页面和url的组合分配唯一的身份，该身份允许跟踪其行为，就像其是类似于任何其他可执行文件的对象。在此示例中，web页面可以执行事件，所述事件将正常地视为由web浏览器(例如IExplore.exe或Firefox.exe)执行的事件。优选的实施例用web浏览器的识别细节和签名代替与浏览器内显示或执行的web页面相关的“伪”对象身份。在此方面中，可以以与其他对象相同的方式将涉及的web页面和/或web站点的状态确定为安全、不安全、未知或可疑的。web页面的“伪”对象身份还允许优选的实施例阻止、插入或限制web页面或web站点的功能性，用于防止某些或所有其潜在的不安全行为，或者用于向远程用户提供资格信息以向他们指导关于web站点、web页面或它们的内容的安全性。

在其他类型中，捕获的元数据的类型可能是：

“事件”：这些定义对象的动作或行为，该对象影响另一个对象或某些其他实体。该事件具有三个主要部分：执行动作的对象(“参与者”)的关键字，执行的动作(“事件类型”)，以及该对象的关键字或在其上执行动作的其他实体的身份(“承受者”)。虽然简单，但是此结构允许定义无限的一系列行为和关系。事件的三个部分示例可能是：

“身份”：定义了对象的属性。它们包括诸如以下的项目：文件名称，盘上或存储器中的其物理位置，文件系统内的盘上的其逻辑位置(其路径)，文件头部细节(包括何时创建文件、何时最后一次访问它、何时最后一次修改它)，存储为销售商、部分产品和文件的版本号及其内容、其原始文件名称和其文件大小的信息。

“起始参与者(genesisactor)”：是对象的关键字，该对象不是事件的直接参与者，但其是所执行事件的最终父母。例如在软件安装的情况中，这将是用户或系统首先执行的并且发起软件安装进程(例如Setup.exe)的对象的关键字。

“辅助数据”：很多事件可能需要辅助数据，例如诸如用于记录注册运行关键字的创建的事件。在此情况中，“事件”将标识创建注册运行关键字的参与者对象、事件类型本身(例如，“regrunkey”)、以及承受者或注册运行关键字的主题。此情况中的辅助数据将定义运行关键字条目本身；Hive、关键字名称和值。

“事件校验和”：因为事件数据可以非常大地扩展到单个事件的几百个字节的信息、参与者和承受者的身份以及任何辅助数据，系统允许通过事件校验和来总结该数据本身。利用各种算法，诸如CRC和Adler使用两个事件校验和。校验和是事件的核心数据。这允许远程计算机2将数据的校验和发送到中央计算机3，中央计算机3可能已经具有与那些存储的校验和相关的数据。在此情况中，不需要来自于远程计算机2的其他信息。仅当中央计算机3从来没有接收到校验和时，它将向远程计算机2请求相关联的数据。这为远程和中央计算机2、3两者在性能上提供了相当的完善，允许更有效的标定(scaling)。

因此，来自于远程计算机2的元数据可以在群体数据库7处使用，以定义跨越群体的进程的行为。如上所述，数据可以包括至少一个上述元素(文件大小、位置等)或两个、三个、四个、五个、六个或所有七个(或这里没有具体提到的更多元素)。因而，这可以用于建模、测试以及创建新的自动规则，用于在群体数据库7中使用，并且用作可以添加到远程计算机2的本地数据库中使用的和保存的那些规则的规则，从而识别和确定远程计算机2对新的或未知进程和进程活动的反应。

而且，可能对进程连同象同类实体那样的任何可选子进程一起监控，然后比较遍及群体的顶级进程的活动，并且推导出仅当也载入一个或多个特定子进程时发生的某潜在恶意实现。这允许对程序(诸如因特网浏览器或其他浏览器)的有效监控(不需要阻止)，可以通过用户从因特网获取的可下载的可选代码容易地改变该程序的功能性，这是如今恶意代码主要来源的过程。

