實(shí)時(shí)模塊保護(hù)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的實(shí)施例總體上涉及計(jì)算機(jī)安全和惡意軟件保護(hù)���,并且更具體地,涉及實(shí)時(shí)模塊保護(hù)���。
【背景技術(shù)】
[0002]本機(jī)操作系統(tǒng)服務(wù)可阻止安全軟件在系統(tǒng)的內(nèi)核中安裝任意掛鉤���。因而可防止安全軟件過濾電子設(shè)備的所有行為,包括惡意軟件的潛在惡意行為�。惡意軟件可以包括但不限于,間諜軟件���、根程序病毒包(rootkits)���、密碼竊取器、垃圾郵件源����、網(wǎng)絡(luò)釣魚攻擊源、拒絕服務(wù)攻擊源�、病毒��、記錄器�����、木馬�����、廣告軟件��,或產(chǎn)生惡意行為的任何其他數(shù)字內(nèi)容。
[0003]操作系統(tǒng)的過濾功能可能會(huì)受到限制�,并且可能僅在由操作系統(tǒng)供應(yīng)商所決定的時(shí)間軸上可用。惡意軟件可與安全軟件在相同的層級處操作和駐留�����,尤其是在操作系統(tǒng)內(nèi)核中���,并從而損害操作系統(tǒng)及安全軟件本身的完整性��。
[0004]多種形式的積極(aggressive)內(nèi)核模式惡意軟件篡改用戶模式存儲器以實(shí)現(xiàn)惡意任務(wù)��,例如動(dòng)態(tài)地注入惡意代碼�����、修改用戶模式代碼分段(subsect1n)以改變執(zhí)行路徑并重定向到惡意代碼����、以及修改用戶模式數(shù)據(jù)結(jié)構(gòu)以使安全軟件失效。此外�����,一些惡意軟件可通過篡改進(jìn)程存儲器代碼和數(shù)據(jù)分段以欺騙檢測邏輯來從內(nèi)核攻擊反惡意軟件應(yīng)用程序及進(jìn)程���。
[0005]內(nèi)核模式根程序病毒包及其他惡意軟件采用各種方法從用戶模式應(yīng)用程序和內(nèi)核模式設(shè)備驅(qū)動(dòng)程序中隱藏自身的存在�����。根據(jù)感染所發(fā)生的位置�,所使用的技術(shù)可以改變�。例如,惡意軟件能夠攻擊操作系統(tǒng)的內(nèi)核活動(dòng)進(jìn)程列表從而從列表中清除或取消根程序病毒包或其他惡意軟件進(jìn)程���。其他惡意軟件可篡改進(jìn)程訪問和枚舉函數(shù)的代碼分段�。
【附圖說明】
[0006]為了更完整地理解本發(fā)明的實(shí)施例及其優(yōu)點(diǎn)���,現(xiàn)參考以下與附圖相結(jié)合的書面描述���,其中:
[0007]圖1是用于保護(hù)電子設(shè)備避免惡意軟件的系統(tǒng)的示例實(shí)施例���;
[0008]圖2是用于保護(hù)電子設(shè)備避免惡意軟件的基于虛擬機(jī)監(jiān)視器和基于安全規(guī)則的可配置安全解決方案的系統(tǒng)的示例實(shí)施例;
[0009]圖3是用于保護(hù)電子設(shè)備避免惡意軟件的基于虛擬機(jī)監(jiān)視器的方法的示例實(shí)施例��;
[0010]圖4是用于在電子設(shè)備上使用操作系統(tǒng)下層捕獲來調(diào)節(jié)軟件訪問以保護(hù)存儲器的系統(tǒng)的示例實(shí)施例�����;
[0011]圖5是存儲器映射的示例實(shí)施例的示意圖��;
[0012]圖6是用于使用對電子設(shè)備的嘗試訪問的操作系統(tǒng)下層捕獲來保護(hù)存儲器的方法的示例實(shí)施例�����;
[0013]圖7是用于實(shí)時(shí)模塊保護(hù)的系統(tǒng)的示例操作的示意圖�;
[0014]圖8是用于實(shí)時(shí)模塊保護(hù)的方法的示例實(shí)施例��。
