CN102893289B

CN102893289B - 恶意软件保护

Info

Publication number: CN102893289B
Application number: CN201180023604.2A
Authority: CN
Inventors: 杨诺·尼美拉; 米科·海彭恩; 圣特里·康加斯
Original assignee: F Secure Oyj
Current assignee: Weiss Security
Priority date: 2010-03-15
Filing date: 2011-03-15
Publication date: 2015-09-23
Anticipated expiration: 2031-03-15
Also published as: US9858416B2; RU2015136264A; WO2011113807A1; US20160378985A1; RU2015136264A3; EP2548150B1; EP2548150A1; US20110225655A1; RU2698776C2; US9501644B2; CN102893289A; RU2012142156A; RU2566329C2

Abstract

根据本发明的第一方面，提供了一种保护计算机系统免于遭受恶意软件的方法，当在仿真计算机系统中执行所述恶意软件时，所述恶意软件试图阻止检测或分析。所述方法包括：确定可执行文件是否应该被识别为合法的，如果不是，则执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。

Description

恶意软件保护

技术领域

本发明涉及一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。

背景技术

Malware是malicous software(恶意软件)的缩写，其用作一种术语，指示被设计为在未经所有者同意的情况下潜入计算机系统或破坏计算机系统的任何软件。恶意软件可以包括计算机病毒、蠕虫、特洛伊木马、后门、广告软件、间谍软件和任何其它恶意且讨厌的软件。

当设备被恶意软件程序感染时，因为感染可能创建讨厌的处理器活动、存储器使用和网络业务，所以用户经常会注意到讨厌行为和系统性能劣化。感染还可能会造成稳定性问题，从而导致应用程序或系统范围上的崩溃。受感染设备的用户可能错误地认为低性能是由软件缺陷或硬件问题导致的，从而采取不适当的补救措施，但实际原因却是用户没有意识到的恶意软件感染。此外，即使恶意软件感染不会在设备性能上造成可察觉的变化，其也可能会执行其它恶意功能，比如潜在地监视和窃取有价值的商业、个人和/或金融信息，或者劫持设备使得其用于一些非法目的。

许多终端用户使用防病毒软件来检测恶意软件，可能地，去除恶意软件。为了检测恶意软件文件，防病毒软件必须具有从设备上存在的所有其它文件中识别出恶意软件文件的方法。典型地，这需要防病毒软件具有包括“签名”或“指纹”的数据库，这些“签名”或“指纹”是各个恶意软件程序文件的特性。当防病毒软件的供应商识别到新的恶意软件威胁时，对威胁进行分析且产生这种威胁的签名。于是，恶意软件“已知”，并且其签名可以分发给终端用户以更新其本地防病毒软件数据库。

使用依靠签名扫描来检测恶意软件的方法仍然使计算机易受到签名还未被分析的“未知”恶意软件程序的攻击。为了解决这个问题，除了扫描恶意软件签名之外，大多数防病毒应用程序附加地采用启发式分析。这种方法包括一般规则的应用，旨在将任意恶意软件的行为与干净/合法程序区分开来。例如，监视PC上所有程序的行为，如果某程序试图将数据写入可执行程序，则防病毒软件可以将此行为标记为可疑行为。启发法可以基于诸如API调用、经由互联网发送数据的尝试等行为。

为了检测和/或分析恶意软件程序，通常有用的是在隔离的环境或测试系统(此外称为虚拟机或仿真器)中运行程序。虚拟机或仿真器包括模仿真实计算机系统的多种部件的功能的程序。例如，使用操作系统的计算机可以运行模仿操作系统提供的环境的虚拟机。这可以包括CPU、存储器、通信接口和任何关联硬件的仿真。通过在仿真环境中运行程序，任何恶意活动都可以被限制在虚拟环境中，而不会使底层计算机系统有风险。于是，可以观察仿真环境内的程序的行为，和用于将程序识别为恶意软件的任何恶意软件签名或恶意行为。此外，对于已经是恶意软件的程序或者怀疑是恶意软件的程序，防病毒工程师通常在仿真环境中运行该程序，以分析或“调试”其行为。这允许防病毒工程师对恶意软件程序进行反向工程，从而确定检测方法并为受程序感染的计算机杀毒。

因此，恶意软件创建者试图避免使用了仿真和/或调试技术的恶意软件检测和分析工具。为此，恶意软件创建者设计了对何时在仿真环境中执行和/或区域何时被调试进行检测的恶意软件。如果这种恶意软件程序确定其正在仿真环境中执行和/或正被调试，就会尽快终止或者改变行为以不执行任何恶意活动或可疑行为。

发明内容

本发明的目的在于，提供一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。

根据本发明的第一方面，提供了一种保护计算机系统免于遭受恶意软件的方法，当在仿真计算机系统中执行所述恶意软件时，所述恶意软件试图阻止检测或分析。所述方法包括：确定可执行文件是否应该被识别为合法的，如果不是，则执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。优选地，在非仿真计算机系统中执行该文件。

可以在计算机系统中执行所述确定可执行文件是否应该被识别为合法的步骤。备选地，计算机系统向服务器发送可执行文件或可执行文件的标识符，并从服务器接收对文件是否应该被识别为合法的加以指示的响应。

