一种用于保护电子设备的技术,包括捕获对所述电子设备的受保护的系统资源的访问的尝试,确定与所述尝试相关联的模块,确定与所述尝试相关联的所述模块的分段,所述分段包括与所述尝试相关联的存储器位置,基于对所述模块的确定和对所述分段的确定,访问安全规则以确定是否允许所尝试的访问,并且基于所述安全规则而处理所述尝试。所述模块包括多个不同的分段。
【技术实现步骤摘要】
【国外来华专利技术】实时模块保护
本专利技术的实施例总体上涉及计算机安全和恶意软件保护,并且更具体地,涉及实时模块保护。
技术介绍
本机操作系统服务可阻止安全软件在系统的内核中安装任意挂钩。因而可防止安全软件过滤电子设备的所有行为,包括恶意软件的潜在恶意行为。恶意软件可以包括但不限于,间谍软件、根程序病毒包(rootkits)、密码窃取器、垃圾邮件源、网络钓鱼攻击源、拒绝服务攻击源、病毒、记录器、木马、广告软件,或产生恶意行为的任何其他数字内容。操作系统的过滤功能可能会受到限制,并且可能仅在由操作系统供应商所决定的时间轴上可用。恶意软件可与安全软件在相同的层级处操作和驻留,尤其是在操作系统内核中,并从而损害操作系统及安全软件本身的完整性。多种形式的积极(aggressive)内核模式恶意软件篡改用户模式存储器以实现恶意任务,例如动态地注入恶意代码、修改用户模式代码分段(subsection)以改变执行路径并重定向到恶意代码、以及修改用户模式数据结构以使安全软件失效。此外,一些恶意软件可通过篡改进程存储器代码和数据分段以欺骗检测逻辑来从内核攻击反恶意软件应用程序及进程。内核模式根程序病毒包及其他恶意软件采用各种方法从用户模式应用程序和内核模式设备驱动程序中隐藏自身的存在。根据感染所发生的位置,所使用的技术可以改变。例如,恶意软件能够攻击操作系统的内核活动进程列表从而从列表中清除或取消根程序病毒包或其他恶意软件进程。其他恶意软件可篡改进程访问和枚举函数的代码分段。附图说明为了更完整地理解本专利技术的实施例及其优点,现参考以下与附图相结合的书面描述,其中:图1是用于保护电子设备避免恶意软件的系统的示例实施例;图2是用于保护电子设备避免恶意软件的基于虚拟机监视器和基于安全规则的可配置安全解决方案的系统的示例实施例;图3是用于保护电子设备避免恶意软件的基于虚拟机监视器的方法的示例实施例;图4是用于在电子设备上使用操作系统下层捕获来调节软件访问以保护存储器的系统的示例实施例;图5是存储器映射的示例实施例的示意图;图6是用于使用对电子设备的尝试访问的操作系统下层捕获来保护存储器的方法的示例实施例;图7是用于实时模块保护的系统的示例操作的示意图;图8是用于实时模块保护的方法的示例实施例。具体实施方式图1是用于保护电子设备避免恶意软件的系统100的示例性实施例。系统100可包括操作系统(“O/S”)下层(below-O/S)捕获代理104,捕获代理104通信地耦合到触发事件处理器108。O/S下层捕获代理104可被配置为捕获(trap)对电子设备103的资源106的各种尝试访问。O/S下层捕获代理104可被配置为创建与所捕获的尝试访问相关联的触发事件,并将所述触发事件发送给触发事件处理器108。触发事件处理器108可被配置为查询一个或多个安全规则114或保护服务器102,以确定如何处理所述触发事件。触发事件处理器108还可被配置为评估所述触发事件的倾向是恶意软件或颠覆电子设备103的资源或操作的恶意尝试的指示。此外,触发事件处理器108可被配置为向O/S下层捕获代理104提供是否应当允许或拒绝触发事件的确定,或者可被配置为产生另一纠正动作。可在比电子设备103中的操作系统更低的功能层级处实现O/S下层捕获代理104。例如,O/S下层捕获代理104可截获操作系统112、驱动程序111或应用程序110对资源106的尝试访问。O/S下层捕获代理104可在电子设备103的处理器上运行而无需使用操作系统。在一个实施例中,O/S下层捕获代理104可运行于裸机环境或执行层级。此外,O/S下层捕获代理104可运行于由电子设备103的处理器所限定的、比电子设备103的所有操作系统更高的执行优先级别。例如,在使用保护环的分级保护域模型的上下文中(其中较小的数字代表较高的优先级),操作系统112可运行于“环0”,而O/S下层捕获代理104可运行于“环-1”。驱动程序111或应用程序110可运行于“环0”或“环3”。在处理器的一些实施例中,“环-1”的概念可被称为“环0特权模式”,并且“环0”的概念可被称为“环0非特权模式”。相比“环0”或“环0特权模式”,“环-1”或“环0特权模式”下的操作可能需要更多的额外开销和费用。电子设备103的操作系统可运行于环0。在诸如INTEL处理器的处理器中,“VMXRoot”模式可相当于“环0特权模式”,并且“VMXNon-root”模式可相当于“环0”。O/S下层捕获代理104可对运行于“环0”或更高的实体透明地操作。