防止對具有多個(gè)cpu的設(shè)備的攻擊的制作方法
【專利摘要】公開了用于利用兩個(gè)不同處理單元(例如��,CPU)來相互監(jiān)測的系統(tǒng)和方法��。處理單元可以具相互之間有限的能見度和/或只讀訪問以降低一個(gè)受影響的處理單元破壞第二個(gè)處理單元的可能性��。包含有不同架構(gòu)的多個(gè)處理單元可以被配置以使得一種類型的處理單元監(jiān)測另一種類型的處理單元�。當(dāng)處理單元為不同架構(gòu)時(shí),單個(gè)惡意軟件(惡意程序)不大可能影響兩個(gè)處理單元��。每個(gè)處理單元可以被配置為檢測系統(tǒng)/設(shè)備的其它處理器上的根程序病毒包和其它類型的惡意程序�����。
【專利說明】防止對具有多個(gè)CPU的設(shè)備的攻擊
【技術(shù)領(lǐng)域】
[0001] 本公開總體上涉及用于利用兩個(gè)不同的處理單元來相互監(jiān)測并檢測可能表明其 它處理單元已被破壞的異常的系統(tǒng)和方法���。更具體地��,但并非以限制的方式���,本公開涉及用 于利用不同架構(gòu)和操作環(huán)境的處理單元來相互監(jiān)測并檢測病毒和其它惡意軟件(即使感 染性軟件包含類似隱形的機(jī)制)的系統(tǒng)和方法��。
【背景技術(shù)】
[0002] 現(xiàn)代的移動(dòng)設(shè)備通常使用兩個(gè)處理單元���。這些處理單元中的第一個(gè)可以用于通信 (例如,傳輸/接收�����、編碼/解碼�����、協(xié)議支持等)而這些處理單元中的第二個(gè)可以用于用戶界 面或應(yīng)用程序支持(例如�����,屏幕���、鍵盤�����、接口����、操作系統(tǒng)�、應(yīng)用程序)。由于具有兩個(gè)處理單 元�����,所以黑客可以試圖破壞任意一個(gè)處理單元�。
[0003] 根程序病毒包(rootkit)是隱形類型的惡意軟件(惡意程序),其被設(shè)計(jì)為隱藏 某些進(jìn)程或程序的存在以避開常規(guī)的檢測方法�����。根程序病毒包通常使能對被破壞的系統(tǒng)的 連續(xù)特權(quán)訪問����。根程序病毒包的安裝可以是自動(dòng)的或者是在攻擊者獲得根或管理員訪問時(shí) 被激活的。獲得該訪問時(shí)對系統(tǒng)直接攻擊(即�����,利用已知的漏洞)的結(jié)果或是通過獲取密 碼(通過破解、特權(quán)升級�����、或社交工程)的結(jié)果���。一旦安裝完成�����,根程序病毒包的目的通常 在于隱藏該侵入以及為其自身(或其它進(jìn)程)保持特權(quán)訪問����。像任何軟件一樣��,根程序病 毒包可以具有好的目的或惡意目的��。對系統(tǒng)的完全控制意味著可以修改現(xiàn)有軟件����,這包括 否則可以用于檢測或規(guī)避攻擊的軟件。
[0004] 根程序病毒包檢測是困難的����,這是因?yàn)楦绦虿《景赡苣軌驓挠糜趯ふ腋?序病毒包的軟件。檢測方法包括使用替代的����、可信的操作系統(tǒng);基于行為的方法���;簽名掃 描��;差異掃描����;以及內(nèi)存轉(zhuǎn)儲(chǔ)分析�����。移除可能是復(fù)雜的或者實(shí)際上是不可能的����,特別是在根 程序病毒包駐留于內(nèi)核中的情況下;重新安裝操作系統(tǒng)可能是對于該問題唯一可行的解決 方案��。當(dāng)處理固件根程序病毒包時(shí)���,移除可能需要硬件替換�����、或?qū)I(yè)設(shè)備�����。
[0005] 現(xiàn)代的根程序病毒包并不一定提升訪問����,相反其用于通過增加隱形能力而使得另 一個(gè)軟件負(fù)載不能被檢測到。大多數(shù)的根程序病毒包被歸類為惡意軟件��,這是因?yàn)樗鼈兯?捆綁的負(fù)載是惡意的����。例如,負(fù)載可以隱蔽地竊取用戶密碼����、信用卡信息、計(jì)算資源����、或其它 未授權(quán)的活動(dòng)�����。少數(shù)根程序病毒包可以被它們的用戶認(rèn)為是工具應(yīng)用程序:例如,根程序病 毒包可以虛擬光盤仿真驅(qū)動(dòng)器����,這允許視頻游戲用戶使得要求將原始安裝介質(zhì)插入到物理 光驅(qū)中以驗(yàn)證該軟件是合法購買的反盜版措施無效
