存储器扫描方法和装置制造方法及图纸

公开了存储器扫描方法和装置。示例装置包括：走行器，其用于遍历地址转换系统的分页结构；位分析器，其用于确定与分页结构的条目相关联的位是否指示条目最近被存取；地址识别器，其用于当位分析器确定与分页结构的条目相关联的位指示条目最近被存取时确定与条目相关联的地址；以及输出器，其用于将所确定的地址提供给存储器扫描器。

【技术实现步骤摘要】
【国外来华专利技术】存储器扫描方法和装置相关申请本申请要求享有于2015年3月27日提交的题为“MEMORYSCANNINGMETHODSANDAPPARATUS”的、序号为14/671,764的美国专利申请的优先权。序号为14/671,764的美国专利申请的全部内容通过引用并入本文。
本公开总体上涉及计算平台，并且更具体地涉及存储器扫描方法和装置。
技术介绍
恶意软件检测技术包括针对已知指示恶意软件的模式或签名对存储器进行扫描。附图说明图1是根据本公开的教导构建的示例计算平台的图示。图2是图1的示例扫描管理器的示例实现方式的框图。图3示出了与图2的示例邻接映射器相关联的示例地址。图4示出了与图2的示例定序器相关联的示例序列。图5是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。图6是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。图7是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。图8是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。图9是通过执行图5、图6、图7、和/或图8的示例机器可读指令来实现图1和/或图2的示例扫描管理器的示例处理系统的框图。具体实施方式恶意软件检测系统和/或技术涉及针对已知对应于恶意元素(例如，恶意软件、可疑的通信、病毒等)的签名(例如，模式)来扫描计算平台的元素(例如，存储在盘上的文件)。为了避免检测，一些恶意软件对其自身进行伪装，以使得在恶意软件不活动时对恶意软件进行检测很困难。一种这样的伪装恶意软件的技术涉及打包。当被打包时，恶意软件被伪装，以使得恶意软件不展示(至少在打包时)警告恶意软件检测系统在计算平台上存在恶意软件的签名。打包通过压缩原始代码并在恶意软件不活动时保持原始代码被压缩来模糊化恶意软件的原始代码。典型地，为了能够攻击计算平台，恶意软件需要进行解包。存在针对处于正在被解包或以其它方式活动并且攻击计算平台的进程中的恶意软件来扫描系统存储器的方法。然而，这些方法涉及高开销和长扫描间隔，这是由于例如需要扫描大量的存储器以及扫描的定时可能与活动地利用处理资源的其它应用和/或进程重合。也即，检测正在被解包或正处于攻击计算平台的进程中的恶意软件在计算上是昂贵的，并且经常不利地影响性能、用户体验、电池寿命、吞吐量等。本文公开的示例方法和装置通过将存储器扫描(例如，针对恶意软件指示的模式)集中在最近(例如，当前和/或在阈值量的周期或时间内)被存取(例如，读取和/或修改)的存储器的区域上来改进恶意软件检测系统和/或技术。换言之，本文公开的示例方法和装置通过识别最近被存取的存储器的特定区域并且将一个或多个存储器扫描限制到这些最近被存取的存储器的特定区域来改进恶意软件检测系统和/或技术。与最近被存取的存储器的另一区域相比，最近未被存取的存储器的区域不太可能包括恶意软件。例如，与最近未被存取的存储器的区域相比，最近被存取的存储器的区域更有可能自从前一次扫描被修改。因此，本文公开的示例方法和装置避免了计算资源的浪费消耗，否则扫描最近未被存取的存储器会引发计算资源的浪费消耗。本文公开的示例方法和装置将存储器检查集中在最近被存取的存储器区域上，而不是无差别地扫描存储器。