所述确定可执行文件是否应该被识别为合法的步骤可以包括以下任一项：

确定标识了合法可执行文件的数据库中是否包括所述可执行文件的标识符，如果是，则将所述可执行文件识别为合法的；

确定标识了违禁可执行文件的数据库中是否包括所述可执行文件的标识符，如果否，则将所述可执行文件识别为合法的；以及

确定关于可执行文件的、包括对每个可执行文件的合法性加以表示的值的数据库中是否包括所述可执行文件的标识符，如果是，确定与所述可执行文件相关联的值是否超过可执行文件被认为是合法时的阈值。

所述向可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括：在所述可执行文件的执行期间，拦截所述可执行文件与计算机系统之间的指定通信；以及利用对在仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。所述指定通信可以包括函数调用、消息和事件中的任一项。

根据本发明的第二方面，提供了一种包括计算机程序代码装置的计算机程序，在所述程序在计算机上运行时，所述计算机程序代码装置适于执行第一方面的所有步骤。

根据本发明的第三方面，提供了一种在计算机可读介质上实现的根据第二方面的计算机程序。

根据本发明的第四方面，提供了一种计算机系统。所述计算机系统包括：

存储器，存储器存储可执行文件；以及

处理器，用于确定所述可执行文件是否应该被识别为合法的；以及如果不是，则在计算机系统中执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。

处理器还可以被配置为产生包括所述可执行文件或所述可执行文件的标识符的消息以发送至服务器，并处理从服务器接收的响应以确定所述响应是否指示文件应该被识别为合法的。计算机系统还可以包括用于向服务器发送消息的发送机和用于从服务器接收响应的接收机。

存储器还可以被配置为对标识了合法可执行文件的数据库进行存储，以及处理器还可以被配置为确定所述标识了合法可执行文件的数据库中是否包括可执行文件的标识符。备选地，存储器还可以被配置为对标识了违禁可执行文件的数据库进行存储，以及处理器还可以被配置为确定所述标识了违禁可执行文件的数据库中是否包括可执行文件的标识符。作为另一备选，存储器还可以被配置为存储关于可执行文件的信息的数据库，所述数据库包括对每个可执行文件的合法性加以表示的值，以及处理器还可以被配置为确定可执行文件的数据库中是否包括可执行文件的标识符。优选地，处理器还可以被配置为，如果数据库中包括可执行文件的标识符，则确定与可执行文件相关联的值是否超过了可执行文件被认为是合法时的阈值。

处理器还可以被配置为在可执行文件的执行期间，拦截可执行文件与计算机系统之间的指定通信，并且利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。

根据本发明的第五方面，提供了一种检测潜在恶意软件的方法。所述方法包括：执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示，监视所述可执行文件的行为，以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。

所述执行可执行文件同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括：在非仿真计算机环境中执行所述可执行文件，在所述可执行文件的执行期间，拦截所述可执行文件与计算机系统之间的指定通信，以及利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。备选地，所述执行可执行文件同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括：在仿真计算机系统中执行所述可执行文件。

仿真计算机系统中执行的恶意软件的预期行为可以包括以下任一项：

试图阻止执行而不提供通知；

试图收集关于仿真计算机系统的信息；以及

与非仿真计算机系统中可执行文件的行为显著不同。

根据本发明的第六方面，提供了一种包括计算机程序代码装置的计算机程序，在所述程序在计算机上运行时，所述计算机程序代码装置适于执行第五方面的所有步骤。

根据本发明的第七方面，提供了一种在计算机可读介质上实现的根据第六方面的计算机程序。

根据本发明的第八方面，提供了一种计算机系统。所述计算机系统包括：

存储器，存储器存储可执行文件；以及

处理器，用于执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示，监视所述可执行文件的行为，以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。

处理器还可以被配置为：在非仿真计算机环境中执行所述可执行文件，在所述可执行文件的执行期间，拦截所述可执行文件与计算机系统之间的指定通信，以及利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。备选地，处理器还可以被配置为：在仿真计算机系统中执行所述可执行文件。

处理器还可以被配置为确定可执行文件的行为是否包括以下任一项：

试图阻止执行而不提供通知；

试图收集关于仿真计算机系统的信息；以及

与非仿真计算机系统中可执行文件的行为显著不同。

根据本发明的第九方面，提供了一种维护关于可执行文件的信息的数据库的方法，所述数据库包括对每个可执行文件的合法性加以表示的值，以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的。所述方法包括，在基于网络的服务侧，从所述多个计算机设备中执行了可执行文件的计算机设备接收关于可执行文件的数据，使用所述数据确定对可执行文件的合法性加以表示的值，以及向所述多个计算机设备中的任一个提供所述值。