[0006] 根程序病毒包能夠以計(jì)算機(jī)環(huán)境的不同特權(quán)級別(例如,模式)運(yùn)行����。用戶模式 根程序病毒包以與大多數(shù)其它用戶應(yīng)用程序相同的模式運(yùn)行,而非低級別系統(tǒng)進(jìn)程����。它們 具有多個(gè)可能的安裝向量以截獲并修改應(yīng)用程序接口(API)的標(biāo)準(zhǔn)行為。一些根程序病毒 包將動(dòng)態(tài)鏈接庫(例如���,.DLL文件��、.dylib文件�����、.so文件�����、或.shlib文件)注入到其它進(jìn) 程���,并且由此能夠在任何目標(biāo)進(jìn)程內(nèi)執(zhí)行以冒充該目標(biāo)進(jìn)程��;具有足夠特權(quán)的其它根程序 病毒包僅重寫目標(biāo)應(yīng)用程序的存儲(chǔ)器�。
[0007] 通過增加代碼或替換核心操作系統(tǒng)(包括內(nèi)核和相關(guān)聯(lián)的設(shè)備驅(qū)動(dòng)器)的一部 分����,內(nèi)核模式根程序病毒包以最高操作系統(tǒng)特權(quán)來運(yùn)行。大多數(shù)操作系統(tǒng)支持內(nèi)核模式設(shè) 備驅(qū)動(dòng)器��,其以與操作系統(tǒng)自身相同的特權(quán)來執(zhí)行�。由此,許多內(nèi)核模式根程序病毒包被開 發(fā)為設(shè)備器讀取或可加載模塊�����,例如可加載內(nèi)核模塊或設(shè)備驅(qū)動(dòng)器����。這類根程序病毒包具 有不受限制的安全訪問。內(nèi)核根程序病毒包可能特別難以檢測并移除���,這是因?yàn)樗鼈円耘c 操作系統(tǒng)自身相同的安全級別來運(yùn)行�,并且它們因此能夠截獲或毀壞最可信的操作系統(tǒng)操 作并由此以類似隱形的方式"隱藏"它們自己。
[0008] 由于根程序病毒包以及其它病毒(其包括所有類型的惡意代碼:特洛伊木馬�、漏 洞利用、外殼代碼��、鍵盤記錄器���、后門、間諜軟件�、僵尸網(wǎng)絡(luò)、廣告軟件���、信息竊取軟件等)以 上文所述的類似隱形的方式(在其它程序中)運(yùn)行��,所以它們難以檢測和/或在被感染的 操作環(huán)境的范圍內(nèi)難以清除��。本公開解決了這些和其它問題以提供方法和系統(tǒng)來檢測試圖 在被感染的處理單元上隱藏自己以避開檢測的活動(dòng)根程序病毒包以及其它病毒(即�,惡意 代碼)��。
【專利附圖】
【附圖說明】
[0009] 圖1是根據(jù)一個(gè)或多個(gè)所公開的實(shí)施例的示出了網(wǎng)絡(luò)架構(gòu)100的框圖����。
[0010] 圖2是根據(jù)一個(gè)或多個(gè)所公開的實(shí)施例的示出了具有多個(gè)處理單元(其可以被配 置為相互監(jiān)測)的計(jì)算機(jī)的框圖����。
[0011] 圖3是根據(jù)一個(gè)或多個(gè)所公開的實(shí)施例的對可以用兩個(gè)處理單元來配置的蜂窩 電話的示出���。
[0012] 圖4是根據(jù)一個(gè)或多個(gè)所公開的實(shí)施例的針對交叉處理單元監(jiān)測的過程的流程 圖�����,其用于示出一個(gè)示例流程���。
[0013] 圖5是根據(jù)一個(gè)或多個(gè)所公開的實(shí)施例的用于更新與檢測技術(shù)相關(guān)聯(lián)的監(jiān)測代 碼和/或監(jiān)測信息的過程的流程圖。
【具體實(shí)施方式】
[0014] 如上文所說明的�,來自被感染的計(jì)算環(huán)境內(nèi)的根程序病毒包檢測是難以檢測的。 這主要是因?yàn)楦绦虿《景坏┗钴S��,就通常通過截獲對其進(jìn)行檢測的嘗試并且向試圖執(zhí) 行該檢測的進(jìn)程返回捏造的結(jié)果而主動(dòng)地隱藏自己以避開檢測�����。不能信任諸如請求運(yùn)行進(jìn) 程的列表�����、或目錄中的文件的列表這樣的動(dòng)作如期望地表現(xiàn)����。用于操作系統(tǒng)級別的根程序 病毒包檢測的現(xiàn)有技術(shù)方法通常要求用戶關(guān)閉疑似感染的計(jì)算機(jī)���,然后通過從替代的可信 介質(zhì)(例如,救援光盤或救援USB閃速存儲(chǔ)器)中啟動(dòng)來檢查其存儲(chǔ)設(shè)備���。該技術(shù)是有效 的�,這是因?yàn)槿绻绦虿《景鼪]有運(yùn)行���,則它不能主動(dòng)地隱藏其存在。然而��,這類補(bǔ)救措 施對于移動(dòng)設(shè)備(例如��,蜂窩電話)來說通常是不可行的并且這類補(bǔ)救措施通常要求昂貴 的足以并包括進(jìn)行返廠維修的費(fèi)用�。如在下文中進(jìn)一步說明的,所公開的技術(shù)通過使用用 于從第二處理單元監(jiān)測第一處理單元的系統(tǒng)和方法(其中可以定義兩個(gè)處理單元之間的 訪問并且可以以安全的方式來更新監(jiān)測信息)解決了這些和其它問題�����。