因此，本文公开的示例技术被称为按需深度存储器检查(OD-DMI)。本文公开的示例利用诸如地址转换系统的存储器管理系统的方面来识别最近被存取的存储器的区域，一个或多个扫描可以集中于(例如，限定于)该最近被存取的存储器的区域。一般地，地址转换系统提供比在特定机器上物理地可用的地址空间在概念上更大的地址空间，从而为组件(例如，诸如客户机(guest)应用的虚拟组件)提供更大的地址空间来在其中进行操作。地址转换系统经常利用分页结构(例如，页表、页目录等)将虚拟地址(例如，线性地址)转换为物理地址(例如，客户机物理地址和/或主机(host)物理地址)。下面详细描述示例地址转换系统的操作。本文公开的示例与地址转换系统的一个或多个组件进行交互(例如，分析、监测、和/或修改)以高效地确定最近存取了存储器的哪些区域。在本文公开的一些示例中，利用分页结构的一个或多个特定位或标志(例如，存取位(accessedbit)和/或脏位(dirtybit))来识别最近被存取的存储器的区域和/或用于进一步考虑作为最近被存取的存储器的候选。附加地或替代地，本文公开的示例对转换后备缓冲器(TLB)的活动进行监测，以识别最近被存取的存储器的区域和/或用于进一步考虑作为最近被存取的存储器的候选。本文公开的示例为扫描器提供存储器的哪些区域最近被存取的信息，从而使得扫描器能够将一个或多个存储器扫描集中在存储器的特定区域上，从而节省资源并实现更快的扫描。此外，本文公开的示例认识到恶意软件指示的模式或签名可以跨越页边界。因此，本文公开的示例识别与所识别出的最近被存取的存储器的区域相关联的一个或多个邻接。本文公开的示例利用所识别出的邻接将存储器扫描引导到其中恶意软件指示的模式可能已经跨越边界的存储器的区域中。因此，本文公开的示例方法和装置利用与地址转换系统和/或存储器管理系统相关联的信息将一个或多个存储器扫描限定于最近被存取的存储器的(多个)区域和/或与最近被存取的(多个)区域相邻的(多个)区域。换言之，本文公开的示例方法和装置利用与地址转换系统和/或存储器管理系统相关联的信息来实现忽略最近未被存取的存储器的(多个)区域的一个或多个存储器扫描。由于要扫描的存储器的量经由本文公开的示例方法和装置而显著地减少，对应的存储器扫描消耗更少的资源(例如，处理资源和/或活动存储器)，不太可能导致漏报(falsenegative)，并且将更快地识别例如恶意软件指示的模式。图1示出了其中可以实现本文公开的示例的示例计算平台100。图1的示例计算平台100包括安全应用102，其为示例计算平台100提供一个或多个安全措施。图1的示例安全应用102包括根据本公开的教导构建的扫描器104和扫描管理器106。图1的示例安全应用102的任务是保护示例计算平台100免于恶意软件。图1的示例安全应用102维护多个恶意软件指示的模式，其已经被识别(例如，由安全应用102的开发者)为潜在地对应于计算平台100受例如恶意软件感染。示例恶意软件指示的模式对应于的示例恶意软件包括模糊化的(例如，加密和/或打包的)文件、多态恶意软件、和/或无文件的恶意软件，例如，利用反射DLL(动态链接库)注入技术的互联网蠕虫、浏览器漏洞、和/或恶意代码。在图1所示的示例中，示例安全应用102使用的恶意软件指示的模式由与安全应用102相关联的实体(举例来说，例如，安全应用102的开发者)填充(例如，经由通过网络与服务器进行通信)。如下面结合图2详细公开的，计算平台100中的图1的示例扫描管理器106与示例地址转换系统108进行交互以识别最近被存取(例如，读取和/或写入)的物理存储器110的(多个)区域。此外，图1的示例扫描管理器106识别与最近被存取的(多个)区域相邻的(多个)存储器区域。图1的示例扫描管理器106向扫描器104提供与所识别的最近被存取的物理存储器110的(多个)区域以及对应的(多个)相邻区域本文档来自技高网...