潜在的大量活动用户给出了他们中的至少一个被新的恶意软件感染的高可能性。可以检测并且记录传播速度，以便可以检测到恶意软件的传播并且在传播速度、可选地在上述其他因素(诸如文件大小、位置和名称)的组合的基础上将恶意软件指定为不良。简单的感染量也可以用作触发器。在其他实施例中，结合加速首次尝试在群体内执行代码的相同代码段的命名差异允许模式匹配，所述模式匹配将示出完全相同签名的代码段为不良。

此特征允许某些实施例中的陈述“在没有锁定的情况下，在我们的群体中，没有什么将比X传播的更快”，从而如果任何进程或事件在给定的持续时间上传播地更快，则将其标记为不良。这是出于安全原因，因为如果例如对象被足够快地传播，那么在可以分析它以确定它是否是恶意软件之前，它可能感染计算机。

可以通过群体中的传播向量的标识(即，传播类型的源)、群体数据库中保留的时间戳数据和具有这些不良属性的代码的标记使此进程自动化。通过比较，相信所有其他反恶意软件提供商依靠简化的已知不良模型并且因此主要依靠终端上实际发生的以及被报告的恶意软件感染。

因此，群体数据库7可以用于早期诊断，或者简单地用于预防测量，并且因此在其生命周期中的极早期就停止潜在地快速传播的蠕虫以及其他恶意软件。假设可能创建可以在几分钟内感染连接到因特网的每台计算机的蠕虫，则上述特征是非常令人期望的。

甚至通过将定义新软件传播速度的数据与由代理软件从远程计算机2收集的元数据结合起来并且反馈给群体数据库7，可以进行更快的确定。这包括监控尝试通过随机地改变远程计算机2上的名称和/或位置来对用户隐藏自己的进程。它还包括进程在计算机上创建具有不同名称的相同拷贝(即具有相同代码内容)的尝试。这是典型的蠕虫的属性。

对象的签名可以包括掩码或与掩码相关，可以使用该对象建立该掩码并且其指示了该对象期望的特定类型的行为。如果允许对象在远程计算机2上运行，则即使初始签名搜索22指示对象是安全的，那么可以在掩码的参数内监控该对象的操作。掩码可以例如指示期望的对象行为；该对象合理地必须进行的、或调用呼叫远程计算机2进行的因特网连接或任何外部请求，包括可能请求开放以允许此类通信的任何端口或接口的细节；可以期望由该对象查询的任何数据库，不论是本地数据库还是局域网、广域网或因特网上的数据库；等等。因此掩码可以给出该对象的期望的“正常”行为的整体描述。

实际上，因此，在一个实施例中，在远程计算机2处持续监控对象的行为，并且将涉及该对象的信息持续发送到群体数据库7并且从群体数据库7发送以确定对象是否运行在其期望的掩码中。标识超出掩码的任何行为并且可以将超出掩码的任何行为用于持续评估对象是否继续是安全的。因此，如果例如对象在规则的基础上(假设每月或每年)开放新端口以更新自己或获取规则数据，那么标记此信息。如果发现对象已经在其他远程计算机上完成了此行为并且没有恶意的影响，或者其他对象已知此行为并且已知此行为是安全的，那么可能认为此行为是安全行为然后修改掩码以允许此行为。如果先前已经发现此新行为事实上引起了不安全或恶意结果，那么可以将该对象标记为不安全的，即使先前认为它是安全的。类似地，如果对象尝试连接到已知不安全的站点、数据库或者采取通常已知仅由不安全程序采取的行动的行动，那么可以再次认为该对象是不安全的。

这在图3中示意性示出。图3还示出了可以由例如受信任的伙伴，(诸如主要的软件公司、验证机构、政府部门等)对任何对象预授权的概念。预授权使之前没有发布的新对象的供应商能够得到该对象的预授权，并且预授权可选地包括由供应商供应详述该对象期望的和可允许的行为的掩码。