所述关于可执行文件的数据可以包括以下任一项：

执行了可执行文件的计算机系统的标识符；

与执行了可执行文件的计算机系统观察到的可执行文件的任何可疑行为相关的信息；以及

对执行了可执行文件的计算机系统所确定的可执行文件的合法性加以表示的值。

所述使用数据确定对每个可执行文件的合法性加以表示的值可以包括以下任一项：

确定执行了可执行文件的每个计算机系统是否是可信的，并且基于执行了可执行文件的可信计算机系统的数目或比例来确定所述值；

分析与执行了可执行文件的每个计算机系统观察到的可执行文件的任何可疑行为相关的信息，并且基于所述可疑行为的数量、类型和程度来确定所述值；以及

核对由执行了可执行文件的每个计算机系统确定的值。

根据本发明的第十方面，提供了一种包括计算机程序代码装置的计算机程序，在所述程序在计算机上运行时，所述计算机程序代码装置适于执行第九方面的所有步骤。

根据本发明的第十一方面，提供了一种在计算机可读介质上实现的根据第十方面的计算机系统。

根据本发明的第十二方面，提供了一种服务器，用于维护关于可执行文件的信息的数据库，所述数据库包括对每个可执行文件的合法性加以表示的值，以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的。所述服务器包括：接收机，从所述多个计算机设备中执行了可执行文件的一个或多个计算机设备接收关于可执行文件的数据；处理器，使用信息确定对可执行文件的合法性加以表示的值；以及发送机，向所述多个计算机设备中的一个或多个计算机设备提供所述值。

附图说明

图1示意性示出了根据本发明实施例的恶意软件保护系统；

图2是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图；

图3是示出了根据本发明实施例的一种执行信誉检查的过程的流程图；

图4是示出了根据本发明实施例的一种执行信誉检查的过程的流程图；

图5是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图；

图6是示出了根据本发明实施例的一种检测潜在恶意软件的过程的流程图。

具体实施方式

已认识到，可以通过使得看起来计算机上的所有程序在虚拟环境中运行而不是在实际计算机系统上运行，来提高计算机系统的安全性。这样做的话，计算机系统上被设计为避免虚拟环境中的检测的任何恶意软件很可能不执行会暴露其存在或允许其被分析的任何恶意活动。恶意软件程序会被有效地失效。这可以通过“伪造”对程序正在虚拟环境中执行加以指示的那些特性来完成。然而，作为一种版权保护方法，许多合法/可信任的程序也被设计为阻止自己在虚拟环境中执行，以防止用户使用仿真来绕开试用期结束或逃避支付软件许可费。因此，不希望伪造针对计算机系统上运行的所有程序的仿真，因为这对于运行这些合法程序的计算机系统能力而言是有害的。

为了至少部分地克服上述问题，本文提出了检查可执行文件的信誉(reputation)，如果确定文件可能是或者很可能是恶意软件(例如，如果不知道其是良性的/合法的)，则执行可执行文件且将仿真模仿应用于该可执行文件。然而，如果确定可执行文件是合法的或低风险的，则在计算机系统中执行可执行文件，而不将任何仿真模仿应用于此可执行文件。这样做的话，本发明使得使用合法目的的仿真检测的合法程序的执行将不受影响，同时也使得具备仿真检测的任何恶意软件可执行文件由于相信其需要逃避检测、杀毒或分析而不大可能执行它们恶意代码。

图1示意性地示出了根据本发明实施例的恶意软件保护系统。恶意软件保护系统包括经由诸如互联网或LAN等网络3与中央防病毒服务器2相连的至少一个计算机系统1。计算机系统1可以实现为计算机硬件和软件的组合。计算机系统1包括存储器4、处理器5和收发机6。存储器4存储处理器5实施的多种程序/可执行文件。存储器4还提供存储单元7，用于任何需要数据，比如可执行文件信誉数据、恶意软件定义数据、启发式分析规则、白名单、黑名单等等。存储器4中存储的由处理器5实施的程序/可执行文件包括信誉确定单元8、仿真模仿单元9，并可选地包括仿真器10，所有这些都可以是防病毒单元11的子单元。收发机6用于经由网络3与中央防病毒服务器2进行通信。

典型地，由计算机1上运行的防病毒单元11的供应商来操作中央防病毒服务器2。备选地，中央防病毒服务器2可以由网络管理员或监控员的服务器，计算机1是监控员负责的网络的一部分。中央防病毒服务器2可以实现为计算机硬件和软件的组合。中央防病毒服务器2包括存储器11、处理器12、收发机13和数据库14。存储器11存储由处理器12实施的多种程序/可执行文件。存储器11中存储的由处理器12实施的程序/可执行文件包括信誉确定单元15、仿真模仿单元16，以及可选地，包括仿真器17，所有这些可以是防病毒单元18的子单元。这些程序/单元可以与计算机系统1中实现的那些程序相同，或者可以是可与计算机系统1中实现的程序进行接口相连和合作的不同程序。收发机13用于经由网络3与计算机系统1进行通信。数据库14存储最近的可执行文件信誉数据，恶意软件定义数据、启发式分析规则、白名单、黑名单等。

图2是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图。执行步骤如下：

A1.计算机系统1发起可执行文件的检查。例如，可以由于可执行文件的接收、可执行文件的即将运行/执行而发起检查，或者可以作为对计算机系统1上可执行文件的要求扫描或计划扫描的一部分来发起检查。

A2.计算机系统1的信誉确定单元8检查可执行文件的信誉。

A3.如果信誉确定单元8确定文件可能是或很可能是恶意软件，则计算机系统1执行可执行文件，同时仿真模仿单元9向可执行文件提供所述可执行文件正在仿真环境中运行的指示。