【具體實(shí)施方式】
[0015]圖1是用于保護(hù)電子設(shè)備避免惡意軟件的系統(tǒng)100的示例性實(shí)施例�。系統(tǒng)100可包括操作系統(tǒng)(“Ο/s”)下層(below-0/S)捕獲代理104,捕獲代理104通信地耦合到觸發(fā)事件處理器108���。Ο/S下層捕獲代理104可被配置為捕獲(trap)對電子設(shè)備103的資源106的各種嘗試訪問�。Ο/S下層捕獲代理104可被配置為創(chuàng)建與所捕獲的嘗試訪問相關(guān)聯(lián)的觸發(fā)事件,并將所述觸發(fā)事件發(fā)送給觸發(fā)事件處理器108��。觸發(fā)事件處理器108可被配置為查詢一個(gè)或多個(gè)安全規(guī)則114或保護(hù)服務(wù)器102��,以確定如何處理所述觸發(fā)事件���。觸發(fā)事件處理器108還可被配置為評估所述觸發(fā)事件的傾向是惡意軟件或顛覆電子設(shè)備103的資源或操作的惡意嘗試的指示���。此外,觸發(fā)事件處理器108可被配置為向Ο/S下層捕獲代理104提供是否應(yīng)當(dāng)允許或拒絕觸發(fā)事件的確定��,或者可被配置為產(chǎn)生另一糾正動(dòng)作���。
[0016]可在比電子設(shè)備103中的操作系統(tǒng)更低的功能層級處實(shí)現(xiàn)Ο/S下層捕獲代理104����。例如��,Ο/S下層捕獲代理104可截獲操作系統(tǒng)112���、驅(qū)動(dòng)程序111或應(yīng)用程序110對資源106的嘗試訪問�。Ο/S下層捕獲代理104可在電子設(shè)備103的處理器上運(yùn)行而無需使用操作系統(tǒng)。在一個(gè)實(shí)施例中����,Ο/S下層捕獲代理104可運(yùn)行于裸機(jī)環(huán)境或執(zhí)行層級。此外����,Ο/S下層捕獲代理104可運(yùn)行于由電子設(shè)備103的處理器所限定的、比電子設(shè)備103的所有操作系統(tǒng)更高的執(zhí)行優(yōu)先級別��。例如�����,在使用保護(hù)環(huán)的分級保護(hù)域模型的上下文中(其中較小的數(shù)字代表較高的優(yōu)先級)��,操作系統(tǒng)112可運(yùn)行于“環(huán)0”�,而Ο/S下層捕獲代理104可運(yùn)行于“環(huán)-1”。驅(qū)動(dòng)程序111或應(yīng)用程序110可運(yùn)行于“環(huán)O”或“環(huán)3”����。在處理器的一些實(shí)施例中�����,“環(huán)-1”的概念可被稱為“環(huán)O特權(quán)模式”,并且“環(huán)O”的概念可被稱為“環(huán)O非特權(quán)模式”�����。相比“環(huán)O”或“環(huán)O特權(quán)模式”��,“環(huán)-1”或“環(huán)O特權(quán)模式”下的操作可能需要更多的額外開銷和費(fèi)用���。電子設(shè)備103的操作系統(tǒng)可運(yùn)行于環(huán)O���。在諸如INTEL處理器的處理器中,“VMX Root”模式可相當(dāng)于“環(huán)O特權(quán)模式”��,并且“VMX Non-root”模式可相當(dāng)于“環(huán) O”�����。
[0017]Ο/S下層捕獲代理104可對運(yùn)行于“環(huán)O”或更高的實(shí)體透明地操作��。因此����,無論Ο/S下層捕獲代理104是否存在,都可由操作系統(tǒng)112或另一實(shí)體以相同的方式請求對資源106的嘗試訪問。當(dāng)執(zhí)行所接收的動(dòng)作時(shí)�����,Ο/S下層捕獲代理104可允許所述請求發(fā)生�、可拒絕所述請求,或者可采取其他糾正動(dòng)作�����。為了拒絕所述請求��,Ο/s下層捕獲代理104可簡單地不把請求發(fā)送給資源106或處理器���,或者可向所述請求提供欺騙的或虛假的應(yīng)答��,以使操作系統(tǒng)112相信該動(dòng)作已經(jīng)發(fā)生����。