参考图3，例如，当进程运行时，如之前那样在步骤31搜索本地和/或群体数据库。如果进程不是一个预授权的进程，那么可以采用图2的步骤并且可以允许或不允许进程在步骤32运行。如果进程是预授权的，如步骤33确定的，那么立刻允许在步骤34运行。这可以终止方法的操作。然而，在优选的变形中，在进程运行的同时对该进程进行监控，并且在监控状态步骤35中，监控其在未来的每一次运行以确定其行为是否落入其预授权的掩码36内。如果行为落入预授权的行为内，那么允许进程继续运行。如果行为超出了允许的掩码，诸如通过试图发起未被授权的其他进程或连接，那么在警告步骤37标记此行为。在此阶段可以采取各种动作。可以简单地不允许进程运行。可替换地，可以联系起初支持预授权的受信任机构，其可以确认此行为是可接受的还是不可接受的。如果是可接受的，则可以相应地修改掩码。如果不可接受，则可能将进程标记为不安全。当通知此类警告状态时可以采取多种其他动作。

如果在步骤33发现进程没有预授权而仍然允许进程运行，那么在步骤38监控进程从而生成代表该进程的正常行为的掩码39。当其他计算机运行该进程时，代表此掩码的数据可能发送到群体数据库7用于扫描。通过当进程每次运行时或者在进程运行期间对该进程进行监控，可以注意到不同于进程的先前行为的任何行为，并且可以修改掩码，或者此行为可以用于确定曾经被认为是安全的进程现在应该被认为是不安全的。

在另一个实施例中，计算机2可以使周期性或按需安装的代理软件向群体数据库7提供信息，该信息代表装载在计算机2上或计算机2可用的软件产品中的所有或选择的一个软件产品。特别地，这可以是关于以下一个或多个的信息：所有本地装载的安全产品(诸如反恶意软件系统，包括反病毒软件、反间谍软件、反广告软件等)、防火墙产品、特定设置以及当前装载的签名文件的细节、操作系统的版本细节和其他软件，并且这还可以是诸如以下的信息：正在操作的文件、特定版本和任何时间的软件设置。(应该理解以下内容：对更多这些准则的匹配的审核和测试提高了计算机被非常类似地设置的可能性，并且因此在匹配搜索期间降低了主动/被动错误率)。

关于这些软件产品等的信息可以单独地提供给群体数据库。然而优选地，再次出于存储和传输数据量的原因，将信息提供为代表信息的签名或关键字(例如，通过在计算机2处的压缩函数或哈希)。图4示意性地示出了如何将所有本地安全产品、版本、签名文件、防火墙设置等40用于创建关键字41的细节。关键字被传输到群体数据库7。由于从可能达数百万的很多用户计算机2向群体数据库7提供了此类数据，很可能为具有相同或类似安全产品配置等的其他计算机2保留了相应信息。因此，在步骤42，可以针对具有包括相同设置、装载的签名文件等的相同或类似安全产品组合的其他计算机2搜索群体数据库7。

代理软件也向此实施例中的群体数据库7提供由每个计算机2运行的进程的细节，并且因此知道每个计算机2是否已经检测到了进程。

以此方式，群体数据库7可以用于获取关于例如操作系统和各种安全产品的特定、指定组合的信息，包括一个时间点上存在的设置和签名文件，使具有那些产品和设置的特定计算机2易于或容易受到任何特定恶意软件对象的攻击。

在简单示例中，如果例如数据库知道计算机过去具有带有下载的签名更新C的反病毒产品B的版本A，并且还具有带有特定设置E的防火墙D，并且可能有具有带有签名更新G的反间谍软件F，但是在那个时间点该程序组合没有检测到特定恶意软件进程P，那么可以向已知具有该安全程序/设置组合的计算机2提供此信息，并且此信息可以用于指示计算机2在短期内易受该特定软件进程的攻击。可以通过在计算机2的屏幕显示器上显示窗口43或通过将用户引导到更详细地解释位置的特定网站，来向用户呈现此信息。例如，可以向用户通知他们的特定安全产品等的组合使他们的计算机暴露在受Sobig病毒感染的危险中，因为他们的计算机不能检测到该病毒。可以向用户提供特定建议(例如，更新具有特定签名文件的特定反病毒程序)或软件进行下载和安装以消除该危险。