A4.如果信誉确定单元8确定文件是或很可能是合法的/可信任的，则在计算机系统中执行可执行文件，而不将任何仿真模仿应用于此可执行文件。

在本发明的一个可能实施例中，可以通过将文件的标识符(即，文件名、文件自身或系统中的文件位置/路径的散列)与被认为是合法的可执行文件的标识符的列表(或称为许可名单或白名单)相比较来检查可执行文件的信誉。如果文件被识别为在白名单上，则可以配置或命令计算机系统1允许文件在真实(即，与虚拟相反的)环境中执行，而无任何有效的仿真指示符。如果文件被识别为不在白名单上，则可以配置或命令计算机系统1执行文件且使任何仿真指示符有效，作为针对潜在恶意行为的预防措施。当然，程序/可执行文件包括任何类型的可执行文件，比如二进制文件、脚本文件、应用文件、动态链接库、宏、XML等。

备选地，或者除了比照文件白名单来检查文件之外，还可以比照不认为是合法的或者认为是高风险的可执行文件的标识符列表(也称为阻止名单或黑名单)来比较文件标识符。对于被识别为处于黑名单上的这些文件，可以配置或命令计算机系统1在真实计算机系统环境中执行文件且使任何仿真指示符有效，作为针对潜在恶意行为的预防措施。换句话说，禁止文件在不受保护的系统中执行。如果文件被识别为不在黑名单上，则可以配置或命令计算机系统1执行文件，而无任何有效的仿真指示符。备选地，如果文件被识别为既不在白名单上也不在黑名单上，则可以配置或命令计算机系统1提示用户选择是否应该执行文件，或者提示用户选择是应该在具有有效仿真指示符的情况下还是在没有有效仿真指示符的情况下执行文件。

备选地，或者除了比照文件白名单来检查文件之外，还可以比照不认为是合法的或者认为是高风险的可执行文件的标识符列表(也称为阻止名单或黑名单)来比较文件标识符。对于被识别为处于黑名单上的这些文件，可以配置或命令计算机系统1在真实计算机系统环境中执行文件且使任何仿真指示符有效，作为针对潜在恶意行为的预防措施。换句话说，禁止文件在不受保护的系统中执行。如果文件被识别为不在黑名单上，则可以配置或命令计算机系统1执行文件，而无任何有效的仿真指示符。备选地，如果文件被识别为既不在白名单上也不在黑名单上，则可以配置或命令计算机系统1提示用户选择是否应该执行文件，或者提示用户选择是应该在具有有效仿真指示符的情况下还是在没有有效仿真指示符的情况下执行文件。可以根据需要的安全级别来配置系统对待未知文件的方法。

例如，图3是示出了根据本发明实施例的一种执行信誉检查的过程的流程图。执行的步骤如下：

B1.计算机系统1发起可执行文件的检查。

B2.信誉确定单元8(例如，计算机系统1的或者服务器2的)在合法/可信可执行文件的白名单中查找可执行文件的标识符。

B3.如果文件被识别为位于白名单上，则确定此文件是合法的。

B4.如果文件被识别为不在白名单上，则确定此文件可能是恶意软件。

B5.备选地，如果可执行文件的黑名单也可用，则信誉确定单元8在违禁/可疑可执行文件的黑名单中查找可执行文件的标识符。如果文件被识别为位于黑名单上，则确定此文件可能是恶意软件(按照步骤B4)。

B6.如果文件被识别为既不在白名单上也不在黑名单上，则确定此文件未知。

当然，也可以对这些过程进行任何其它改变。例如，被识别为处于黑名单上的任何文件可以被阻止执行或者可以在虚拟环境中执行，而可以在实际环境中执行未知文件(例如，那些既不在白名单上也不在黑名单上的文件)，同时将仿真模仿应用于这些未知文件。备选地，最初可以在虚拟环境中执行任意未知文件，并分析以通过检查恶意软件签名或恶意行为来确定这些未知文件是否可以被信任的。如果这个分析确定未知文件不是可疑的或者未知文件是恶意软件的风险低，则可以允许这个文件在实际环境中运行，同时具有或不具有仿真模仿。然后，如果可应用，可以将该文件的标识符添加到白名单。相反，如果先前的未知文件的分析确定文件应被认为是可疑的，则可以阻止这个文件执行，或者可以限制这个文件在仿真模仿有效的情况下在实际环境中执行。还可以将可疑文件的标识符添加到黑名单中。

作为白名单和黑名单的备选方式，信誉检查可以使用可执行文件标识符列表，其中，列表中的每个可执行文件与对文件是恶意软件的风险/概率加以表示的信誉分数或等级相关联。可以基于可执行文件的一些先前分析的结果来确定这个分数或等级。例如，图4是示出了根据本发明实施例的一种执行信誉检查的过程的流程图。当需要可执行文件的信誉检查时，在可执行文件数据库中查找以确定文件是否在数据库中具有条目(步骤C2)。如果文件不在数据库中(即，文件先前未被计算机系统执行过)，则在计算机系统/服务器提供的实际环境内或者在计算机系统/服务器实现的仿真环境内执行该文件，并且监视程序的行为(步骤C3)。然后，对这个行为进行针对可疑行为的分析，并根据任何可疑行为的数量、类型和程度来给予这个行为合法性/可信度分数(步骤C4)。然后，将该分数供给中央服务器，将该分数与针对该相同可执行文件计算的/接收的任何其它分数相核对，并将核对的分数分发给在网络中的其它计算机系统(步骤C5)。