[0018]通過在“環(huán)-1”�����、在比電子設(shè)備103的相關(guān)操作系統(tǒng)更高的優(yōu)先級或低于電子設(shè)備103的相關(guān)操作系統(tǒng)運(yùn)行��,Ο/S下層捕獲代理104可避免困擾諸如操作系統(tǒng)112的操作系統(tǒng)的大多數(shù)惡意軟件�����。惡意軟件可欺騙在“環(huán)O”運(yùn)行的操作系統(tǒng)112或甚至反惡意軟件的軟件���,這是因?yàn)閻阂廛浖部稍凇碍h(huán)O”優(yōu)先級運(yùn)行����。然而�����,如果要執(zhí)行惡意活動(dòng)�����,電子設(shè)備103上的惡意軟件仍然必須做出對資源106的請求�。因而,捕獲鏈接到敏感資源的操作可由在電子設(shè)備103中的操作系統(tǒng)的層級以下運(yùn)行的捕獲代理更好地完成�����。
[0019]可以任何合適的方式實(shí)現(xiàn)Ο/S下層捕獲代理104���。在一個(gè)實(shí)施例中�����,可在虛擬機(jī)監(jiān)視器中實(shí)現(xiàn)Ο/s下層捕獲代理104�。如針對Ο/S下層捕獲代理104所描述的,這種實(shí)施例可在操作系統(tǒng)的層級以下運(yùn)行�����。例如�����,在下面的圖2的描述中的可找到對安全虛擬機(jī)監(jiān)視器216的這種實(shí)施例的示例的描述��。在另一實(shí)施例中����,可在固件中實(shí)現(xiàn)Ο/S下層捕獲代理104。在又一實(shí)施例中�����,可在微代碼中實(shí)現(xiàn)Ο/S下層捕獲代理104��。可在這些實(shí)施例的任意適合的組合中實(shí)現(xiàn)Ο/S下層捕獲代理104���。
[0020]觸發(fā)事件處理器108可由通信地耦合在一起的一個(gè)或多個(gè)事件處理器或安全代理實(shí)現(xiàn)。觸發(fā)事件處理器108和Ο/S下層捕獲代理104可在同一安全代理中實(shí)現(xiàn)��。在一個(gè)實(shí)施例中���,觸發(fā)事件處理器108可運(yùn)行于與Ο/S下層捕獲代理相同的優(yōu)先級環(huán)���。在另一實(shí)施例中,觸發(fā)事件處理器108可運(yùn)行于與操作系統(tǒng)112��、驅(qū)動(dòng)程序111或應(yīng)用程序110相同的優(yōu)先級��。在又一實(shí)施例中�,觸發(fā)事件處理器108可由兩個(gè)或更多個(gè)觸發(fā)事件處理器實(shí)現(xiàn),其中至少一個(gè)觸發(fā)事件處理器運(yùn)行于與Ο/S下層捕獲代理相同的優(yōu)先級環(huán)���,并且至少一個(gè)觸發(fā)事件處理器運(yùn)行于操作系統(tǒng)112�、驅(qū)動(dòng)程序111或應(yīng)程序用110的層級�����。通過在Ο/S下層捕獲代理104的層級運(yùn)行,觸發(fā)事件處理器108可類似地避免“環(huán)O”或“環(huán)3”惡意軟件感染代理本身的問題����。然而,與操作系統(tǒng)112����、驅(qū)動(dòng)程序111或應(yīng)用程序110 —起在“環(huán)O”或“環(huán)3”運(yùn)行的觸發(fā)事件處理器108可以能夠提供關(guān)于對資源106的嘗試訪問的上下文信息,該上下文信息是從“環(huán)-1”代理的角度來看無法獲得的�。
