摘要 |
いくつかの実施形態では、アンチマルウェアシステムは、コンパイラおよび他の多相性によって導入される差などの、悪意のないデータオブジェクト間の良性の差を反映する。ターゲットオブジェクトは複数のコードブロックに分離され、それぞれのコードブロックについてハッシュが計算される。得られるターゲットハッシュのセットは、その後、ホワイトリスト化済みオブジェクトから抽出されるコードブロックに対応するハッシュのデータベースと比較される。ターゲットオブジェクトは、ホワイトリスト化済みオブジェクトと共通にかなりの数のハッシュを有する場合、ホワイトリスト化されている(トラステッドである、悪意がない)としてラベル付けされることができる。知られているホワイトリスト化済みオブジェクトとわずかに異なるオブジェクトは、ホワイトリスト化ステータスを依然として受信することができる。別個のオブジェクトのハッシュのセット間に、ある程度の不一致を許可することによって、本発明のいくつかの実施形態は、安全性を許容できないほどに減少させることなく、ホワイトリスト化の効率を増加させる。 |