一旦可执行文件的条目已加入到数据库中，数据库的任何后续检查都将识别出数据库中该文件的条目，且可以获取该可执行文件的概率值(步骤C6)。然后，可以将这个获取的值与阈值相比较(步骤C7)。如果获取的值超过阈值，则应该将可执行文件当作可疑恶意软件来对待(步骤C8)，并仅仅在仿真模仿有效的情况下执行该可执行文件。如果获取的值没有超出阈值，则应该认为可执行文件是可信的(步骤C9)，可以执行该可执行文件，而不使仿真模仿有效。

可以通过核对其它计算机系统和/或服务器所执行的行为分析结果，来持续更新特定文件的信誉分数。此外，单独计算机使用的阈值分数可以取决于任何数目的因素(例如，取决于用户期望的安全级别)，并且可以随各个单独计算机而发生改变。可以根据已安装和/或运行可执行文件且将此报告给了中央服务器的计算机系统的信誉，来确定信誉分数，和/或信誉分数可以随这些计算机系统的信誉而改变。例如，如果中央服务器从已知是可信计算机系统(比如，这些计算机系统属于可信软件开发商或其它可信实体)接收到已安装和/或运行了特定可执行文件的多个报告，则该可执行文件的信誉分数将提高。具体地，恶意软件保护系统给予这种可执行文件的信誉分数将高于该系统仅仅刚知道的可执行文件的信誉分数。

可以由计算机1在本地检查可执行文件信誉，也可以由中央服务器2进行远程检查，或者可以是这二者的组合。当在本地检查时，根据信誉检查是如何执行的，计算机系统1可以使用从中央服务器2接收的信誉信息且将其存储在自己的存储器内。当进行远程检查时，计算机系统1可以向中央服务器2发送可执行文件或关于该文件的信息，以使中央服务器2检查文件信誉。例如，计算机系统1可以向服务器发送文件的标识符，服务器将比照合法可执行文件的数据库来检查此标识符。然后，服务器2向计算机系统1作出响应，通知检查结果和/或提供关于应该如何执行该文件的指令。

可以在接收到可执行文件时(即，当从互联网或电子邮件下载文件时，或者当从某一计算机可读介质向计算机系统传送文件时)，或响应于对执行/运行该文件的请求，来执行信誉检查。也可以将检查作为计算机系统1的计划扫描的一部分来执行，或者可以在用户请求时执行检查。然而，优选地，在文件的第一次执行之前执行检查。

存在恶意软件创建者用来使恶意软件程序能够确定其在仿真环境中运行的多种技术，因此，这可以用来欺骗恶意软件，使其确定自己正在仿真环境中运行。尽管仿真器的行为应该与实际计算机系统的行为基本相同，但是难以在仿真环境中实现所有真实功能性。例如，处理限制可以阻止仿真环境模仿操作系统提供的所有功能性。因此，在仿真器的响应与实际计算机系统的响应之间几乎总是存在行为上的差异，因此，程序可以将这些差异用于确定自己何时在仿真环境中执行。例如，恶意软件程序可以被设计成调用不常见或很少使用的指令，因为这些指令几乎从未被其它程序使用和/或太难被仿真，所以这些指令可能不被仿真器所支持。因此，调用这些功能将很有可能使仿真器抛出异常。于是，恶意软件程序可以使用这个异常，作为其正被仿真的指示。

恶意软件程序还可以通过试图访问网页从而确定其是否可以访问互联网，来试图对仿真进行检测。因为大多数仿真器不允许访问互联网，所以恶意软件可以将此用作其正在仿真器中执行的指示。此外，许多恶意软件程序使用返回计算机系统IP地址的调用来确定其是否可以访问互联网。同样，因为大多数仿真器不允许访问互联网，所以仿真器很可能无法成功地返回IP地址。因此，恶意软件程序可以将此用作其正在仿真环境中执行的指示。

检测仿真器是否在运行的备选方法是多于一次地调用函数，函数应该响应于每次调用而返回不同值。例如，这可以包括，将提供某一时间相关响应的函数调用两次，并且验证两个返回值之间是否存在差异。在中，这可以通过使用QueryPerformanceCounter API或GetTickCount API来实现，或者通过使用RDTSC(读取时间戳计数器)指令查询自机器启动以来处理器执行的周期的当前数目来实现。例如，可以调用RDTSC两次，并计算两个返回值之差。然后，可以将这个差与阈值相比较，如果差比阈值大，则可以确定文件当前正在仿真器中执行。

