(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106415581A(43)申请公布日2017.02.15(21)申请号201580027224.4(74)专利代理机构上海专利商标事务所有限公司31(22)申请日2015.05.27100代理人黄嵩泉(30)优先权数据14/318,2622014.06.27US(51)Int.Cl.G06F21/56(2006.01)(85)PCT国际申请进入国家阶段日G06F21/50(2006.01)2016.11.24(86)PCT国际申请的申请数据PCT/US2015/0326772015.05.27(87)PCT国际申请的公布数据WO2015/199878EN2015.12.30(71)申请人迈克菲股份有限公司地址美国加利福尼亚州(72)发明人P·辛格Z·吴权利要求书2页说明书10页附图8页(54)发明名称用于追踪和检测恶意软件的系统和方法(57)摘要在此所描述的具体实施例提供了一种电子设备，所述电子设备可以被配置成用于：确定与进程相关的程序开始运行，当确定了应当对所述程序进行监测时对与所述程序相关的事件进行追踪，并且确定在所述追踪结束之前有待追踪的事件数量。所述有待追踪的事件数量可以与程序类型相关。另外，所述被追踪的事件数量可以与所述程序的活动相关。如果所述程序具有子程序，则可以确定有待追踪的子事件数量。可以将所述被追踪的子事件与所述被追踪的事件进行组合，并且可以对结果进行分析从而判定所述进程是否包括恶意软件。CN106415581ACN106415581A权利要求书1/2页1.至少一种计算机可读介质，包括一条或多条指令，所述一条或多条指令当被处理器执行时使所述处理器：确定与进程相关的程序开始运行；当确定了应当对所述程序进行监测时，对与所述程序相关的事件进行追踪；确定在所述追踪结束之前有待追踪的事件数量；以及分析被追踪的事件的结果，从而判定所述进程是否包括恶意软件。2.如权利要求1所述的至少一种计算机可读介质，其中，所述有待追踪的事件数量与程序类型相关。3.如权利要求1和2中任一项所述的至少一种计算机可读介质，其中，所述被追踪的事件数量与所述程序的活动相关。4.如权利要求1至3中任一项所述的至少一种计算机可读介质，进一步包括一条或多条指令，所述一条或多条指令当被所述处理器执行时：判定所述程序是否具有子程序。5.如权利要求4所述的至少一种计算机可读介质，进一步包括一条或多条指令，所述一条或多条指令当被所述处理器执行时：如果所述程序具有所述子程序，则确定有待追踪的子事件数量。6.如权利要求5所述的至少一种计算机可读介质，进一步包括一条或多条指令，所述一条或多条指令当被所述处理器执行时：将所述被追踪的子事件与所述被追踪的事件进行组合。7.如权利要求1至6中任一项所述的至少一种计算机可读介质，其中，所述有待追踪的事件数量基于上下文触发器。8.如权利要求7所述的至少一种计算机可读介质，进一步包括一条或多条指令，所述一条或多条指令当被所述处理器执行时：将所述追踪的结果传达给网络元件以进行进一步分析。9.一种装置，包括：检测模块，其中，所述检测模块被配置成用于：确定与进程相关的程序开始运行；当确定了应当对所述程序进行监测时，对与所述程序相关的事件进行追踪；以及确定在所述追踪结束之前有待追踪的事件数量；以及分析被追踪的事件的结果，从而判定所述进程是否包括恶意软件。10.如权利要求9所述的装置，其中，所述有待追踪的事件数量与程序类型相关。11.如权利要求9和10中任一项所述的装置，其中，所述检测模块被进一步配置成用于：判定所述程序是否具有子程序。12.如权利要求11所述的装置，其中，所述检测模块被进一步配置成用于：如果所述程序具有所述子程序，则确定有待追踪的子事件数量。13.如权利要求12所述的装置，其中，所述检测模块被进一步配置成用于：将所述被追踪的子事件与所述被追踪的事件进行组合。14.如权利要求9至13中任一项所述的装置，其中，所述有待追踪的事件数量基于上下文触发器。2CN106415581A权利要求书2/2页15.如权利要求9至14中任一项所述的装置，其中，所述追踪的结果被传达至网络元件以进行进一步分析。16.一种方法，包括：确定与进程相关的程序已经开始运行；当确定了应当对所述程序进行监测时，对与所述程序相关的事件进行追踪；确定在所述追踪结束之前有待追踪的事件数量；以及分析被追踪的事件的结果，从而判定所述进程是否包括恶意软件。17.如权利要求16所述的方法，其中，所述有待追踪的事件数量与程序类型相关。18.如权利要求16和17中任一项所述的方法，进一步包括：判定所述程序是否具有子程序。19.如权利要求18所述的方法，进一步包括：如果所述程序具有所述子程序，则确定