公开了用于将软件组件列入白名单的方法和系统。在第一操作环境下,可收集与第一加载和运行软件组件有关的运行时信息。可将所收集的信息传递给在与第一操作环境分离的第二操作环境中进行操作的第二软件组件。所收集的运行时信息可与有关第一软件组件的已验证信息集进行比较。描述了其它实施例并要求其权利。
【技术实现步骤摘要】
本专利技术涉及用于将软件组件列入白名单的方法和系统。
技术介绍
根工具包(root-kit)和恶意软件可避开在软件平台上进行操作的安全软件的检测。一旦被建立,根工具包可观测用户活动,屏蔽用户动作,并执行其它恶意或非期望的活动。测量个别软件实体可针对那个软件实体的完整性和存在校验,但是不可给出该软件实体未被屏蔽的保证。
技术实现思路
本专利技术提供一种方法,包括:运行在第一操作环境中加载的第一软件组件;收集所述第一操作环境中与所述第一软件组件有关的运行时信息;将所收集的运行时信息传递给第二操作环境中的第二软件组件,所述第二操作环境与所述第一操作环境分离;将所述所收集的运行时信息与有关所述第一软件组件的已验证信息集进行比较;以及如果所述所收集的运行时信息不匹配所述已验证信息集,则发送告警。本专利技术还提供一种系统,包括:在第一操作环境中运行的第一软件组件;在所述第一操作环境中运行的第二软件组件,收集与所述第一软件组件有关的运行时信息,并传递所收集的运行时信息;以及在第二操作环境中运行的第三软件组件,所述第二操作环境与所述第一操作环境分离,所述第三组件接收所述所收集的运行时信息,并将所述所收集的运行时信息与有关所述第一软件组件的已验证信息集进行比较。-->附图说明在本说明书的结束部分特别指出作为本专利技术的主题并清楚地要求其权利。但是,通过结合附图参照以下详细描述,可透彻地了解关于本专利技术的操作的组织和方法及其目的、特征、优点,附图包括:图1是根据本专利技术的实施例的计算平台的示意图示。图2是根据本专利技术的实施例的计算平台上的白名单架构的代表图示。图3是根据本专利技术的实施例、通过白名单服务所捕获的样本组件映像的数据结构的代表图示。图4是根据本专利技术的实施例、用于将软件组件列入白名单的方法的流程图。将理解,为了说明的简洁和清楚起见,图中所示的元件不一定精确地或者按比例绘制。例如,为了清楚起见,某些元件的尺寸可能相对于其它元件经过放大,或者若干物理组件包含在一个功能块或元件中。另外,在认为适当的情况下,参考标号可在附图中重复,以便指明对应或相似的元件。另外,可将附图所示的某些块组合成单个功能。具体实施方式在以下详细描述中,阐明大量具体细节,以便提供对本专利技术的透彻理解。但是,本领域的技术人员会理解,即使没有这些具体细节也可实施本专利技术。在其它情况下,没有详细描述众所周知的方法、过程、组件、和电路,以免影响使本专利技术不明确。除非明确说明,否则从以下论述中,大家清楚地知道,在整个说明中,采用诸如“处理”、“计算”、“确定”或诸如此类的术语的论述表示计算机或计算系统或者类似的电子计算设备的动作和/或过程,其设备操纵表示为计算系统的寄存器和/或存储器中的例如电的物理量的数据和/或将其转换为类似地表示为计算系统的存储器、寄-->存器或者其它这种信息存储设备、传送或显示设备中的物理量的其它数据。另外,术语“多个”可在整个说明中用来描述两个或更多组件、设备、元件、参数和诸如此类。本文所使用的术语“组件”可指可用于获得预期结果的编程逻辑及关联数据。术语“组件”可与“模块”或“代理”同义,并且可指可通过硬件或固件、或者通过可能具有入口和出口点、以例如C++、Intel架构64位(IA-64)可执行代码等编程语言编写的软件指令的集合来体现的编程逻辑。此外,组件可以是从其它组件或者从其本身可调用的,和/或可响应检测事件或中断而被调用。例如,组件可以是由一个或多个处理器运行的软件包、模块或代理。本专利技术的实施例可提供用于将操作系统环境中的软件组件列入白名单的方法和系统。在一个实施例中,在第一操作环境下,可收集与第一加载和运行软件组件有关的运行时信息。可将所收集的信息传递给在与第一操作环境分离的第二操作环境中进行操作的第二软件组件。所收集的运行时信息可与有关第一软件组件的已验证信息集进行比较。现在参照图1的根据本专利技术的实施例、能够实现或运行白名单操作软件组件的计算平台100的示意图示。在一些实施例中,计算平台100可包括或者可以是例如个人计算机(PC)、台式计算机、移动计算机、膝上型计算机、笔记本电脑、终端、工作站、服务器计算机、个人数字助理(PDA)设备、网络设备或者能够容纳运行环境104的其它适当的计算设备。虽然本专利技术并不局限于这个方面,但是,计算平台100可包括例如运行环境104、管理模块116和平台硬件118,平台硬件118可包括例如处理器120、网络接口控制器(NIC)124、存储设备128和/或存储器132。