[0021]觸發(fā)事件處理器108可以以任何合適的方式實(shí)現(xiàn)。在一個(gè)實(shí)施例中�����,觸發(fā)事件處理器108可在虛擬機(jī)監(jiān)視器或虛擬機(jī)監(jiān)視器安全代理中實(shí)現(xiàn)����。這種實(shí)施例可在操作系統(tǒng)的層級以下運(yùn)行。例如��,在下面的圖2的描述中的可找到對安全虛擬機(jī)監(jiān)視器216和安全虛擬機(jī)監(jiān)視器安全代理217的這種實(shí)施例的示例的描述���。在另一實(shí)施例中�����,觸發(fā)事件處理器108可全部地或部分地在固件中實(shí)現(xiàn)����。如針對觸發(fā)事件處理器108所描述的,這種實(shí)施例可在操作系統(tǒng)的層級以下運(yùn)行����。在又一實(shí)施例中����,觸發(fā)事件處理器108可在微代碼中實(shí)現(xiàn)。如針對觸發(fā)事件處理器108所描述的�����,這種實(shí)施方式可在低于操作系統(tǒng)的層級以下運(yùn)行�。觸發(fā)事件處理器108可在這些實(shí)施例的組合中實(shí)現(xiàn)。
[0022]在一個(gè)實(shí)施例中�,觸發(fā)事件處理器108可在多個(gè)模塊中實(shí)現(xiàn),其中�,至少一個(gè)這種模塊運(yùn)行于操作系統(tǒng)以下的層級,并且至少一個(gè)這種模塊運(yùn)行于操作系統(tǒng)之內(nèi)的層級����。每個(gè)這種模塊均可被配置為彼此進(jìn)行通信���。
[0023]在一個(gè)實(shí)施例中,操作系統(tǒng)下層捕獲代理104和/或觸發(fā)事件處理器108可在電子設(shè)備103的裸露的金屬層運(yùn)行��。操作系統(tǒng)下層捕獲代理104和/或觸發(fā)事件處理器108可運(yùn)行而無需使用它們與它們被配置為要進(jìn)行保護(hù)的資源106之間的操作系統(tǒng)���。資源106可包括處理器�、處理器的功能部件��、存儲器���、諸如數(shù)據(jù)結(jié)構(gòu)的駐留在存儲器中的實(shí)體���,或者諸如函數(shù)、進(jìn)程或應(yīng)用程序的駐留在存儲器中以供由處理器執(zhí)行的實(shí)體����。資源106可包括包含電子設(shè)備103的資源的系統(tǒng)資源。此外�����,資源106可被指定為受保護(hù)的,從而通過例如操作系統(tǒng)下層捕獲代理104���、觸發(fā)事件處理器108或任何合適的反惡意軟件機(jī)制或模塊的操作進(jìn)行保護(hù)�����。因此�����,資源106可包括受保護(hù)的系統(tǒng)資源���。操作系統(tǒng)下層捕獲代理104和/或觸發(fā)事件處理器108可直接在電子設(shè)備103的硬件上運(yùn)行�����。操作系統(tǒng)下層捕獲代理104和/或觸發(fā)事件處理器108可不需要使用諸如操作系統(tǒng)112的操作系統(tǒng)來執(zhí)行或獲得對資源106的完全訪問���。
[0024]電子設(shè)備103上可以存在其他操作系統(tǒng)����,這些操作系統(tǒng)不參與處在操作系統(tǒng)112��、操作系統(tǒng)下層捕獲代理104和觸發(fā)事件處理器108、以及資源106的層級處的多個(gè)實(shí)體之間的關(guān)系����。例如,預(yù)引導(dǎo)操作系統(tǒng)可安全地啟動(dòng)電子設(shè)備的一些部分��,但不參與電子設(shè)備在處理來自應(yīng)用程序110��、驅(qū)動(dòng)程序111和操作系統(tǒng)112模式的對資源106的請求這方面的正常操作�。