本申请公开了对与电信网络(尤其是互联网等)的连接的使用进行环境敏感的选择性控制的方法、系统、装置和程序产品。提供措施来允许某些资源利用互联网而不允许其它资源利用互联网并且加强实施对攻击或危害的抵御。示例性实施例允许反恶意软件产品经由互联网进行更新,同时防止恶意软件干扰通信资源或使用同样的通信资源。先前开发的实施具有可通过本发明专利技术克服的缺点。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术大体涉及共享类似体系结构的个人计算机和设备,更具体地涉及用于在特定但非必须的管理程序和OS (操作系统)环境下对与电信网络(尤其是利用互联网协议及类似协议的网络)的连接的使用进行控制的系统和对应方法。
技术介绍
现在,PC (个人计算机)上的恶意软件越来越复杂和有害。反恶意软件产品迅速增加来对付该问题。作为响应,恶意软件开始开发以反恶意软件产品本身为目标的特征,以便损害反恶意软件产品的效果。作为响应,已经开发出技术来加强反恶意软件产品对攻击的防御。一个特别的问题是反恶意软件产品通常需要访问最新信息(例如病毒码的数据表格),这么做的有效方式是经由基于互联网的下载。需要保证上述下载和类似行动不冒下载过程本身被恶意软件攻击损害的风险而发生。需要对通信(尤其是来往于互联网的通信)的访问的强健控制(特别地对可替代的准许和不允许的控制)。特别地,能够拒绝普通OS (操作系统)和普通OS加载的任何即将完成反恶意软件信息(例如病毒码)下载(以及可能反恶意软件信息的完整性验证)的程序访问互联网,是受人期待的。前面开发出的解决方案仅部分地解决了这些问题,仍存在显著的改进空间。
技术实现思路
除别的以外,所公开的专利技术包括一方面通过诸如反恶意软件产品这样的程序产品,另一方面通过包括恶意程序的普通OS (操作系统)应用程序和系统程序,对通信设施的使用进行控制的方法和技术。本专利技术提供一种对用于通信控制的计算机进行操作的方法,还提供体现该方法的装置。此外,提供使用本专利技术的程序产品和其它模块。根据本专利技术的方面,公开一种用于控制通信的方法。在本专利技术的实施例中,该方法可以包括检测可操作的网络设施,例如网络设备或网路服务。接下来,可以拒绝、不允许或防止OS或另一 VM (虚拟机)访问该网络设施达一段时间,直到特定的事件可以发生为止/除非特定的事件可以发生。在拒绝访问的时间期间,反恶意软件信息的拼合或集合可以被下载或以别的方式被形成和/或被验证、被证明等等。通常在以后,可能在已经保证反恶意软件信息全体的完整性以后,可以准许前面拒绝的程序环境访问通信(经常包括与互联网的通信)。本专利技术公开多种用于准许和拒绝(等等)通信访问的技术,尤其包括使用诸如VMM(包括管理程序的虚拟机监视器)和热插技术(例如与PCIe (外设部件高速互联)桥有关的那些技术)这样的特征。根据本专利技术的又一方面,本专利技术的实施例可以提供使用上面描述的方法和/或类似方法的程序产品和电子设备。通过实施本专利技术提供的或从实施本专利技术中产生的进一步优势和/或特征是本专利技术可以向反恶意软件产品提供进一步加强对恶意软件攻击(和/或其它攻击)的防御的机制。附图说明当浏览结合下面的附图做出的本专利技术的下面具体实施方式时,本专利技术的上述优势和特征以及相关优势和特征将变得更容易理解和领会,附图包含在说明书中并且构成说明书的一部分,附示本专利技术的实施例并且在附图中相同的附图标记代表相同的元件,并且其中图1是根据本专利技术实施例的被配置成实施安全功能的电子设备的示意框图;图2是根据本专利技术实施例中的使用的样本ASL (ACPI源语言)条目;图3A和图3B示出在实施PCIe桥功能的示例总线控制器芯片中使用的典型寄存器;图4是图示在实施本专利技术实施例时执行的步骤的流程图;图5示出如何可以将本专利技术的示例性实施例编码到计算机介质或媒体上;以及图6示出如何可以使用电磁波对本专利技术的示例性实施例进行编码、传输、接收和解码。具体实施例方式提供附图中示出的多个部件来向本领域的技术人员提供全面的能够实现的本专利技术公开内容。在本说明书中不包含对众所周知的部件的描述,以便不使本公开模糊或者带走或以别的方式降低本专利技术的新颖性和由此提供的主要益处。图1是根据本专利技术的被配置成实施安全功能的电子设备的示意框图。在示例性实施例中,电子设备10可以被实施为个人计算机、例如台式计算机、膝上型计算机、平板PC或其它适合的计算设备。虽然本说明书概述了个人计算机的操作,但是本领域的技术人员将领会,电子设备10可以被实施为PDA、上网本、无线通信设备(例如移动电话)、内嵌的控制器或设备(例如机顶盒)、打印设备或其它适合的设备或者这些设备的组合,并且可以适合于与本专利技术一起工作或协同工作。电子设备10可以包括被配置成对电子设备10的整体操作进行控制的至少一个处理器或CPU (中央处理单元)12。类似的控制器或MPU (微处理器单元)是常见的。处理器12通常可以通过诸如FSB (前端总线)这样的总线13与诸如北桥芯片这样的总线控制器14联接。总线控制器14通常可以为诸如RAM (随机存取存储器)这样的读写系统存储器16提供接口。总线控制器14还可以联接至系统总线18,例如在常见的Intel 型实施例中的DMI(直接媒体接口)。与DMI18联接的可以是所谓的南桥控制器芯片24。此外,南桥芯片24通常还可以与NVRAM (非易失性随机存取存储器33)联接。