本文描述了能够使得与保护代理相关联的操作系统存储器的一部分不可从操作系统特权模式更改或访问的工具。在某些实施例中,这些工具能够通过请求虚拟机监控程序保护该操作系统存储器部分来创建保护代理特权模式。在其他实施例中,这些工具能够通过将物理处理器虚拟化为其中至少一个是被设计成运行保护代理的保护代理虚拟处理器的多个虚拟处理器来创建保护代理特权模式。通过使得该操作系统存储器部分不可从操作系统特权模式更改或访问,保护代理可较不易受到在操作系统特权模式中操作的实体的攻击。
【技术实现步骤摘要】
【国外来华专利技术】保护代理和特权模式北旦 冃豕计算设备中的处理器通常包括特权和非特权模式。以特权模式运行的软件 一般能够执行处理器所支持的每一条指令。通常,操作系统内核在特权模式中运行,该模式有时被称为"环o"、"管理员模式"或"内核模式"。相反,可约束在计算设备上运行的某些软件仅以非特权模式运行。该模式 一般允许软件执行处理器的指令的子集。操作系统由此可使用该非特权模式来 限制以该模式运行的软件的活动。例如,软件可被限于计算设备的存储器的特定子集。该非特权模式有时被称为"环3"或"用户模式"。 一般而言,计算设备 用户应用程序以该非特权模式操作。如果软件应用程序以该非特权模式操作,则该应用程序可请求访问无法直 接从该非特权模式访问的存储器部分。该应用程序可能希望例如在该存储器部分中执行诸如"创建新文件"等操作。该请求通常经由将该非特权模式代码转换 成特权模式代码的调用门或其他系统调用指令来路由。该转换确保非特权模式 无法直接访问被指定为只可从特权模式访问的存储器。根据这些模式,恶意代码的制作者可访问特权模式并安装改变计算设备的 行为的恶意软件。该恶意软件可例如更改文件位置、隐藏文件、修改文件、改 变键击等。这些恶意软件中的某一些可包括"rootkit"(根套件),其不仅改变 计算设备的行为而且将其自身隐藏在特权模式的存储器中。在计算设备上运行 的反病毒应用程序因此可能无法发现该隐藏的rootkit,由此允许该恶意软件继 续其恶意行动。此外,这些恶意软件可如以下所讨论地遮蔽(patch over)操作 系统的内置保护系统。恶意软件制作者可访问特权模式并且以各种方式将恶意软件加载到计算 设备上,包括通过欺骗计算设备用户不知不觉地将恶意软件安装到该用户自己 的计算设备上。结果,当前操作系统通常采用一个或多个保护系统来检测这些 恶意软件。这些保护系统通常监视某些重要的操作系统资源以检测对这些资源 的任何改变。如果这一保护系统检测到这一改变,则该保护系统可判定该特定资源已被恶意软件感染。这些保护系统还可向用户的反病毒应用程序提供当前 驻留在非特权模式的存储器中的应用程序的列表。当然,如果恶意软件成功隐 藏,则它不会出现在所提供的列表上。此外,如果恶意软件成功遮蔽保护系统, 则该保护系统可能无法运行或无法以其他方式检测对重要的操作系统资源的 任何改变。虽然这些保护系统可以是有效的,但它们也可具有几个弱点。第一,这些 系统通常依赖于隐匿并由此容易在被恶意软件标识的情况下受到恶意利用。 即,如果恶意软件解密了保护系统的身份并定位了该保护系统,则该恶意软件 可禁用该保护系统本身。恶意软件制作者还可指示其他人如何做同样的事情。此外并且与第一个弱点有关,这些保护系统一般在与操作系统相同的保护范围 内操作(例如,在特权模式自身中)。因此,如果恶意软件获得对特权模式的 访问权并且能够去除隐匿保护系统的屏蔽,则保护系统自身容易受到攻击。最 后,这些保护系统与操作系统或特权模式同时初始化。因此,如果恶意软件或 恶意软件制作者在该初始化之前获得对计算设备的控制,则它或他可防止保护 系统初始化。概述本文描述了能够使得保护代理能从不可从操作系统特权模式访问的存储器中确定操作系统的一个或多个资源是否已被修改的工具。在某些实施例中, 这些工具可使得保护代理能够驻留在虚拟机监控程序中。在其他实施例中,这些工具可使得保护代理能够驻留在由虚拟机监控程序提供的不同的虚拟分区 中。通过在操作系统特权模式之外操作,保护代理可较不易受到在操作系统特 权模式中操作的实体的攻击。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述不旨在标识所要求保护的主题的关键或必要特征,也不旨在 用于帮助确定所要求保护的主题的范围。