发明名称 |
用于使用虚拟化技术进行恶意软件保护的系统和方法 |
摘要 |
本发明公开了用于使用虚拟化技术来保护部署于主机上的应用程序抵御恶意软件的系统、方法及计算机程序产品。一个示范性恶意软件保护系统可包括内核级驱动程序,其经配置以拦截寻址到受保护应用程序的对象的系统调用。该系统还包括分析引擎,其经配置以确定是否有与以下各项中的一个或多个相关联的安全规则:所拦截的系统调用、受保护应用程序的对象以及在受保护应用程序的对象上所允许的动作。安全规则指示是否允许或不允许所述系统调用在所述主机上执行。如果没有与系统调用相关联的安全规则,则使用受保护应用程序的对象的虚拟副本在主机的安全执行环境中执行系统调用。 |
申请公布号 |
CN102799817A |
申请公布日期 |
2012.11.28 |
申请号 |
CN201210225723.2 |
申请日期 |
2012.06.29 |
申请人 |
卡巴斯基实验室封闭式股份公司 |
发明人 |
维亚切斯拉夫·E·卢萨科夫;亚历山大·V·希里亚耶夫 |
分类号 |
G06F21/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
北京市磐华律师事务所 11336 |
代理人 |
徐丁峰;魏宁 |
主权项 |
一种用于保护部署于主机上的应用程序的方法,所述方法包括:在所述主机的内核级,拦截寻址到部署于所述主机上受保护应用程序的对象的系统调用;确定是否有与以下各项中的一个或多个相关联的安全规则:所拦截的系统调用、所述受保护应用程序的所述对象以及在所述受保护应用程序的所述对象上所允许的动作,其中,所述安全规则至少指示是否允许所述系统调用在所述主机上执行或者不允许所述系统调用在所述主机上执行;如果有安全规则指示允许所述系统调用在所述主机上执行,则在所述主机上执行所述系统调用;如果有安全规则指示不允许所述系统调用在所述主机上执行,则在所述主机上阻止所述系统调用的执行;如果没有与所述系统调用相关联的安全规则,则使用所述受保护应用程序的所述对象的虚拟副本在安全执行环境中执行所述系统调用;分析对所述受保护应用程序的所述对象的所述虚拟副本的改变是否表现出对所述应用程序、应用程序数据或所述主机的任何安全威胁;如果对所述对象的所述虚拟副本的所述改变未表现出任何安全威胁,则对所述主机中的真实对象应用所述改变;以及如果对所述对象的所述虚拟副本的所述改变表现出安全威胁,则在所述主机上阻止所述系统调用的执行。 |
地址 |
俄罗斯莫斯科 |