【技术保护点】
一种装置，包括：走行器，所述走行器用于遍历地址转换系统的分页结构；位分析器，所述位分析器用于确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取；地址识别器，所述地址识别器用于当所述位分析器确定与所述分页结构的所述条目相关联的位指示所述条目最近被存取时，确定与所述条目相关联的地址；以及输出器，所述输出器用于将所确定的地址提供给存储器扫描器，其中，以下中的至少一个是经由逻辑电路实现的：所述走行器、所述位分析器、所述地址识别器、或所述输出器。

【技术特征摘要】
【国外来华专利技术】2015.03.27 US 14/671,7641.一种装置，包括：走行器，所述走行器用于遍历地址转换系统的分页结构；位分析器，所述位分析器用于确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取；地址识别器，所述地址识别器用于当所述位分析器确定与所述分页结构的所述条目相关联的位指示所述条目最近被存取时，确定与所述条目相关联的地址；以及输出器，所述输出器用于将所确定的地址提供给存储器扫描器，其中，以下中的至少一个是经由逻辑电路实现的：所述走行器、所述位分析器、所述地址识别器、或所述输出器。2.根据权利要求1所定义的装置，其中，所述存储器扫描器将存储器扫描限定于最近被存取的存储器。3.根据权利要求1至2中任一项所定义的装置，还包括寄存器值跟踪器，所述寄存器值跟踪器用于确定指示所述分页结构的根部分的寄存器的最近值。4.根据权利要求3所定义的装置，其中，所述走行器使用所述寄存器的最近值来选择要遍历的所述分页结构的层级。5.根据权利要求1至2中任一项所定义的装置，其中，与所述条目相关联的地址是第一地址，并且所述装置还包括用于识别与所述第一地址相邻的第二地址的相邻地址识别器。6.根据权利要求5所定义的装置，其中，所述输出器与所述第一地址相关联地将所述第二地址提供给所述存储器扫描器。7.根据权利要求1至2中任一项所定义的装置，还包括缓冲器活动跟踪器，所述缓冲器活动跟踪器用于将缓冲器的映射识别为对应于最近被存取的存储器，其中，所述地址识别器根据所述映射的信息来确定第二地址，并且所述输出器将所述第二地址提供给所述存储器扫描器。8.根据权利要求1至2中任一项所定义的装置，还包括保护分配器，所述保护分配器用于：确定第一保护域，以下中的第一个在所述第一保护域下操作：所述走行器、所述位分析器、所述地址识别器、所述输出器、或所述存储器扫描器；以及确定第二保护域，以下中的第二个在所述第二保护域下操作：所述走行器、所述位分析器、所述地址识别器、所述输出器、或所述存储器扫描器。9.根据权利要求8所定义的装置，还包括工作负载卸载器，所述工作负载卸载器用于：选择第一处理组件，所述第一处理组件用于实现以下中的第一个：所述走行器、所述位分析器、所述输出器、或所述存储器扫描器；以及选择不同于所述第一处理组件的第二处理组件，所述第二处理组件用于实现以下中的第二个：所述走行器、所述位分析器、所述输出器、或所述存储器扫描器。10.根据权利要求9所定义的装置，其中，所述保护分配器经由转换表来重新映射虚拟地址，以有助于所述第二处理组件在所述第二域下进行存取。11.一种方法，包括：遍历地址转换系统的分页结构；经由逻辑电路来确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取；以及当与所述分页结构的所述条目相关联的位指示所述条目最近被存取时：经由所述逻辑电路来确定与所述条目相关联的地址；以及将所确定的地址提供给存储器扫描器。12.根据权利要求11所定义的方法，其中，所述存储器扫描器将存储器扫描限定于最近被存取的存储器。13.根据权利要求11至12中任一项所定义的方法，还包括当所述位指示所述条目最近被存取时对所述位进行清零。14.根据权利要求11至12中任一项所定义的方法，还包括：将缓冲器的映射识别为对应于最近被存取的存储器；根据所述映射的信息来确定第二地址；以及将所述第二地址提供给所述存储器扫描器。15.一种有形计算机可读介质，包括指令，所述指令在被执行时使得机器至少进行以下...

【专利技术属性】
技术研发人员：M·勒梅，D·M·德拉姆，龙门，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US