可执行文件可用来确定其是否正在仿真环境中执行的其它方法有很多，这些方法不断扩展以包括新方法。例如，用于检测仿真的一些其它方法包括：

●针对特定注册表键值(例如，关于工具等的注册表键值等)的存在来检查注册表；

●检查安装的特定应用程序(例如，内存转储工具、分析工具、调试器等)的存在；

●检查断点；以及

●检查中断描述符表(IDTR)或其它软件寄存器的位置。

为了对通常指示仿真的特性进行伪造，计算机系统可以钩住由选定的可执行文件使用的API(应用程序接口)(即，使可执行文件能够检查文件系统、注册表条目、互斥等，以及可执行文件可以用于检测仿真或其它恶意软件分析工具的任何对象)。然后，计算机系统可以向选定可执行文件的运行时代码提供信息，使得看起来就像文件正在仿真环境中执行一样。这允许计算机系统伪造选定文件的仿真，同时不影响向不认为是风险的那些可执行文件提供的信息。

术语钩住(hooking)涵盖了一系列的技术，用于通过拦截软件组件之间传递的函数调用、消息或事件来改变或添加程序(操作系统或应用程序)的行为。钩住机制使得无论何时程序接收到特定消息或特定事件，都能够指定代码段来运行。例如，在中，SetWindowsHookEx()Win32API调用使得目标过程将指定的DLL加载到其存储空间中并选择指定的函数，作为针对特定事件的钩子。当接收到适当事件时，目标过程将执行代码。

例如，如果对特定可执行文件的信誉检查确定应该执行此文件并将仿真模仿应用于此文件，则计算机系统1可以钩住可执行文件运行时代码进行的任何调用，以获取计算机系统IP地址(例如，GetIpAddrTableAPI或GetHostByName API)并返回异常。这样做的话，计算机系统1可以欺骗恶意软件程序，使得恶意软件程序确定自己正在仿真器中执行。备选地，一些恶意软件程序被设计为在特定国家中不执行任何恶意功能。原因可能是特定国家的当局可能更积极地识别和惩罚恶意软件创作者。因此，这些恶意软件程序可以请求计算机系统的IP地址，以确定计算机系统当前所处的国家。因此，计算机系统1可以利用对计算机正处于这样的一个国家加以指示的IP地址进行响应，从而阻止恶意软件执行任何恶意功能。

图5是示出了根据本发明实施例的一种保护计算机系统免于遭受恶意软件的过程的流程图。执行的步骤如下：

D1.信誉确定单元8对可执行文件的信誉检查确定，文件可能是恶意软件。例如，文件不在白名单上或者出现在黑名单上。

D2.因此，命令或配置计算机系统1应用恶意软件保护过程，且在实际/非仿真的计算机系统环境中执行可执行文件。

D3.仿真模仿单元9在文件的执行期间钩住可执行文件与计算机系统1之间的某些指定通信。这些指定通信可以包括与恶意软件的反仿真功能相关的任何函数调用、消息和事件。

D4.仿真模仿单元9实施的钩住允许拦截其任何相关通信。

D5.对于任何拦截的通信，仿真模仿单元9利用数据进行响应，该数据向可执行文件指示其正在仿真环境中运行，尽管实际上可执行文件正在非仿真的计算机系统环境中运行。这些仿真指示符欺骗可执行文件，使可执行文件确定自己正在仿真环境中执行，从而使得可执行文件不执行任何恶意功能。

D6.终止可执行文件的执行。例如，可执行文件可以响应于确定自己正被仿真中而自己终止，可以在文件执行结束时终止，或者可以由计算机系统终止。

如上所述，保护计算机免于遭受恶意软件的常规方法依赖于，通过使用恶意软件签名或通过对认为是指示恶意功能的行为进行识别，来检测恶意软件。然而，恶意软件创作者使用多种技术来避免这些检测方法。因此，这些恶意软件检测方法可能无法检测恶意软件程序，因而这些恶意软件程序可以继续运行恶意功能。本文所述的方法使得计算机系统即使还未检测到恶意软件程序的存在，也可以利用恶意软件反仿真功能作为使恶意软件程序的恶意功能失效或去激活的手段。此外，这些方法还使得不影响也实现反仿真功能的合法应用程序。

除了将恶意软件的反仿真功能用作保护计算机系统免于遭受恶意行为的手段之外，本文还提出将反仿真行为的检测用作确定是否应该将可执行文件认为是可疑的一种手段。尽管合法可执行文件和恶意可执行文件都可以实施反仿真功能，但是在检测到仿真时它们的行为可能显著不同。合法程序通常拒绝启动，并显示应用程序不在仿真环境中运行的通知。相反，恶意软件程序通常保持安静或显著地改变其行为。因此，对于在仿真环境中或者在仿真模仿有效的真实环境中执行的可执行文件而言，这种反仿真行为的存在指示了文件可能是恶意软件。

例如，图6是示出了根据本发明实施例的一种检测潜在恶意软件的过程的流程图。执行的步骤如下：

E1.要由计算机系统1执行的可执行文件被确定是恶意软件保护系统未知的。

E2.在这种情况下，用户或恶意软件保护系统可以确定是在仿真环境内执行文件，或者在真实环境中执行文件且将仿真模仿应用于文件。这种执行在中央服务器2或在计算机系统1处进行。