在另一示例中,電子設(shè)備103可包含主板組件�����、插入式板卡���、外圍設(shè)備或其他組件���,這些組件包含它們自己的操作系統(tǒng)和處理器組,以執(zhí)行處于操作系統(tǒng)112���、操作系統(tǒng)下層捕獲代理104和觸發(fā)事件處理器108與資源106的層級處的實(shí)體之間的關(guān)系之外的功能��。這些操作系統(tǒng)可為嵌入式操作系統(tǒng)����。這些操作系統(tǒng)中的任何一個(gè)均可不用于執(zhí)行操作系統(tǒng)下層捕獲代理104和觸發(fā)事件處理器108。此外���,這些操作系統(tǒng)中的任何一個(gè)均可不訪問由捕獲代理104和觸發(fā)事件處理器108所保護(hù)的資源106�����。
[0025]操作系統(tǒng)112�、驅(qū)動(dòng)程序11或應(yīng)用呈現(xiàn)110中的每一個(gè)可通過任何合適的模塊���、可執(zhí)行文件���、腳本、邏輯��、指令�、硬件���、軟件�����、固件或它們的組合來實(shí)現(xiàn)�����,以在操作100上運(yùn)行��。
[0026]系統(tǒng)100可包括一個(gè)或多個(gè)操作系統(tǒng)下層捕獲代理104和一個(gè)或多個(gè)觸發(fā)事件處理器108的任意組合����。可在以下各圖中的對捕獲代理�、事件處理器和安全代理的描述中找到對操作系統(tǒng)下層捕獲代理104和觸發(fā)事件處理器108的描述。
[0027]資源106可包括電子設(shè)備的任何合適的資源���。例如�����,資源106可包括寄存器��、存儲器�、控制器或I/o設(shè)備��。例如���,可在對圖2的系統(tǒng)資源214或圖4的虛擬存儲器430或物理存儲器403的描述中找到對資源106的示例實(shí)施例的描述����。
[0028]安全規(guī)則114可包括任何合適的規(guī)則、邏輯���、命令���、指令、標(biāo)志或用于告知Ο/S下層捕獲代理104要捕獲什么動(dòng)作或用于告知觸發(fā)事件處理器108基于所捕獲的動(dòng)作來處理事件的其他機(jī)制����。觸發(fā)事件處理器108可被配置為向Ο/S下層捕獲代理提供安全規(guī)則114中的一個(gè)或多個(gè)。例如��,可在對圖2中的安全規(guī)則222�、或安全規(guī)則421或安全規(guī)則408的描述中找到對安全規(guī)則114中的一些或全部的示例實(shí)施例的描述。
[0029]內(nèi)核模式和用戶模式實(shí)體(例如系統(tǒng)100的應(yīng)用程序110����、驅(qū)動(dòng)程序111和操作系統(tǒng)112)可以任何合適的方式實(shí)現(xiàn)���。例如���,可在以下對圖2的應(yīng)用程序210���、驅(qū)動(dòng)程序211和操作系統(tǒng)212或圖4的應(yīng)用程序410、驅(qū)動(dòng)程序411和操作系統(tǒng)413的描述中找到對系統(tǒng)100的應(yīng)用程序110��、驅(qū)動(dòng)程序111和操作系統(tǒng)112的示例實(shí)施例的描述���。
[0030]電子設(shè)備103可以任何合適的方式實(shí)現(xiàn)�����,例如計(jì)算機(jī)�、個(gè)人數(shù)字助理���、電話�����、移動(dòng)設(shè)備��、片上系統(tǒng)��、服務(wù)器或可配置以解釋和/或執(zhí)行程序指令和/或進(jìn)程數(shù)據(jù)的任何其他設(shè)備��。例如�����,可在以下對圖2的電子設(shè)備204或圖4中的電子設(shè)備401的描述中找到對電子設(shè)備103的示例實(shí)施例的描述��。