[0015] 現(xiàn)在參考圖1����,其示意性地示出了基礎(chǔ)設(shè)施100��?��;A(chǔ)設(shè)施100包含計(jì)算機(jī)網(wǎng)絡(luò) 102。計(jì)算機(jī)網(wǎng)絡(luò)102包括許多當(dāng)今可用的不同類型的計(jì)算機(jī)網(wǎng)絡(luò)例如互聯(lián)網(wǎng)�����、企業(yè)網(wǎng)或 局域網(wǎng)(LAN)���。這些網(wǎng)絡(luò)中的每一個(gè)網(wǎng)絡(luò)可以包含有線或無線設(shè)備并且使用任何數(shù)量的網(wǎng) 絡(luò)協(xié)議(例如�,TCP/IP)來運(yùn)行網(wǎng)絡(luò)102被連接到網(wǎng)關(guān)和路由器(由108表示)���、終端用戶 計(jì)算機(jī)106以及計(jì)算機(jī)服務(wù)器104�。在基礎(chǔ)設(shè)施100中還示出了用于蜂窩通信的蜂窩網(wǎng)絡(luò) 103�。如在本領(lǐng)域中眾所周知的,蜂窩網(wǎng)絡(luò)支持蜂窩電話和許多其它類型的設(shè)備(例如����,未 示出的平板型計(jì)算機(jī))?��;A(chǔ)設(shè)施100中的蜂窩設(shè)備被示出為蜂窩電話110�。
[0016] 現(xiàn)在參考圖2,以框圖的形式示出了根據(jù)一個(gè)實(shí)施例的用于提供所公開的檢測技 術(shù)的示例處理設(shè)備200。處理設(shè)備200可以作為蜂窩電話110����、網(wǎng)關(guān)或路由器108、客戶端 計(jì)算機(jī)106�、或服務(wù)器計(jì)算機(jī)104中的處理器。示例處理設(shè)備200包括系統(tǒng)單元210,其可 以可選地連接到用于系統(tǒng)的輸入設(shè)備260 (例如�,鍵盤、鼠標(biāo)�、觸摸屏等)和顯示器270。程 序存儲(chǔ)設(shè)備(PSD) 280 (有時(shí)被稱為硬盤�����、閃速存儲(chǔ)器����、或計(jì)算機(jī)可讀介質(zhì))包括于系統(tǒng)單元 210�。系統(tǒng)單元210還包含網(wǎng)絡(luò)接口 240,其用于經(jīng)由網(wǎng)絡(luò)(蜂窩或計(jì)算機(jī))與其它計(jì)算和 企業(yè)基礎(chǔ)設(shè)施設(shè)備(未示出)或其它蜂窩通信設(shè)備進(jìn)行通信。網(wǎng)絡(luò)接口 240可以包含于系 統(tǒng)單元210內(nèi)或在系統(tǒng)單元210外部�。在這兩種情況下,系統(tǒng)單元210將被通信地耦合到 網(wǎng)絡(luò)接口 240����。程序存儲(chǔ)設(shè)備280表示任何形式的非易失性存儲(chǔ)設(shè)備���,包括但不限于:所有 形式的光和磁存儲(chǔ)器(包括固態(tài))、存儲(chǔ)元件(包括可移動(dòng)介質(zhì))并且可以包含于系統(tǒng)單元 210內(nèi)或在系統(tǒng)單元210外部����。程序存儲(chǔ)設(shè)備280可以用于存儲(chǔ)用于控制系統(tǒng)單元210的 軟件、用于由處理設(shè)備200所使用的數(shù)據(jù)����、或兩者。