因此，当向群体数据库7提供涉及特定时间特定计算机上的所有安全产品等的信息时，针对出现在具有安全产品的该特定组合的计算机上并且没有在本地检测到的标记为“不良”的进程的事件搜索群体数据库7。然后，可以将此信息反馈给特定计算机的用户，例如直接地反馈或通过将用户引导到网站而反馈。可以基本上实时地提供此信息，允许新用户或新计算机的用户能够非常快速地提高计算机的有效安全性。

优选的方法还跟踪涉哪些对象彼此相关并且使用祖先的概念使对象能够被标记为恶意软件。例如，任何特定进程可以繁殖子进程，该子进程因此是相关的。可以查看关于第一对象的关键字以识别一个部分，该部分唯一地标识第一对象并且在第一对象的其他相关对象或后代的关键字中存在或被继承。此部分在这里称作“基因”。可以以多种方式使用此通常的技术：

a)向已知的和受信任的父进程赋予创建子进程的能力，该子进程可以自动被标记为安全以在本地计算机上运行。此“继承的”性质还可能向下传递到孙子(grand children)进程等。此安全状态传递到父母的子进程，并且可能通过他们，其他子进程(这里称作“后代”)、后代的此类签名都可以在本地数据库中自动地记录为良好。这允许后代进程被快速标记为良好，即使到群体数据库7的连接不可用。

b)通过监控父进程的活动，如果稍后发现父进程是恶意软件，那么可以将所有后代进程在本地数据库中全部自动记录为不良。

c)类似地，通过监控后代进程的活动，如果稍后发现后代进程中的一个是恶意软件，那么可以在本地数据库中将一个或多个父进程以及所有其他后代进程(即此上下文中的所有相关进程)自动记录为不良。

d)针对一个或多个孩子的签名的父母创建包括根据父母的行为和确定自动将这些孩子标记为良好或是不良的能力。注意，在某些实施例中，产品可以“观察”或监控子进程的产生并且在到达时自动创建签名。这提供了监控另一个不良程序创建不良程序的能力。因此，可能监控程序的祖先，从而如果例如祖父创建了程序(父亲)并且其接着创建了不良程序(儿子)，则可能自动将父亲确定为不良程序。

e)可以包括一种特征，该特征允许自动没收孩子的继承能力以当任何进一步的出生时触发签名的自动创建，因为象父母一样，孩子已经制造了不良后代。优选地，规则是如果文件具有一个不良后代，那么可以自动移除遗传的能力。

f)一种能力，即，观察对象的克隆或同样的孪生(例如运行在群体中的其他系统上的相同进程)来比较他们后代的模式并且做出关于是否将任何特定进程作为恶意软件对待的决定。

这些特征a)到f)的一个或多个可以用于提供制造安全产品问题的解决方案，该安全产品在不能100％可靠地永久连接到因特网的情况下可以有效地使用，100％的连接经常是不切实际的。这样的示例是Windows更新以及销售商越来越多地使用其他进程，销售商希望能够跨越万维网自动进行产品更新。

传统软件的上述这些类型的特征的可能益处如下。反病毒软件倾向于具有已知不良签名的高速缓存。问题一直持续到现在。考虑某人购买新计算机的简单示例。计算机提供预装载在签名高速缓存中反病毒产品。制造PC、将其运到商店和用户购买的时间之间将过去数天或数周。用户启动PC，并且PC暴露在PC被建立之后创建的任何新的病毒或恶意软件下。全面保护要求用户连接到因特网并且下载更新。不能保证这在因特网上发生在用户进行其他活动之前(几乎实际不可能保证)。由于在本发明的实施例中，随着已知良好进程的本地高速缓存，可能运输预装有签名的预生成高速缓存的计算机/终端，其中该签名针对计算机制造商预装的所有良好(干净)软件。在此情况中，用户可以连接到智能因特网，任何新的或更新的程序将被立刻检测并验证。而且，任何自动更新软件可以强迫针对其孩子以及更远后代(即，孙子、重孙子等)自动建立签名。

