发明名称 |
用于检测复杂恶意软件的系统和方法 |
摘要 |
本发明公开了用于检测具有复杂感染模式的恶意软件的系统、方法和计算机程序产品。该系统通过识别潜在的有害软件对象、监视潜在有害对象的各进程和线程的执行、编译被监视进程和线程的执行的事件的情境、以及将相关的进程和线程的情境进行合并而提供对抗恶意软件的增强的保护。基于使用恶意软件行为规则而对单独的和合并的对象情境的分析,该系统能检测到具有简单的和复杂的行为模式的恶意对象。 |
申请公布号 |
CN102651061A |
申请公布日期 |
2012.08.29 |
申请号 |
CN201210100140.7 |
申请日期 |
2012.04.06 |
申请人 |
卡巴斯基实验室封闭式股份公司 |
发明人 |
阿列克谢·A·波利亚科夫;弗拉季斯拉夫·V·马蒂嫩科;尤里·G·斯洛博迪亚努克;丹尼斯·A·纳扎罗夫;米哈伊尔·A·帕夫柳席奇卡 |
分类号 |
G06F21/22(2006.01)I |
主分类号 |
G06F21/22(2006.01)I |
代理机构 |
北京市磐华律师事务所 11336 |
代理人 |
顾珊;魏宁 |
主权项 |
一种用于检测计算机恶意软件的方法,所述方法包括:监视一个或多个软件对象的进程或线程的执行;确定所述一个或多个对象是否为被信任对象或不被信任对象;在多个单独的对象情境中存储所述被监视的每个不被信任对象的进程或线程的执行的事件;确定存储在单独的对象情境中的所述被监视的进程或线程是否彼此相关;将存储在所述相关进程或线程的对象情境中的事件合并至公共情境中;以及使用恶意软件行为规则来分析存储在所述公共情境中以及存储在单独的对象情境中的所述被监视的进程或线程的事件,以识别恶意对象。 |
地址 |
俄罗斯莫斯科 |