[0017] 系統(tǒng)單元210可以被編程為執(zhí)行根據(jù)本公開的方法����。系統(tǒng)單元210包括一個(gè)或多 個(gè)處理單元(由PU 1220和PU 2225表示)、輸入輸出(I/O)總線250���、存儲(chǔ)器230����、以及共 享存儲(chǔ)器231����?����?梢允褂猛ㄐ趴偩€250來實(shí)現(xiàn)對存儲(chǔ)器230的存儲(chǔ)器訪問�����。共享存儲(chǔ)器231 表示可以被任何處理單元直接訪問的共享存儲(chǔ)器或存儲(chǔ)器區(qū)域�����。處理單元220和225可以 包括任何可編程控制器設(shè)備���,包括例如大型機(jī)處理器、蜂窩電話處理器��、或以下成員中的一 個(gè)或多個(gè):來自 Intel Corporation 的 Intel Atoird Core' Pentium? 和Celeron"'處 理器系列以及來自ARM的Cortex和ARM處理器系列(INTEL�����、INTEL ATOM�����、CORE�����、PENTIUM�、 和 CELERON 是 Intel Corporation 的注冊商標(biāo)。CORTEX 是 ARM Limited Corporation 的注 冊商標(biāo)����。ARM是ARM Limited Company的注冊商標(biāo))。存儲(chǔ)器230可以包括一個(gè)或多個(gè)存 儲(chǔ)器模塊并且包括隨機(jī)存取存儲(chǔ)器(RAM)�����、只讀存儲(chǔ)器(ROM)��、可編程只讀存儲(chǔ)器(PR0M)�����、 可編程讀寫存儲(chǔ)器�����、以及固態(tài)存儲(chǔ)器��。PU 220和225還可以包括一些內(nèi)部存儲(chǔ)器�����,包括例如 高速緩沖存儲(chǔ)器或?qū)S糜谔囟ㄌ幚韱卧⑶遗c其它處理單元隔離以用于保持監(jiān)測信息以 供結(jié)合公開的根程序病毒包的實(shí)施例使用的存儲(chǔ)器。
[0018] 處理設(shè)備200可以駐留于任何期望的操作系統(tǒng)��?��?梢允褂萌魏纹谕木幊陶Z言 來實(shí)現(xiàn)所公開的檢測技術(shù)的實(shí)施例�����,并且其可以被實(shí)施為一個(gè)或多個(gè)可執(zhí)行程序�����,所述一 個(gè)或多個(gè)可執(zhí)行程序可以鏈接到可以由檢測軟件/固件的供應(yīng)商�����、操作系統(tǒng)的供應(yīng)商�����、或 適合的庫例程的任何其它期望的供應(yīng)商所提供的可執(zhí)行例程的外部庫�����。如在本文中所使用 的�����,術(shù)語"計(jì)算機(jī)系統(tǒng)"可以指代用于執(zhí)行本文中所描述的在計(jì)算機(jī)系統(tǒng)上或由計(jì)算機(jī)系統(tǒng) 所執(zhí)行的功能的單個(gè)計(jì)算機(jī)或多個(gè)共同工作的計(jì)算機(jī)����。
[0019] 為在處理設(shè)備200上執(zhí)行所公開的實(shí)施例做準(zhǔn)備�,用于將處理設(shè)備200配置為執(zhí) 行所公開的實(shí)施例的程序指令可以被提供為存儲(chǔ)在任意類型的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)、 或可以從服務(wù)器104下載到程序存儲(chǔ)設(shè)備280上�����。重要的是要注意到���,即使PU (220和225) 被示出在單個(gè)處理設(shè)備200上�,但是可以設(shè)想的并且可以是理想的情況是�,在被配置為用 于根據(jù)所公開的實(shí)施例進(jìn)行根程序病毒包檢測的設(shè)備中具有多于一個(gè)處理設(shè)備200。艮P����, PU220和225可以從單個(gè)處理器設(shè)備200內(nèi)進(jìn)行相互監(jiān)測、或者來自不同處理設(shè)備(例如���, 多個(gè)處理設(shè)備200)的處理單元可以互相監(jiān)測���。
[0020] 現(xiàn)在參考圖3,其示出了蜂窩電話300(來自圖1的蜂窩設(shè)備110的示例)��。蜂窩 電話300可以使用一個(gè)或多個(gè)處理設(shè)備200進(jìn)行配置并且因此具有多個(gè)處理單元(例如���, 220、225)����。蜂窩電話300還具有用戶界面屏幕310、用戶輸入機(jī)制320和天線330�����。蜂窩電 話300還可以具有用于蜂窩����、WiFi、射頻識別(RFID)�、近場通信(NFC)等的多個(gè)天線。在現(xiàn) 代的蜂窩電話中���,用戶界面310和經(jīng)由天線330與蜂窩網(wǎng)絡(luò)進(jìn)行通信的通信接口(未示出) 可以被不同的處理單元或處理設(shè)備所控制�。除了其它功能之外,這使得蜂窩電話的用戶能 夠與在該蜂窩電話上執(zhí)行的應(yīng)用程序進(jìn)行交互而同時(shí)仍然參與經(jīng)由蜂窩網(wǎng)絡(luò)的通信會(huì)話��。 另外�����,基于功耗要求���,不同的處理單元可以被配置到蜂窩電話300中,并且可以被配置為當(dāng) 其在監(jiān)測蜂窩網(wǎng)絡(luò)但并沒有由用戶主動(dòng)與蜂窩網(wǎng)絡(luò)進(jìn)行交互時(shí)�����,允許延長的電池壽命���。具 有多個(gè)(稍微隔離的)處理單元的蜂窩電話300提供適合的環(huán)境以利用本文中所公開的檢 測技術(shù)��。