现在参考微软公司的Adrian Stepan在“Virtus Bulletin ConferenceOctober 2005”上发表的“Defeating Polymorphism：Beyond Emulation”以及2006年4月5日提交的US 60/789156，其全部内容在此通过参考并入。在该论文以及专利申请中，公开了解密文件的方法，以允许对文件进行分析从而确定文件实际上是否是恶意软件。尤其是在US 60/789156中，公开了使用主计算机对可执行计算机文件进行解包/解密的方法，该方法包括：将可执行计算机文件分割为多个基本代码块；将至少某些基本代码块翻译为可以由主计算机执行的已翻译的代码基本块；链接主计算机的存储器中的至少某些已翻译的代码基本块；并且，在主计算机上执行至少某些已翻译的代码基本块，从而使得可执行计算机文件能够被解包或解密，其中可以分析已解包或解密的可执行计算机文件以确定可执行计算机文件是否是恶意软件或是否应该被分类为恶意软件。在US 60/789156中还公开了一种对可执行计算机文件进行解包/解密的方法，该方法包括：将可执行计算机文件分割为多个代码基本块；为至少某些基本块创建至少一个高速缓存器读取页面，该高速缓存器读取页面存储与各个基本块的高速缓存读取虚拟存储器地址相对应的高速缓存读取物理地址，并且针对至少某些基本块创建至少一个高速缓存器写页面，该高速缓存器写页面存储与各个基本块的高速缓存写虚拟存储器地址相对应的高速缓存写物理地址；并且，通过执行至少某些代码基本块来模拟可执行文件，从而使得能够对可执行计算机文件进行解包或解密，其中可以分析已解包或解密的可执行计算机文件，以确定可执行计算机文件是否是恶意软件或是否应该被分类为恶意软件；其中在基本块执行期间，针对与所述基本块访问的虚拟地址相对应的缓存的物理地址检查高速缓存器的读取页面和写页面中的至少一个。

这些文档中公开的技术可以在希望详细分析文件时，用在这里的上下文中。然而，更一般地，这些文章中公开的技术并且尤其是US60/789156中公开的增强技术可以用于当运行在计算机上时提供关于文件活动的信息，因为这些文章中公开的技术模拟了文件的运行并且因此允许对文件的活动进行解释。

当用户希望在离线时安装软件时，出现其他情况。在优选的实施例中，当用户尝试在离线时安装新软件时，运行在用户计算机2上的代理软件提示用户授权以允许进行安装进程，从而安装的执行自身可以是由用户“授权的”。将此用户的授权看作“创始(Genesis)”事件并且之后将如此使用该术语。然而，在软件安装中存在通常使用的某些进程，这些进程与安装机器上的其他已有程序(例如微软的MSIEXEC)进行通信，。

创始方法包括生成签名的进程，该签名作为用户计算机2上的用户授权的结果。将那些签名存储在用户计算机2上的本地数据库中。在一个实施例中，根据代理软件在安装进程期间的需要涉及那些本地存储的签名，以便可以进行安装。可替换地，代理软件进行的安全检查可以在安装进程期间关闭。关闭仅持续有限的时间，诸如应该足够允许安装大多数软件的若干分钟，关闭时间可选地是用户可配置的。

在任何事件中，一旦完成了安装并且用户计算机2连接到群体数据库7，则用户计算机2上的代理软件可以从用户本地数据库向群体数据库7上传关于安装的签名。利用来自其他用户计算机2的相应数据，群体数据库7可以用于快速确定此特定软件的安装开始是良性的。

作为该实施例的变形，当用户计算机2在某些时间点上在线时，用户计算机2上的代理软件可以下载所谓的“受信任安装者”或“许可的安装者”的签名。这允许了方法的操作，以便当创始事件是“当前的”时，例如在用户授权之后的几分钟时间段内，允许执行“许可的安装者”以及许可的安装者的任何子进程。优选地，当向群体数据库7添加时，总是当在线期间将许可的安装者的签名下载到远程计算机2上。

对此方法存在进一步的细化，诸如如果在创始事件流传期间出现介质的改变，则防止许可的安装者执行。然而，仍旧可以检测并且阻止可能是恶意软件的任何未知进程。少量许可的安装者有助于下载所要求的最少数据，特别是与下载病毒签名文件相比。如另一个示例，可以使用超级受信任安装者，诸如例如“Windows更新”，从而由超级受信任安装者创建的所有新进程立刻被标记为是安全的。