因此,无论O/S下层捕获代理104是否存在,都可由操作系统112或另一实体以相同的方式请求对资源106的尝试访问。当执行所接收的动作时,O/S下层捕获代理104可允许所述请求发生、可拒绝所述请求,或者可采取其他纠正动作。为了拒绝所述请求,O/S下层捕获代理104可简单地不把请求发送给资源106或处理器,或者可向所述请求提供欺骗的或虚假的应答,以使操作系统112相信该动作已经发生。通过在“环-1”、在比电子设备103的相关操作系统更高的优先级或低于电子设备103的相关操作系统运行,O/S下层捕获代理104可避免困扰诸如操作系统112的操作系统的大多数恶意软件。恶意软件可欺骗在“环0”运行的操作系统112或甚至反恶意软件的软件,这是因为恶意软件也可在“环0”优先级运行。然而,如果要执行恶意活动,电子设备103上的恶意软件仍然必须做出对资源106的请求。因而,捕获链接到敏感资源的操作可由在电子设备103中的操作系统的层级以下运行的捕获代理更好地完成。可以任何合适的方式实现O/S下层捕获代理104。在一个实施例中,可在虚拟机监视器中实现O/S下层捕获代理104。如针对O/S下层捕获代理104所描述的,这种实施例可在操作系统的层级以下运行。例如,在下面的图2的描述中的可找到对安全虚拟机监视器216的这种实施例的示例的描述。在另一实施例中,可在固件中实现O/S下层捕获代理104。在又一实施例中,可在微代码中实现O/S下层捕获代理104。可在这些实施例的任意适合的组合中实现O/S下层捕获代理104。触发事件处理器108可由通信地耦合在一起的一个或多个事件处理器或安全代理实现。触发事件处理器108和O/S下层捕获代理104可在同一安全代理中实现。在一个实施例中,触发事件处理器108可运行于与O/S下层捕获代理相同的优先级环。在另一实施例中,触发事件处理器108可运行于与操作系统112、驱动程序111或应用程序110相同的优先级。在又一实施例中,触发事件处理器108可由两个或更多个触发事件处理器实现,其中至少一个触发事件处理器运行于与O/S下层捕获代理相同的优先级环,并且至少一个触发事件处理器运行于操作系统112、驱动程序111或应程序用110的层级。通过在O/S下层捕获代理104的层级运行,触发事件处理器108可类似地避免“环0”或“环3”恶意软件感染代理本身的问题。然而,与操作系统112、驱动程序111或应用程序110一起在“环0”或“环3”运行的触发事件处理器108可以能够提供关于对资源106的尝试访问的上下文信息,该上下文信息是从“环-1”代理的角度来看无法获得的。触发事件处理器108可以以任何合适的方式实现。本文档来自技高网...
【技术保护点】
一种用于保护电子设备的方法,包括:捕获对所述电子设备的受保护的系统资源的访问的尝试;确定与所述尝试相关联的模块,所述模块包括多个不同的分段;确定与所述尝试相关联的所述模块的分段,所述分段包括与所述尝试相关联的存储器位置;基于对所述模块的确定和对所述分段的确定,访问安全规则以确定是否允许所尝试的访问;并且基于所述安全规则而处理所述尝试。
【技术特征摘要】
【国外来华专利技术】2012.10.19 US 13/656,4361.一种用于保护电子设备的方法,包括:捕获对所述电子设备的受保护的系统资源的访问的尝试;确定与所述尝试相关联的模块,所述模块包括多个不同的分段;确定与所述尝试相关联的所述模块的分段,所述分段包括与所述尝试相关联的存储器位置,包括:确定与包括引起所述尝试的指令地址的范围相对应的字节串,所述范围包括在所述指令地址周围的定义的数量的字节;以及将所述字节串与安全规则中的分段的映射进行比较;基于对所述模块的确定和对所述分段的确定,访问安全规则以确定是否允许所尝试的访问;并且基于所述安全规则而处理所述尝试。2.根据权利要求1所述的方法,其中:所述捕获是在所述电子设备的所有操作系统以下的层级处进行的;并且处理所述尝试是至少部分地在所述电子设备的所有操作系统以下的层级处进行的。3.根据权利要求1所述的方法,其中,所述存储器位置识别所述尝试的起源点。4.根据权利要求1所述的方法,还包括:识别另一存储器位置,所述另一存储器位置识别所述尝试的目标点;以及进一步基于所述尝试的目标点访问所述安全规则以确定是否允许所述尝试。5.根据权利要求1所述的方法,还包括:识别另一分段作为所述尝试的目标并且作为数据分段;以及进一步基于对另一分段作为所述尝试的目标并且作为数据分段的所述识别,访问所述安全规则以确定是否允许所述尝试。6.根据权利要求1所述的方法,还包括:识别另一分段作为所述尝试的目标并且作为头分段;以及进一步基于对另一分段作为所述尝试的目标并且作为头分段的...
【专利技术属性】
技术研发人员:A·卡普尔,J·L·爱德华兹,C·施穆加尔,V·科诺比弗,M·休斯,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。