[0021] 因?yàn)楝F(xiàn)代的蜂窩電話(即�����,智能電話)通常具有蜂窩網(wǎng)絡(luò)接口和計(jì)算機(jī)網(wǎng)絡(luò)接口�, 所以它們可能以許多不同的方式被感染�。電話(例如�����,300)可能經(jīng)由蜂窩網(wǎng)絡(luò)被冒充移動(dòng) 天線以感染病利用通信處理單元的進(jìn)程所感染����。一旦受到這種攻擊的感染���,可能允許跨電 話的"蠕蟲"的傳播�����,從而導(dǎo)致嚴(yán)重的影響����。另外�����,當(dāng)蜂窩電話連接到計(jì)算機(jī)網(wǎng)絡(luò)時(shí)����,在數(shù)據(jù) 下載或應(yīng)用程序下載的情況下,惡意代碼可能被轉(zhuǎn)移到該電話。
[0022] 有了關(guān)于根程序病毒包��、它們的檢測問題����、基礎(chǔ)設(shè)施細(xì)節(jié)、和設(shè)備配置的上述細(xì) 節(jié)���,現(xiàn)在我們轉(zhuǎn)向?qū)Ω鱾€(gè)實(shí)施例的討論以提供改進(jìn)的根程序病毒包檢測技術(shù)。如將在下文 中所示的����,來自單個(gè)設(shè)備(例如,移動(dòng)電話300)的不同處理單元可以相互監(jiān)測并且它們的 監(jiān)測將不會(huì)受到感染被檢測的處理器的根程序病毒包的影響�����。如本領(lǐng)域普通技術(shù)人員考慮 到本公開而將會(huì)理解的���,根程序病毒包的類似隱形的檢測規(guī)避機(jī)制不能影響或扭曲由獨(dú)立 處理單元在執(zhí)行的監(jiān)測��。
[0023] 現(xiàn)在參考圖4,流程圖400示出了根據(jù)一個(gè)所公開的實(shí)施例的交叉處理單元監(jiān)測 過程的流程圖400�����。在以下示例中����,CPU的編號僅僅是兩個(gè)處理單元的示例。當(dāng)然��,任意數(shù) 量的具有不同編號的處理單元也是可能的����。在塊405開始,初始化(例如��,啟動(dòng))諸如蜂窩 電話300這樣的設(shè)備上的第一處理單元(PU 1)��。接著����,在塊410,初始化該設(shè)備上的第二處 理單元(PU2)。當(dāng)然����,根據(jù)軟件或硬件設(shè)計(jì),每個(gè)處理單元可以被并行或按順序地初始化���。 在塊415,PU 2變得受到根程序病毒包(一種隱形類型的病毒(任意類型的惡意軟件))的 影響(例如���,感染)���。由于這些類型的病毒和惡意軟件通常制造在PU 2的環(huán)境以及PU 2的 操作系統(tǒng)內(nèi)隱藏自己的根程序病毒包(或病毒)(塊420)。隨后(塊425)��,PU 1詢問PU2���, 并且因?yàn)镻U 1并不被類似隱形的隱藏能力所影響�����,所以檢測到根程序病毒包或病毒。在檢 測之后(塊430)��,可以通知用戶該檢測并且可以進(jìn)行清理PU 2的環(huán)境的嘗試���。
[0024] 現(xiàn)在參考圖5,流程圖500示出了對由一個(gè)處理單元監(jiān)測另一個(gè)處理單元所要求 的監(jiān)測代碼或監(jiān)測信息進(jìn)行更新的過程的流程圖500��?����?梢栽O(shè)想的是在制造處理設(shè)備時(shí)�����,可 以構(gòu)造處理設(shè)備使得基于固件的監(jiān)測代碼(例如���,用于監(jiān)測不同類型的處理器的代碼)可 以與處理設(shè)備集成(塊505)����。這通??梢酝ㄟ^將代碼置于設(shè)備的固件中或處理器制造領(lǐng)域 中的技術(shù)人員已知的其它方法來完成。另外����,可以定義"安全"存儲(chǔ)器區(qū)域并且專用于保持 關(guān)于由本處理單元要監(jiān)測的其它處理單元的操作環(huán)境的監(jiān)測信息。