E3.恶意软件保护系统监视可执行文件的执行。

E4.恶意软件保护系统确定可执行文件是否在执行期间显示出任何反仿真行为。

E5.如果可执行文件在执行期间显示出反仿真行为，则确定可执行文件是可疑的，因而可执行文件可能是恶意软件。

E6.如果可执行文件在执行期间没有显示出任何明显的反仿真行为，则恶意软件保护系统将确定是否需要进一步的分析。例如，恶意软件保护系统可以确定需要比较可执行文件相信自己正在仿真环境中执行时该可执行文件的行为与该可执行文件相信自己正在非仿真环境中执行时该可执行文件的行为。

E7.如果确定需要进一步的分析，则恶意软件保护系统可以修改在可执行文件先前的执行期间已向可执行文件提供的数据。例如，恶意软件保护系统可以“关闭”一些或所有仿真指示，使得可执行文件确定自己没有被仿真。然后，这个过程返回步骤D2，执行文件。

E8.如果可执行文件没有显示出任何显著反仿真行为并且不需要进一步的分析，则恶意软件保护系统可以将文件识别为合法/可信任，或者至少识别为是恶意软件的概率低。

如果文件是合法的，则期望产生关于文件不在仿真环境中运行的通知，或者期望显示出一致的行为，不论文件是否具有其在仿真环境中运行或在非仿真环境中运行的指示。如果文件是恶意软件，则期望不运行且不提供任何通知，或者期望其显示出的行为依据文件是否具有其在仿真环境中运行或在非仿真环境中运行的指示而不同。根据该行为分析的结果，如果适当，则可以将文件的标识符添加到白名单或黑名单中，并将更新的名单从中央服务器分发至各个单独计算机系统。备选地，如上所述，这种分析可以确定可执行文件的信誉分数，然后可以以文件信誉列表或数据库的形式向计算机系统提供这个信息。

作为另一示例，一些恶意软件程序还可能被设计为收集与防病毒软件使用的仿真环境有关的信息。当确定自己正在仿真环境中运行时，这种恶意软件程序试图从该仿真环境中收集尽可能多的信息，并且向恶意软件创作者可访问的位置(例如，创作者家庭服务器)发送这个信息。因此，恶意软件保护系统可以监视正在仿真环境中运行的可执行文件的行为或者监视正在真实环境中运行的应用了仿真模仿的可执行文件的行为，以确定可执行文件是否执行了大量信息收集操作并试图连接至远程位置。如果是，则可以认为这个可执行文件是可疑的，并且是恶意软件的风险高。

本文提出的恶意软件检测方法使计算机系统可以利用恶意软件反仿真功能作为用于确定是否应该认为可执行文件可疑的一种手段，因此，这可以用作一种反馈以确定应该如何执行可执行文件的其它实例。这个方法克服了恶意检测方法依赖于对恶意软件签名或恶意软件的恶意/侵略性活动进行识别的此类限制，且将恶意软件自己的防御机制用作检测的手段。

一些恶意软件程序被设计成，如果认为自己运行在仿真环境中，则通过执行旨在损毁仿真器或阻止仿真器对其进行分析的动作来进行报复。例如，在检测仿真时，报复性恶意软件程序可以通过试图删除计算机系统中的所有文件或试图破坏操作系统的功能来进行反击。然而，这种报复性恶意软件程序极少，原因在于这种行为将暴露恶意软件程序的存在。在任何情况下，如果本发明的恶意软件保护系统遭遇这种报复性恶意软件程序，则系统可以被配置为对其仿真设置进行适当调整以终止攻击性行为，并且可以将这种报复性行为用作检测恶意软件的一种手段。例如，恶意软件保护系统可以使用主机入侵防止机制来对报复性行为作出响应，从而阻止恶意软件继续进行任何删除操作，或者简单地阻止恶意软件程序的任何进一步执行。

本领域技术人员应意识到，在不背离本发明的范围的情况下，可以对上述实施例进行多种修改。例如，尽管上述实施例具体描述了使用恶意软件的反仿真功能来阻止恶意行为和/或检测恶意软件的有无，但是还包括使用任何恶意软件反调试功能。调试恶意软件包括分析恶意软件程序的行为和功能以理解如何检测恶意软件程序和/或对其杀毒，恶意软件创作者通常将其恶意软件设计成防止调试。恶意软件采用的反调试功能与其反仿真功能相对应，并且可以包括检测调试器，当被调试时拒绝执行，当被调试时阻止任何恶意功能的执行，阻止调试器程序附着于恶意软件程序，阻碍调试过程等。

Claims

1.一种保护非仿真计算机系统免于遭受恶意软件的方法，当在仿真计算机系统中执行恶意软件时，所述恶意软件试图阻止检测或分析，所述方法包括：

确定是否应该将可执行文件识别为合法的；以及

如果不是，则在非仿真计算机系统中执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统内执行的指示。

2.根据权利要求1所述的方法，其中，在所述计算机系统中执行所述确定是否应该将可执行文件识别为合法的步骤。

3.根据前述权利要求中任一项所述的方法，其中，所述确定是否应该将可执行文件识别为合法的步骤包括以下任一项：

确定关于可执行文件的、包括对每个可执行文件的合法性加以表示的值的数据库中是否包括所述可执行文件的标识符，如果是，确定与所述可执行文件相关联的所述值是否超过可执行文件被认为是合法时的阈值。