在实施例中,总线控制器14可以包含PCIe(外设部件高速互联)根集线器20。PCIe根集线器20接着可以连接至PCIe桥22。PCIe桥可以包含在总线控制器14内或者PCIe桥可以与总线控制器14分离。PCIe桥22通常连接至一个或多个PCIe外设。在本专利技术的实施例中,PCIe桥22连接至NIC (网络接口控制器)66,NIC66可以是对无线收发器71进行驱动的无线NIC。无线收发器71可以依从IEEE802.11或其它适合标准来工作。无线收发器71通常将包括与某一形式的辐射天线72联接的RF (射频)电路。依据本专利技术的实施例,在易遭受有企图的恶意软件攻击的通用计算环境中可能需要的特征可能是,密切控制通信设施。通信设施可以部分地由NIC (图1的附图标记66)体现或者可替代地体现为使用通信器具(例如NIC或其它器具)的软件服务或系统服务(图中未示出)。具体地,可能想要准许反恶意软件应用程序访问通信设施,而有效地拒绝OS (操作系统)和在OS控制下装载和运行的应用程序的相同访问(或者可能任何通信访问)。一种先前开发的解决方案向有线互联网通信连接(和广义的等同连接)提供这种能力,并且基于对有线NIC设备的PCI (外设部件互联)配置空间和关联ΜΜΙ0/ΡΙ0 (存储器映射的输入/输出和可编程的输入/输出)区域进行操作。一种这样的实施是基于管理程序的,并且向位于DomU (非特权域)的程序告知(虚拟)网络设备不可用。(在管理程序的领域中,DomU和相关术语DomO (特权域)的意义和使用是众所周知的。)在本专利技术的示例性实施例中,在管理程序环境中,DomU主管主OS (和附属于该主OS的应用程序)可能是受人期望的。同时,当正将病毒码文件(或其它反恶意软件信息)下载到DomOVM (虚拟机)中并且可靠地存储在存储器内时,必须允许DomO具有互联网连接。随后,通常可以将这种反病毒码文件传送至DomU,并且使用被设计为在DomU环境下运行的反恶意软件应用程序的一部分来应用这种反病毒码文件。示例可以是众所周知的反病毒应用程序之一,例如由趋势科技公司(Trend Micro Incorporated)提供的反病毒应用程序。先前开发的基于管理程序的实施关于某些类型的有线网络连接而存在,但是本专利技术的实施例具有更普遍的适用性。将类似配本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种操作计算机的方法,包括: 在从由第一 VM (虚拟机)和第一 VMM (虚拟机监视器)构成的第一列表中选择的第一环境内,执行对从由网络设备和网络服务组成的列表中选择的可操作的网络设施的可操作状态进行检测的第一指令;以及 当所述可操作状态持续时,在所述第一环境内执行进一步的指令来不允许所述网络设施的使用,其中所述使用是通过在从由第二 VM和主OS (操作系统)组成的第二列表中选择的第二环境内执行更进一步的指令而请求的。2.根据权利要求1所述的方法,其中: 所述第二环境是DomU (无特权域);并且 所述第一 VM是DomO (零域或特权域)或者所述VMM包括管理程序。3.根据权利要求1所述的方法,进一步包括: 响应于状态变化的检测,在所述第一环境内执行指令来对在所述第二环境内执行的更进一步的指令做出所述网 络设施的使用的第一准许。4.根据权利要求3所述的方法,更进一步包括: 当所述网络设施的使用的第一准许持续时,执行指令来对在所述第一环境内执行的指令拒绝所述网络设施的使用。5.根据权利要求3所述的方法,其中: 所述状态变化响应于有关于反恶意软件信息的获取而执行的指令。6.根据权利要求5所述的方法,其中: 所述获取是基于互联网的下载行为。7.根据权利要求1所述的方法,其中: 所述网络设施是NIC (网络接口控制器)或者兼容NDIS (网络驱动器接口服务)的服务例程。8.根据权利要求1所述的方法,其中: 所述网络设施是无线网络控制器。9.根据权利要求8所述的方法,其中: 所述无线网络控制器与PICe (外设部件高速互联)桥连接。10.根据权利要求1所述的方法,其中: 在所述第一环境内执行进一步的指令进一步包括:向虚拟PCIe (外设部件高速互联)桥提供替代插槽状态寄存器的行动。11.根据权利要求1所述的方法,其中: 在所述第一环境内执行进一步的指令进一步包括:提供从由roc (存在检测变化)、ros(存在检测状态)、ABP (注意按键按下)或LASC (链路活跃状态变化)组成的列表中选择的替代信号的行动。12.根据权利要求1所述的方法,其中: 在所述第一环境内执行进一步的指令进一步包括:提供DLLA (数据链路层活跃)事件的行动。13.根据权利要求1所述的方法,其中: 在第二环境内执行更进一步的指令包括:响应于虚拟化的热插事件执行ISR(中断服务例程)。14.根据权利要求13所述的方法,其中: 所述ISR (中断服务例程)进一步包括:执行指令来扫描PCIe (外设部件高速互联)桥。15.根据权利要求3所述的方法,进一步包括: 在对所述第二环境内执行的更进一步的指令做出所述网络设施的使用的第一准许以前,在所述第一 VM (虚拟机)内接收反恶意软件信息的集合。16.根据权利要求1所述的方法,进一步...
【专利技术属性】
技术研发人员:理查德·布拉姆利,贾亚纳特·曼加拉姆帕利,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。