該信息可以包括關(guān)于全 局中斷表內(nèi)容���、特定存儲(chǔ)器地址值等的信息��。該監(jiān)測信息會(huì)被特別地定義為針對要被監(jiān)測 的操作環(huán)境(例如���,特定的操作系統(tǒng)和相關(guān)的設(shè)備軟件版本信息)。由于經(jīng)由升級或補(bǔ)丁周 期性地更新操作系統(tǒng)和軟件��,所以可能理想的是如在塊510中所示的���,操作系統(tǒng)(或設(shè)備軟 件)廠商更新監(jiān)測測代碼和/或監(jiān)測信息��。更新的監(jiān)測測代碼和/或監(jiān)測信息可以在更新 服務(wù)器上被使得可用并且在更新服務(wù)器與包含監(jiān)測PU和被監(jiān)測PU的設(shè)備之間建立通信鏈 接(塊515)���。在建立了通信鏈接之后���,可以根據(jù)需要執(zhí)行安全更新過程(塊520)。如將會(huì) 顯而易見的�,用于更新被監(jiān)測的操作環(huán)境的任何更新過程可能要與在過程500中所概括的 更新過程相協(xié)調(diào)。
[0025] 在不同實(shí)施例中���,被監(jiān)測的處理單元和執(zhí)行監(jiān)測的處理單元可以具有不同的物理 架構(gòu)并且運(yùn)行完全不同的環(huán)境���。最低要求是從監(jiān)測環(huán)境對被監(jiān)測環(huán)境的適當(dāng)?shù)燃壍哪芤?度。在兩者的環(huán)境都具有相似的運(yùn)行條件的配置中�����,可能重要的是充分地將它們隔離從而 不允許同時(shí)感染被監(jiān)測環(huán)境和監(jiān)測環(huán)境��。顯然�����,如果兩個(gè)環(huán)境同時(shí)被感染����,則復(fù)雜的根程序 病毒包或病毒可以試圖主動(dòng)地隱藏在交叉監(jiān)測處的嘗試。還可以想到的是具有多于兩個(gè) PU���,其中以類似于所呈現(xiàn)的兩個(gè)的實(shí)施例的方式����,一個(gè)PU觀察多個(gè)其它PU (它們可以每 個(gè)都互相觀察)�。
[0026] 在前述描述中,為了說明的目的��,闡述了許多具體細(xì)節(jié)以便提供對所公開的實(shí)施 例的透徹理解��。然而���,對本領(lǐng)域技術(shù)人員顯而易見的是��,可以實(shí)現(xiàn)所公開的實(shí)施例而無需這 些具體細(xì)節(jié)�����。在其它實(shí)例中���,以框圖的形式示出了結(jié)構(gòu)和設(shè)備以避免模糊所公開的實(shí)施例��。 對沒有下標(biāo)或后綴的數(shù)字的引用被理解為引用對應(yīng)于所引用的數(shù)字的下標(biāo)和后綴的所有 實(shí)例����。另外�����,本公開中所使用的語言主要是針對可讀性和指導(dǎo)的目的而選擇的����,并且可能沒 有被選擇為描繪或限制本發(fā)明主題,有必要依靠權(quán)利要求來確定這樣的本發(fā)明主題�。說明 書中所引用的"一個(gè)實(shí)施例"或"實(shí)施例"意味著關(guān)于實(shí)施例所描述的特定特征、結(jié)構(gòu)�����、或特 性被包含在至少一個(gè)所公開的實(shí)施例中�,并且"一個(gè)實(shí)施例"或"實(shí)施例"的多個(gè)引用不應(yīng) 被理解為一定都指代相同的實(shí)施例��。
[0027] 還要理解的是�����,上述描述是示例性的而非限制性的。例如���,上述實(shí)施例可以進(jìn)行互 相結(jié)合來使用并且可以以不同于所示的順序來執(zhí)行示例性過程步驟��。在查看上述描述時(shí)�����, 許多其它實(shí)施例對本領(lǐng)域技術(shù)人員來說將是顯而易見的��。因此����,應(yīng)當(dāng)參考所附權(quán)利要求以 及這些權(quán)利要求所授權(quán)的等效物的全部范圍來確定本發(fā)明的范圍�����。在所附權(quán)利要求中����,將 術(shù)語"包括"和"在其中"分別用作相應(yīng)術(shù)語"包含"和"其中"的純英語同義詞。
[0028] 以下示例關(guān)于本公開的進(jìn)一步實(shí)施例。示例中的細(xì)節(jié)可以用于一個(gè)或多個(gè)實(shí)施例 中的任何地方���。
【權(quán)利要求】