[0031]系統(tǒng)100可在用于捕獲對在電子設(shè)備103的操作系統(tǒng)以下的層級處的資源的嘗試訪問的任何合適的系統(tǒng)中實(shí)現(xiàn)�����。系統(tǒng)100也可在用于通過查詢安全規(guī)則以確定所嘗試的訪問是否是惡意的來處理所嘗試的訪問的任何合適的單元中實(shí)現(xiàn)����。例如,系統(tǒng)100可由下面的圖2-圖8中所描述的系統(tǒng)和方法200�����、300���、400����、500、600���、700和800實(shí)現(xiàn)。
[0032]圖2是用于保護(hù)電子設(shè)備避免惡意軟件的基于虛擬機(jī)監(jiān)視器和基于安全規(guī)則的可配置安全解決方案的系統(tǒng)200的示例實(shí)施例����。系統(tǒng)200可為系統(tǒng)100的示例實(shí)施例,其在虛擬機(jī)監(jiān)視器中實(shí)現(xiàn)系統(tǒng)100的某些元件���。系統(tǒng)200可包括由可配置安全解決方案保護(hù)而避免惡意軟件的電子設(shè)備204���。系統(tǒng)200的可配置安全解決方案可包括在所有操作系統(tǒng)下層運(yùn)行的安全代理、安全虛擬機(jī)監(jiān)視器��、基于云的安全代理和Ο/S內(nèi)行為安全代理����。0/S下層安全代理和安全虛擬機(jī)監(jiān)視器可被配置為防護(hù)對電子設(shè)備204的系統(tǒng)資源(包括由0/S內(nèi)行為安全代理所使用的資源)的訪問。ο/s下層安全代理可在安全虛擬機(jī)監(jiān)視器中運(yùn)行��?��;谠频陌踩砜杀慌渲脼橄颚?s下層安全代理和ο/s內(nèi)行為安全代理提供惡意軟件檢測信息�����,并從安全虛擬機(jī)監(jiān)視器和Ο/s內(nèi)行為安全代理接收關(guān)于可能與惡意軟件相關(guān)聯(lián)的可疑行為的信息����。ο/s內(nèi)行為安全代理可被配置為針對在電子設(shè)備上運(yùn)行的惡意軟件的痕跡掃描電子設(shè)備204。系統(tǒng)200可包括一個(gè)或多個(gè)Ο/S下層安全代理�,所述一個(gè)或多個(gè)Ο/S下層安全代理被配置為捕獲對電子設(shè)備204的資源訪問的嘗試使用、生成對應(yīng)于所述嘗試的觸發(fā)事件�、查詢關(guān)于所述觸發(fā)事件的安全規(guī)則、并且如果有必要?jiǎng)t采取關(guān)于所述嘗試的糾正動(dòng)作��。
[0033]在一個(gè)實(shí)施例中�����,系統(tǒng)200可包括通信地耦合到一個(gè)或多個(gè)Ο/S內(nèi)安全代理218和安全虛擬機(jī)監(jiān)視器(“SVMM”)安全代理217的保護(hù)服務(wù)器202��。SVMM安全代理217可駐留在SVMM 216中�。SVMM 216可駐留在電子設(shè)備204中并運(yùn)行在電子設(shè)備204上。Ο/S內(nèi)安全代理218和SVMM安全代理217可通信地耦合���。保護(hù)服務(wù)器202��、0/S內(nèi)安全代理218��、SVMM安全代理217和SVMM 216可被配置為保護(hù)電子設(shè)備204免遭惡意軟件的感染�。
[0034]SVMM安全代理217可以是圖中的觸發(fā)事件處理器108的示例實(shí)施例。SVMM 216可以是圖1的Ο/s下層捕獲代理104的示例實(shí)施例��。