4.根据权利要求1或2所述的方法，其中，所述向所述可执行文件提供其正在仿真计算机系统内执行的指示的步骤包括：

在所述可执行文件的执行期间，拦截所述可执行文件与所述计算机系统之间的指定通信；以及

利用对在仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。

5.根据权利要求4所述的方法，其中，所述指定通信能够包括函数调用、消息和事件中的任一项。

6.一种非仿真计算机系统，包括：

存储器，所述存储器存储可执行文件；以及

处理器，用于确定是否应该将所述可执行文件识别为合法的，以及如果确定不应该将所述可执行文件识别为合法的，则在所述非仿真计算机系统中执行所述可执行文件，同时向所述可执行文件提供其正在仿真计算机系统内执行的指示。

7.根据权利要求6所述的计算机系统，其中，处理器还被配置为产生包括所述可执行文件或所述可执行文件的标识符的消息以发送至服务器，并处理从服务器接收的响应以确定所述响应是否指示应该将文件识别为合法的。

8.根据权利要求6或7所述的计算机系统，其中，存储器还被配置为对标识了合法可执行文件的数据库进行存储，以及处理器还被配置为确定所述标识了合法可执行文件的数据库中是否包括可执行文件的标识符。

9.根据权利要求6或7所述的计算机系统，其中，存储器还被配置为对标识了违禁可执行文件的数据库进行存储，以及处理器还被配置为确定所述标识了违禁可执行文件的数据库中是否包括可执行文件的标识符。

10.根据权利要求6或7所述的计算机系统，其中，存储器还被配置为存储关于可执行文件的信息的数据库，所述数据库包括对每个可执行文件的合法性加以表示的值，以及处理器还被配置为确定所述数据库中是否包括所述可执行文件的标识符。

11.根据权利要求10所述的计算机系统，其中，处理器还被配置为，如果可执行文件的数据库中包括所述可执行文件的标识符，则确定与所述可执行文件相关联的所述值是否超过了所述可执行文件被认为是合法时的阈值。

12.根据权利要求6或7所述的计算机系统，其中，处理器还被配置为在所述可执行文件的执行期间拦截可执行文件与所述计算机系统之间的指定通信，并且利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。

13.一种检测潜在恶意软件的方法，所述方法包括：

在非仿真计算机系统中执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示；

监视所述可执行文件的行为；以及

确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。

14.根据权利要求13所述的方法，其中，所述执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤包括：

在非仿真计算机系统中执行所述可执行文件；

在所述可执行文件的执行期间，拦截所述可执行文件与计算机系统之间的指定通信；以及

利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。

15.根据权利要求13所述的方法，其中，所述执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤包括：

在仿真计算机系统中执行所述可执行文件。

16.根据权利要求13至15中任一项所述的方法，其中，所述仿真计算机系统中执行的恶意软件的预期行为包括以下任一项：

试图阻止执行而不提供通知；

试图收集关于仿真计算机系统的信息；以及

与非仿真计算机系统中可执行文件的行为显著不同。

17.一种非仿真计算机系统，包括：

存储器，所述存储器存储可执行文件；以及

处理器，用于在非仿真计算机系统中执行可执行文件，同时向所述可执行文件提供其正在仿真计算机系统中执行的指示，监视所述可执行文件的行为，以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。

18.一种维护关于可执行文件的信息的数据库的方法，所述数据库包括针对每个可执行文件，对可执行文件是恶意软件的可能性加以表示的值，以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的，所述方法包括：

在基于网络的服务侧，从所述多个计算机设备中执行了可执行文件的计算机设备接收关于所述可执行文件的数据，使用所述数据确定对可执行文件是恶意软件的可能性加以表示的值，以及向所述多个计算机设备中的任一个提供所述值。

19.根据权利要求18所述的方法，其中，所述关于可执行文件的数据包括以下任一项：

执行了可执行文件的计算机系统的标识符；

与执行了可执行文件的计算机系统观察到的所述可执行文件的任何可疑行为相关的信息；以及

对执行了可执行文件的计算机系统所确定的可执行文件是恶意软件的可能性加以表示的值。

20.如权利要求19所述的方法，其中，针对每个可执行文件使用数据确定可执行文件是恶意软件的可能性加以表示的值包括以下任一项：

分析与执行了可执行文件的每个计算机系统观察到的可执行文件的任何可疑行为相关的信息，并且基于可疑行为的数量、类型和程度来确定所述值；以及

核对由执行了可执行文件的每个计算机系统确定的值。

21.一种服务器，用于维护关于可执行文件的信息的数据库，所述数据库包括针对每个可执行文件，对可执行文件是恶意软件的可能性加以表示的值，以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的，所述服务器包括：

接收机，从所述多个计算机设备中执行了可执行文件的一个或多个计算机设备接收关于可执行文件的数据；

处理器，使用所述数据确定对可执行文件是恶意软件的可能性加以表示的值；以及

发送机，向所述多个计算机设备中的一个或多个计算机设备提供所述值。