1. 一種包含有存儲(chǔ)于其上的計(jì)算機(jī)可執(zhí)行指令的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)�����,所述指令 使得一個(gè)或多個(gè)處理單元執(zhí)行下列操作: 由第一處理單元詢問與第二處理單元相關(guān)聯(lián)的信息���;以及 由所述第一處理單元分析所述信息以確定與所述第二處理單元相關(guān)聯(lián)的運(yùn)行條件是 否表明潛在的異常,所述潛在的異常操作為試圖隱藏以避開由所述第二處理單元執(zhí)行的指 令��。
2. 根據(jù)權(quán)利要求1所述的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)��,進(jìn)一步包括:使得所述一個(gè)或多 個(gè)處理單元基于所述確定而執(zhí)行補(bǔ)救措施的指令�。
3. 根據(jù)權(quán)利要求2所述的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì),其中����,使得所述第一處理單元分 析所述信息的指令包括:使得所述第一處理單元將所述信息與監(jiān)測信息進(jìn)行比較的指令。
4. 根據(jù)權(quán)利要求3所述的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)���,其中���,所述監(jiān)測信息能夠由所述 第一處理單元訪問而不能夠由所述第二處理單元訪問。
5. 根據(jù)權(quán)利要求1-4中的任意一項(xiàng)所述的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì),其中���,所述第一 處理單元和所述第二處理單元具有不同的架構(gòu)。
6. 根據(jù)權(quán)利要求1所述的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)�,其中,所述潛在的異常包括惡意 代碼���。
7. -種移動(dòng)設(shè)備�,包括: 第一處理單元���;以及 第二處理單元�,其被配置為監(jiān)測與所述第一處理單元相關(guān)聯(lián)的運(yùn)行環(huán)境�����; 其中��,所述第二處理單元被配置為: 詢問與所述第一處理單元相關(guān)聯(lián)的信息�����;并且 分析所述信息以確定與所述第一處理單元相關(guān)聯(lián)的所述運(yùn)行環(huán)境的運(yùn)行條件是否表 明潛在的異常���,所述潛在的異常操作為試圖隱藏其自身以避開與所述第一處理單元相關(guān)聯(lián) 的所述運(yùn)行環(huán)境��。
8. 根據(jù)權(quán)利要求7所述的移動(dòng)設(shè)備�����,其中�,所述第二處理單元進(jìn)一步被配置為基于所 述確定而執(zhí)行補(bǔ)救措施。
9. 根據(jù)權(quán)利要求7所述的移動(dòng)設(shè)備����,進(jìn)一步包括:蜂窩通信接口,其中�,所述第一處理 單元被配置為支持所述蜂窩通信接口。
10. 根據(jù)權(quán)利要求7所述的移動(dòng)設(shè)備�����,其中�,所述第一處理單元被配置為支持用戶界面 功能。
11. 根據(jù)權(quán)利要求7-10中的任意一項(xiàng)所述的移動(dòng)設(shè)備���,其中�����,所述第一處理單元被配 置為支持蜂窩通信接口而所述第二處理單元被配置為支持用戶界面功能�����。
12. 根據(jù)權(quán)利要求7-10中的任意一項(xiàng)所述的移動(dòng)設(shè)備����,其中����,所述第一處理單元和所 述第二處理單元具有不同的架構(gòu)。
13. 根據(jù)權(quán)利要求7-10中的任意一項(xiàng)所述的移動(dòng)設(shè)備�,其中,所述第二處理單元具有 對不能夠由所述第一處理單元訪問的監(jiān)測信息的訪問�����。
14. 根據(jù)權(quán)利要求7-10中的任意一項(xiàng)所述的移動(dòng)設(shè)備�,其中,所述第二處理單元被配 置為通過將與所述第一處理單元相關(guān)聯(lián)的所述信息與所述監(jiān)測信息的至少一部分進(jìn)行比 較���,來分析與所述第一處理單元相關(guān)聯(lián)的所述信息��。