[0035]電子設(shè)備204可包括親合到處理器208的存儲器206��。電子設(shè)備204可包括用于任何合適的目的而在電子設(shè)備上執(zhí)行的一個(gè)或多個(gè)應(yīng)用呈現(xiàn)210或驅(qū)動(dòng)程序211����。電子設(shè)備204可包括操作系統(tǒng)212�����。操作系統(tǒng)212可被配置為向應(yīng)用程序210或驅(qū)動(dòng)程序211提供對電子設(shè)備204的系統(tǒng)資源214的訪問��。SVMM 216可被配置為截獲操作系統(tǒng)212對系統(tǒng)資源214的這種調(diào)用��。SVMM 216和SVMM安全代理217可在操作系統(tǒng)212的層級以下運(yùn)行�����。例如���,SVMM 216和SVMM安全代理217可以特權(quán)模式(例如��,“環(huán)-1”直接在處理器208上運(yùn)行�����。
[0036]處理器208可包括例如微處理器��、微控制器����、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)��、或被配置為解釋和/或執(zhí)行程序指令和/或進(jìn)程數(shù)據(jù)的任何其他數(shù)字電路或模擬電路��。在一些實(shí)施例中�����,處理器208可解釋和/或執(zhí)行被存儲在存儲器206中的程序指令和/或進(jìn)程數(shù)據(jù)�����。存儲器206可部分地或整體地被配置為應(yīng)用程序存儲器�����、系統(tǒng)存儲器、或兩者����。存儲器206可包括被配置為持有和/或容納一個(gè)或多個(gè)存儲器模塊的任何系統(tǒng)、設(shè)備或裝置��。每個(gè)存儲器模塊可包括被配置為將程序指令和/或數(shù)據(jù)保留一段時(shí)間的任何系統(tǒng)�����、設(shè)備或裝置(例如��,計(jì)算機(jī)可讀存儲介質(zhì))�。用于配置系統(tǒng)200的操作的指令����、邏輯或數(shù)據(jù)(例如,對諸如SVMM 216����、SVMM安全代理217以及Ο/S內(nèi)安全代理218的組件的配置)可駐留在存儲器206中,以由處理器208執(zhí)行���。
[0037]存儲器208可執(zhí)行要由處理器的一個(gè)或多個(gè)內(nèi)核執(zhí)行的一個(gè)或多個(gè)代碼指令�����。處理器內(nèi)核可遵循由代碼指令所指示的指令的程序順序����。每個(gè)代碼指令可由處理器的一個(gè)或多個(gè)解碼器來處理。解碼器可生成諸如預(yù)先確定格式的固定寬度的微操作這樣的微操作以作為其輸出����,或者可生成反映原始代碼指令的其他指令、微指令或控制信號���。處理器208還可包括寄存器重命名邏輯和調(diào)度邏輯�����,其通常分配資源并排列與轉(zhuǎn)換指令相對應(yīng)的操作以用于執(zhí)行��。在完成由所述代碼指令所指定的操作的執(zhí)行后����,處理器208內(nèi)的后端邏輯可使指令退出(retire)�。在一個(gè)實(shí)施例中,處理器208可允許無序執(zhí)行但需要指令有序退出�。處理器208內(nèi)的退出邏輯可采取本領(lǐng)域技術(shù)人員已知的各種形式(例如�����,重新排序緩沖器等)����。因此在代碼執(zhí)行過程中�,至少在由解碼器所生成的輸出、由寄存器重命名邏輯所利用的硬件寄存器和表格以及由執(zhí)行邏輯所修改的任何寄存器方面�����,處理器208的處理器內(nèi)核30發(fā)生變換�����。
[0038]保護(hù)服務(wù)器202可在網(wǎng)絡(luò)244上運(yùn)行�。在網(wǎng)絡(luò)244上運(yùn)行的保護(hù)服務(wù)器202可實(shí)現(xiàn)云計(jì)算方案�����。保護(hù)服務(wù)器202可被配置為與電子設(shè)備204的元件進(jìn)行通信來更新惡意軟件檢測規(guī)則和信息�。保護(hù)服務(wù)器202可被配置為接收關(guān)于源自于電子設(shè)備204的可疑活動(dòng)的信息,并確定這種可疑活動(dòng)是否是惡意軟件感染的指示���。操作系統(tǒng)212可包括一個(gè)或多個(gè)Ο/S內(nèi)安全代理218��。