在当远程计算机2连接到群体数据库7时出现安装的情况中，另一个选项是如果将要安装的软件对于群体数据库7是未知的，那么系统将阻止该安装或警告用户。例如，可以在用户计算机2上显示消息，以产生“将要安装某些软件。此软件对于[群体]未知。确定希望继续？”这样的结果。

已经具体参考示出的示例描述了本发明的实施例。然而，应该理解在本发明的范围内可以对描述的示例进行变形和修改。

Claims

1.一种将计算机对象分类为恶意软件的方法，所述方法包括：

在基计算机处，从多个远程计算机中的每一个接收关于计算机对象的数据，所述对象或类似对象存储在远程计算机上，其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件的信息，所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份；

在所述基计算机处存储从多个远程计算机接收的所述数据；

在所述基计算机中，比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系；以及

根据所述比较，将所述计算机对象分类为恶意软件。

2.根据权利要求1所述的方法，其中所述关系是直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。

3.根据权利要求1或2所述的方法，其中当发现对象和其他对象具有关系时，监控作为同类实体的那些相关的对象。

4.根据权利要求1或2所述的方法，包括基于相关的对象的行为将对象推导为恶意软件。

5.根据权利要求1或2所述的方法，其中如果所述对象相关的至少一个其他对象被分类为恶意软件，则将所述对象分类为恶意软件。

6.根据权利要求1或2所述的方法，其中所述其他对象包括存储在至少一些远程计算机上的对象或类似对象。

7.根据权利要求1到6的任意一项所述的方法，其中所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。

8.根据权利要求1到7的任意一项所述的方法，其中关于从所述多个远程计算机发送到所述基计算机并且在比较中使用的所述计算机对象的所述数据包括以下中的一个或多个：

包含在所述对象内或者由所述对象组成的可执行指令；所述对象的大小；所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；以及对象头部或由所述远程计算机保持的头部。

9.根据权利要求1到8的任意一项所述的方法，其中以关键字的形式发送所述数据，所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。

10.根据权利要求9所述的方法，其中所述关键字具有至少一个部分，所述部分表示包含在所述对象内或由所述对象组成的可执行指令。

11.根据权利要求9或10所述的方法，其中所述关键字具有至少一个部分，所述部分表示关于所述对象的数据。

12.根据权利要求11所述的方法，其中关于所述对象的所述数据包括以下中的至少一个：所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；对象头部或由所述远程计算机保持的头部；以及当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件。

13.根据权利要求9到12的任意一项所述的方法，其中所述关键字具有至少一个部分，所述部分表示所述对象的物理大小。

14.根据权利要求1到13的任意一项所述的方法，包括初始将对象分类为非恶意软件，生成所述对象的掩码，所述掩码定义所述对象的可接受行为，并且包括监控至少一个所述远程计算机上的对象的操作，以及如果所述实际监控的行为超出了所述掩码允许的行为，则将所述对象重新分类为恶意软件。

15.一种将计算机对象分类为恶意软件的装置，所述装置包括：

基计算机，被构建和安排为从多个远程计算机中的每一个接收关于计算机对象的数据，所述对象或类似对象存储在远程计算机上，其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件的信息，所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份；

所述基计算机被构建和安排为比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系；以及

所述基计算机被构建和安排为根据所述比较，将所述计算机对象分类为恶意软件。

16.根据权利要求15所述的设备，其中所述基计算机被构建和安排为以便识别直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。

17.根据权利要求15或16所述的设备，其中所述基计算机被构建和安排为当发现对象和其他对象具有关系时，监控作为同类实体的那些相关的对象。

18.根据权利要求15或16所述的设备，其中所述基计算机被构建和安排为以便基于相关的对象的行为将对象推导为恶意软件。

19.根据权利要求15或16所述的设备，其中所述基计算机被构建和安排为以便如果所述对象相关的至少一个其他对象被分类为恶意软件，则将所述对象分类为恶意软件。

20.根据权利要求15或16所述的设备，其中所述基计算机被构建和安排为以便所述其他对象包括存储在至少一些所述远程计算机上的对象或类似对象。

21.根据权利要求15到20的任意一项所述的设备，其中所述基计算机被构建和安排为以便所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。