15. 根據(jù)權(quán)利要求7所述的移動(dòng)設(shè)備��,其中����,所述第一處理單元被配置為: 詢問與所述第二處理單元相關(guān)聯(lián)的信息;并且 分析所述信息以確定與所述第二處理單元相關(guān)聯(lián)的所述運(yùn)行環(huán)境的運(yùn)行條件是否表 明潛在的異常�����,所述潛在的異常操作為試圖隱藏以避開與所述第二處理單元相關(guān)聯(lián)的所述 運(yùn)行環(huán)境����。
16. 根據(jù)權(quán)利要求7或15所述的移動(dòng)設(shè)備,其中�����,所述第二處理單元具有對從所述第一 處理單元能夠以只讀模式訪問的監(jiān)測信息的訪問����。
17. 根據(jù)權(quán)利要求7或15所述的移動(dòng)設(shè)備,其中��,所述潛在的異常包括惡意代碼�����。
18. -種用于更新移動(dòng)設(shè)備的方法,所述移動(dòng)設(shè)備包括第一處理單元�����、第二處理單元�����、 和存儲(chǔ)器���,所述方法包括: 在所述移動(dòng)設(shè)備和更新服務(wù)器之間建立連接; 取回要被所述第一處理單元利用以監(jiān)測所述第二處理單元的代碼或監(jiān)測信息���; 執(zhí)行更新過程以將所述代碼或監(jiān)測信息存儲(chǔ)到對于所述第一處理單元能夠訪問的存 儲(chǔ)器的區(qū)域��;并且 確定與所述第二處理單元相關(guān)聯(lián)的運(yùn)行環(huán)境的運(yùn)行條件是否表明潛在的異常��,所述潛 在的異常操作為試圖隱藏其自身以避開與所述第二處理單元相關(guān)聯(lián)的所述運(yùn)行環(huán)境�����。
19. 根據(jù)權(quán)利要求18所述的方法����,其中,所述第一處理單元和所述第二處理單元具有 不同的架構(gòu)�����。
20. 根據(jù)權(quán)利要求18所述的方法�,其中,對于所述第一處理單元能夠訪問的存儲(chǔ)器的 所述區(qū)域?qū)τ谒龅诙幚韱卧荒軌蛟L問�����。
21. 根據(jù)權(quán)利要求18-20中的任意一項(xiàng)所述的方法��,其中��,對于所述第一處理單元能夠 訪問的存儲(chǔ)器的所述區(qū)域包括:用于存儲(chǔ)固件代碼的存儲(chǔ)器的區(qū)域�����。
22. 根據(jù)權(quán)利要求18-20中的任意一項(xiàng)所述的方法�,其中,對于所述第一處理單元能夠 訪問的存儲(chǔ)器的所述區(qū)域進(jìn)一步包括:與用于存儲(chǔ)固件代碼的存儲(chǔ)器的所述區(qū)域隔離的用 于存儲(chǔ)所述監(jiān)測信息的存儲(chǔ)器的區(qū)域�����。
23. 根據(jù)權(quán)利要求18所述的方法��,其中,僅監(jiān)測信息在所述移動(dòng)設(shè)備上被取回并更新�。
24. 根據(jù)權(quán)利要求18所述的方法,其中���,所述潛在的異常包括惡意代碼�����。
25. 根據(jù)權(quán)利要求18所述的方法���,其中,從所述更新服務(wù)器取回由所述第一處理單元 利用以監(jiān)測所述第二處理單元的所述代碼或監(jiān)測信息����。
26. -種用于更新移動(dòng)設(shè)備的系統(tǒng)��,所述移動(dòng)設(shè)備包括第一處理單元����、第二處理單元、 和存儲(chǔ)器�����,所述系統(tǒng)包括: 用于在所述移動(dòng)設(shè)備和更新服務(wù)器之間建立連接的模塊; 用于取回要被所述第一處理單元利用以監(jiān)測所述第二處理單元的代碼或監(jiān)測信息的 模塊����; 用于執(zhí)行更新過程以將所述代碼或監(jiān)測信息存儲(chǔ)到對于所述第一處理單元能夠訪問 的存儲(chǔ)器的區(qū)域的模塊;以及 用于確定與所述第二處理單元相關(guān)聯(lián)的運(yùn)行環(huán)境的運(yùn)行條件是否表明潛在的異常的 模塊���,所述潛在的異常操作為試圖隱藏以避開與所述第二處理單元相關(guān)聯(lián)的所述運(yùn)行環(huán) 境�����。
【文檔編號】G06F11/30GK104428786SQ201380028334
【公開日】2015年3月18日 申請日期:2013年6月27日 優(yōu)先權(quán)日:2012年6月29日
【發(fā)明者】I·穆蒂科 申請人:邁克菲公司