计算平台100还可与网络140连接,以便与外部计算平台和其它设备进行通信。网络140可以是局域网(LAN)、城域网(MAN)、广域网(WAN)或者具有两个或更多网络节点之间的通信链路的其它相-->似网络。在一些实施例中,运行环境104可容纳运行操作系统(OS)108。OS 108可以是配置成运行和控制运行环境104中的例如软件组件112的其它组件的一般操作的软件组件。在一些情况下,运行环境104可提供其中组件可进行操作的虚拟运行环境。备选地,运行环境104可以是非虚拟的。在一些实施例中,软件组件112可以是特权级组件,例如内核组件。内核组件可以是或者包括例如加载器、调度器、存储管理器等的服务;例如网卡、通用串行总线(USB)接口、磁盘驱动器等的扩展/驱动;或者例如监测代码运行的入侵检测器的服务-驱动的混合体。管理模块116可仲裁对于例如一个或多个处理器120、NIC 124、存储设备128和/或存储器132等的硬件或其它资源的一般组件访问。在一些实施例中,管理模块116的功能可按照OS 108是否虚拟化而改变。处理器120可以是或者包括例如中央处理器(CPU)、数字信号处理器(DSP)、微处理器、控制器、芯片、微芯片或者任何适当的通用或专用处理器或控制器。在一些实施例中,例如,处理器120可运行编程指令或者执行可用于计算平台100上的组件的操作的计算操作。存储设备128可包括集成和/或外围存储设备,例如磁盘及关联驱动器、USB存储设备、闪速存储器、只读存储器(ROM)、非易失性半导体设备或者存储将用于平台100上的组件的运行的固有内容的其它适当的存储设备。在一些实施例中,存储设备128可以是物理上作为平台100的组成部分的存储资源,或者可以是平台100可访问的但必须是平台100的组成部分。例如,存储设备128可由平台100通过网络140、经由网络控制器124进行访问。存储器132可包括例如一个或多个存储器,诸如随机存取存储器(RAM)、ROM、动态RAM(DRAM)、同步DRAM(SDRAM)、闪速存储器、易失性存储器、非易失性存储器、缓冲存储器、缓冲区、短期存储器单-->元、长期存储器单元或者用于存储例如OS 108和/或软件组件112等的数据和/或组件的其它适当存储器单元。在一些实施例中,存储器132可将其中存储的内容组织进入多组存储位置。如果OS 108经过虚拟化,则可以是固定和/或可变大小的这些所组织的组可有助于虚拟存储器管理。备选地,如果OS 108未虚拟化,则存储器132可具有不同的组织结构。现在参照图2,它示出根据本专利技术的实施例的计算平台200上的白名单架构。本文所使用的“列入白名单”例如可表示检验软件元件(本文档来自技高网...
【技术保护点】
一种方法,包括: 运行在第一操作环境中加载的第一软件组件; 收集所述第一操作环境中与所述第一软件组件有关的运行时信息; 将所收集的运行时信息传递给第二操作环境中的第二软件组件,所述第二操作环境与所述第一操作环境分离; 将所述所收集的运行时信息与有关所述第一软件组件的已验证信息集进行比较;以及 如果所述所收集的运行时信息不匹配所述已验证信息集,则发送告警。
【技术特征摘要】
US 2007-11-13 11/9840011.一种方法,包括:运行在第一操作环境中加载的第一软件组件;收集所述第一操作环境中与所述第一软件组件有关的运行时信息;将所收集的运行时信息传递给第二操作环境中的第二软件组件,所述第二操作环境与所述第一操作环境分离;将所述所收集的运行时信息与有关所述第一软件组件的已验证信息集进行比较;以及如果所述所收集的运行时信息不匹配所述已验证信息集,则发送告警。2.如权利要求1所述的方法,其中,所述所收集的信息包括以下一个或多个:代码、数据、外部符号表和重定位信息。3.如权利要求2所述的方法,包括:存储关于所述第一软件组件的导入地址表和导出指针的状态数据集;以及将所述状态数据与有关所述第一软件组件的已验证信息集进行比较。4.如权利要求3所述的方法,包括:从存储设备中读取已验证中断处理程序条目集;检验所记录的中断处理程序条目集指向已验证的导入和导出偏移。5.如权利要求1所述的方法,包括:检验所述第一软件组件的一个或多个依赖软件组件。6.如权利要求1所述的方法,其中,所述第一操作环境被虚拟化,并且所述第二操作环境是虚拟机管理器。7.如权利要求1所述的方法,其中,所述第一操作环境是未虚拟化的操作系统。8.如权利要求1所述的方法,其中,传递所述所收集的运行时信息包括...
【专利技术属性】
技术研发人员:G纳加休香,RL萨希塔,HM克霍斯拉维,S格罗韦,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。