22.根据权利要求15到21的任意一项所述的设备，其中所述基计算机被构建和安排为以便比较所述数据，其中所述数据包括以下中的一个或多个：

23.根据权利要求15到22的任意一项所述的设备，其中所述基计算机被构建和安排为以便能够处理以关键字的形式发送的所述数据，所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。

24.根据权利要求23所述的设备，其中所述关键字具有至少一个部分，所述部分表示包含在所述对象内或由所述对象组成的可执行指令。

25.根据权利要求23或24所述的设备，其中所述关键字具有至少一个部分，所述部分表示关于所述对象的数据。

26.根据权利要求25所述的设备，其中关于所述对象的所述数据包括以下中的至少一个：所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；对象头部或由所述远程计算机保持的头部；以及当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件。

27.根据权利要求23到26的任意一项所述的设备，其中所述关键字具有至少一个部分，所述部分表示所述对象的物理大小。

28.根据权利要求15到27的任意一项所述的设备，其中所述基计算机被构建和安排为包括生成初始被分类为非恶意软件的对象的掩码，所述掩码定义所述对象的可接受行为，并且所述基计算机被构建和安排为监控至少一个所述远程计算机上的对象的操作，以及如果所述实际监控的行为超出了所述掩码允许的行为，则将所述对象重新分类为恶意软件。

29.一种将计算机对象分类为恶意软件的设备，所述设备包括：

用于在基计算机处，从多个远程计算机中的每一个接收关于计算机对象的数据的装置，所述对象或类似对象存储在远程计算机上，其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件的信息，所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份；

用于在所述基计算机处存储从多个远程计算机接收的所述数据的装置；

用于在所述基计算机中，比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系的装置；以及

用于根据所述比较，将所述计算机对象分类为恶意软件的装置。

30.根据权利要求29所述的设备，其中所述关系是直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。

31.根据权利要求29或30所述的设备，其中当发现对象和其他对象具有关系时，监控作为同类实体的那些相关的对象。

32.根据权利要求29或30所述的设备，包括用于基于相关的对象的行为将对象推导为恶意软件的装置。

33.根据权利要求29或30所述的设备，其中包括用于如果所述对象相关的至少一个其他对象被分类为恶意软件，则将所述对象分类为恶意软件的装置。

34.根据权利要求29或30所述的设备，其中所述其他对象包括存储在至少一些远程计算机上的对象或类似对象。

35.根据权利要求29到34的任意一项所述的设备，其中所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。

36.根据权利要求29到35的任意一项所述的设备，其中关于从所述多个远程计算机发送到所述基计算机并且在比较中使用的所述计算机对象的所述数据包括以下中的一个或多个：

37.根据权利要求29到36的任意一项所述的设备，其中包括用于以关键字的形式发送所述数据的装置，所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。

38.根据权利要求37所述的设备，其中所述关键字具有至少一个部分，所述部分表示包含在所述对象内或由所述对象组成的可执行指令。

39.根据权利要求37或38所述的设备，其中所述关键字具有至少一个部分，所述部分表示关于所述对象的数据。

40.根据权利要求39所述的设备，其中关于所述对象的所述数据包括以下中的至少一个：所述对象的当前名称；所述对象在盘上的物理和文件夹位置；所述对象的原始名称；所述对象的创建和修改日期；销售商、产品、版本以及存储在所述对象内的任何其他信息；对象头部或由所述远程计算机保持的头部；以及当创建、配置所述对象或所述对象在各个远程计算机上运行时，由所述对象发起的事件或涉及所述对象的事件。

41.根据权利要求37到40的任意一项所述的设备，其中所述关键字具有至少一个部分，所述部分表示所述对象的物理大小。

42.根据权利要求29到41的任意一项所述的设备，包括用于初始将对象分类为非恶意软件和生成所述对象的掩码的装置，所述掩码定义所述对象的可接受行为，并且包括用于监控至少一个所述远程计算机上的对象的操作，以及如果所述实际监控的行为超出了所述掩码允许的行为，则将所述对象重新分类为恶意软件的装置。