例如,术语"工具"可以指上述上下文 和通篇文档所准许的系统、方法、计算机可读指令、和/或技术。附图简述附图说明图1示出了工具的各个实施例可在其中操作的示例性操作环境。 图2展示了图l所示模块的不同的计算设备存储器权限。 图3表示图1所示模块中的某一些驻留在其中的计算设备存储器的不同部分。图4是示出虚拟机监控程序可保护与保护代理相关联的存储器部分并设 置定时器以运行该代理的示例性方式的流程图。图5示出了具有能够将物理处理器虚拟化为多个操作系统虚拟处理器和 保护代理虚拟处理器的虚拟机监控程序的示例性体系结构。图6示出了图5的物理处理器在各虚拟处理器中可分配到多少带宽。图7是示出工具可启用并运行驻留在不可从操作系统特权模式访问的存储单元的保护代理的某些方式的示例性过程。图8是示出工具可更改虚拟机监控程序以启用并运行驻留在不可从操作 系统特权模式访问的存储单元的保护代理的某些方式的示例性过程。图9是示出工具可通过向虚拟机监控程序作出请求来创建保护代理特权 模式的某些方式的示例性过程。图10是示出工具可通过将真实计算机处理器虚拟化为其中至少一个用于 运行保护代理的多个虚拟计算机处理器来创建保护代理特权模式的某些方式 的示例性过程。图11是示出工具可使得能够添加不存在于底层物理处理器上的特权模式 的某些方式的示例性过程。贯穿本公开和各附图,使用相同的标号来引用相同的组件和特征。详细描述 概览下文描述了能够以使得保护代理不可从操作系统特权模式更改或访问的 方式操作该保护代理的工具。这些工具因此使得能够对保护代理本身进行保 护,由此确保保护代理检测对重要的操作系统资源的更改的能力。另外,这些 工具可响应于检测到资源更改或响应于所尝试的对保护代理本身的修改来关 闭操作系统或操作系统特权模式。此外,这些工具可使得保护代理能够对操作系统资源强制实施不变性,而无需在此之后检测资源修改。以下在标题为"示例性操作环境"的章节中阐明这些工具可在其中启用这 些和其它动作的环境。之后是标题为"自主保护代理"的章节并且该章节包括 两小节。标题为"虚拟机监控程序保护代理"的第一小节描述了保护代理可驻 留在虚拟机监控程序中并在其中执行的一种示例性方式。这之后是标题为"虚 拟分区保护代理"的另一小节,该小节描述了保护代理可居留在与操作系统的 分区分开的虚拟分区中并在其中执行的一种示例性方式。之后是标题为"自主保护代理特权模式"的另一章节并且该章节也包括两 小节。第一小节描述了虚拟机监控程序定时器可将保护代理特权模式添加到底 层处理器的一种示例性方式,并且标题为"向虚拟机监控程序作出的保护请 求"。之后是标题为"保护代理虚拟处理器"的小节并且该小节描述了可创 建保护代理特权模式的另一种方式,在这该实例中使用包括被配置成以保护代 理特权模式运行保护代理的一个虚拟处理器在内的多个虚拟处理器。之后是标 题为"工具的示例性使用"的章节并且该章节描述了在操作中的先前描述的工 具的示例。最后,标题为"工具的其他实施例"的章节描述了其中这些工具可 起作用的各种其他实施例和方式。包括这些章节标题和概述的本概览是出于方 便读者的目的而提供的,而非旨在限制权利要求或所命名的各节的范围。示例性操作环境在详细描述这些工具之前,提供示例性操作环境的以下讨论来帮助读者理 解可采用这些工具的各专利技术性方面的某些方式。以下描述的环境仅构成一个示 例且并非旨在将这些工具的应用限于任一个特定操作环本文档来自技高网...
【技术保护点】
一种或多种其中具有计算机可读指令的计算机可读介质,所述指令在由计算设备(102)执行时使得所述计算设备(102)执行以下动作: 在虚拟机监控程序(108)处接收(902)使得存储器范围(206、306)不可从操作系统特权模式(126) 更改或访问的请求; 使得(904)所述存储器范围(206、306)不可从所述操作系统特权模式(126)更改或访问;以及 运行(908)驻留在所述存储器范围(206、306)内的保护代理(144)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:E托奥特,F福尔茨,A桑顿,S辛哈,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。