Ο/S內(nèi)安全代理218可被配置為從保護(hù)服務(wù)器202接收監(jiān)視和檢測規(guī)則�����,例如Ο/S內(nèi)安全規(guī)則220���。Ο/S內(nèi)安全代理218可被配置為使用由保護(hù)服務(wù)器202接收到的Ο/S內(nèi)安全規(guī)則220來監(jiān)視和阻止電子設(shè)備上的可疑活動(dòng)��。Ο/S內(nèi)安全代理218可被配置為將檢測到的可疑活動(dòng)報(bào)告給保護(hù)服務(wù)器202��。Ο/S內(nèi)安全代理218可被配置為阻止惡意軟件操作并向保護(hù)服務(wù)器202報(bào)告這種阻止���。如果系統(tǒng)200中存在一個(gè)以上的0/S內(nèi)安全代理218,則每個(gè)Ο/S內(nèi)安全代理218可被配置為執(zhí)行捕獲�����、證實(shí)或與Ο/S內(nèi)安全代理218相關(guān)聯(lián)的其他任務(wù)的指定部分�。這些部分可由操作系統(tǒng)下層安全代理定義。例如�,一個(gè)Ο/S內(nèi)安全代理218可證實(shí)或調(diào)查MOV指令,而另一 Ο/S內(nèi)安全代理218可證實(shí)或調(diào)查JMP指令�����。0/S內(nèi)安全代理218可被配置為確定存儲器中特定頁的生命周期。例如�,0/S內(nèi)安全代理218可知道通常由操作系統(tǒng)212所使用的用來分配存儲器的頁的過程和步驟。類似地�����,0/S內(nèi)安全代理218可知道通常由操作系統(tǒng)212所使用的將應(yīng)用程序的映像加載到其加載程序中的過程和步驟�����。這種過程可遵循操作的靜態(tài)模式���。因此����,0/S內(nèi)安全代理218可被配置為追蹤操作系統(tǒng)212的操作以確定是否遵循了給定的動(dòng)作標(biāo)準(zhǔn)規(guī)程��。0/S內(nèi)安全代理218可與SVMM安全代理217通信�����,以確定由SVMM安全代理217所捕獲的操作是否生成了由0/S內(nèi)安全代理218所觀察到的對應(yīng)的預(yù)期行為�。差異可指示惡意軟件已試圖執(zhí)行在操作系統(tǒng)212的正常操作之外的系統(tǒng)功能。因此�����,例如0/S內(nèi)安全代理218和SVMM安全代理217可確定所討論的頁是由惡意軟件直接加載到存儲器中���,還是由操作系統(tǒng)加載程序加載�。這種行為可使得0/S內(nèi)安全代理218或SVMM安全代理217向保護(hù)服務(wù)器202報(bào)告信息�,采用更具侵略性的捕獲和檢查,或采取任何其他糾正動(dòng)作��。
[0039]在一個(gè)實(shí)施例中�,0/S內(nèi)安全代理219可被配置為通過將其自身嵌入到操作系統(tǒng)212中而提供上下文信息。例如�,0/S內(nèi)安全代理219可被配置為將其自身或子組件注冊(register)為驅(qū)動(dòng)程序過濾器,并將其自身附接到主驅(qū)動(dòng)程序來確定該驅(qū)動(dòng)程序看到或看不到什么��。例如���,通過作為附接到TFS.SYS的過濾器�,0/S內(nèi)安全代理219可被配置為報(bào)告操作系統(tǒng)212驅(qū)動(dòng)程序所看到的文件I/O操作�。
[0040]在另一實(shí)施例中,0/S內(nèi)安全代理219可被配置為將從操作系統(tǒng)219內(nèi)觀察到的這些信息提供給SVMM安全代理216或其它0/S下層安全代理,以用于與在操作系統(tǒng)下層觀察到的信息進(jìn)行比較�。兩組信息之間的差異可表明存在試圖隱藏其自身的惡意軟件。例如�����,0/S內(nèi)安全代理219可掛鉤或過濾NDIS.SYS,并監(jiān)視對特