CN101681407A - 用于恶意软件检测的可信操作环境 - Google Patents

用于恶意软件检测的可信操作环境 Download PDF

Info

Publication number
CN101681407A
CN101681407A CN200880015323A CN200880015323A CN101681407A CN 101681407 A CN101681407 A CN 101681407A CN 200880015323 A CN200880015323 A CN 200880015323A CN 200880015323 A CN200880015323 A CN 200880015323A CN 101681407 A CN101681407 A CN 101681407A
Authority
CN
China
Prior art keywords
movable equipment
equipment
assembly
virus
antivirus tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200880015323A
Other languages
English (en)
Other versions
CN101681407B (zh
Inventor
R·基尔纳尼
K·N·艾弗森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN101681407A publication Critical patent/CN101681407A/zh
Application granted granted Critical
Publication of CN101681407B publication Critical patent/CN101681407B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

描述了用于扫描计算设备以查找恶意软件的技术和装置。在一个实现中,包括可信操作系统和可信反病毒工具的可信操作环境被包含在可移动数据存储介质上。计算设备然后使用可信操作系统来从可移动数据存储介质引导。可信反病毒工具在计算设备中搜索恶意软件定义更新(例如,病毒签名更新)并使用可信操作系统来扫描该计算设备以查找恶意软件。在另一实现中,计算设备从可移动设备上的可信操作系统引导并且该可移动设备上的可信反病毒工具扫描该计算设备以查找恶意软件。该可移动设备可通过在计算设备或远程资源中搜索更新并认证所定位到的任何更新来更新其自己的内部组件(例如,病毒签名和反病毒工具)。

Description

用于恶意软件检测的可信操作环境
背景
计算机安全在当今技术驱动的文化中是一个严重的问题。计算机安全违背可在该计算机感染病毒和其他形式的恶意软件时发生。这些感染可例如在下载和打开感染恶意软件的文件(例如,电子邮件)时发生,或者感染可在恶意软件在没有任何直接用户干预的情况下通过网络来访问计算机时发生。在任一种情况下,这些安全威胁的流行已导致产生各种各样的可用于计算机的安全相关工具。这些工具的示例包括反病毒程序、广告软件扫描程序、防火墙等。尽管这些工具可用,但计算机继续感染恶意软件。
恶意软件感染持久性的一个原因是某些恶意软件对安全工具的隐藏能力。恶意软件可通过使用rootkit来对许多安全工具隐藏,该rootkit一般而言是旨在对计算机的操作系统隐藏运行进程、文件或系统数据的一组软件工具。rootkit可将其本身挂钩在计算机的系统中的非常低的地方(例如,在内核层)并截取计算机的操作系统和其他应用程序当在该计算机上运行时利用的主要系统服务。在一个示例中,驻留在计算机上的反病毒工具扫描计算机的硬盘以查找病毒。作为扫描过程的一部分,计算机的操作系统作出一个或多个功能调用,诸如对特定文件的“打开文件”调用。然而,驻留在计算机上的恶意软件可使用rootkit来截取该“打开文件”功能调用并返回“文件丢失”错误或返回错误的文件。由此,反病毒工具无法访问所请求的文件并检查该文件以查找病毒感染。如果所请求的文件感染病毒,则该感染将持续不被检测到。
概述
描述了用于扫描计算设备以查找恶意软件的技术和装置。在一个实现中,包括可信操作系统和可信反病毒工具的可信操作环境被包含在可移动数据存储介质上。计算设备然后使用可信操作系统来从该可移动数据存储介质引导。可信反病毒工具在计算设备中搜索恶意软件定义更新(例如,病毒签名更新)并与可信操作系统交互以扫描该计算设备以便查找恶意软件。另一实现使用诸如具有微控制器的通用串行总线(USB)驱动器等可移动设备来存储可信操作环境。计算设备使用可信操作系统来引导并且可信反病毒工具扫描该计算设备以查找恶意软件。该可移动设备可通过在计算设备或远程资源中搜索更新并认证所定位到的任何更新来更新其自己的内部组件(例如,病毒签名和反病毒工具)。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图简述
参考附图来描述该详细描述。在附图中,附图标记中的最左边的数字标识该附图标记首次出现的附图。在不同附图中使用同一附图标记来指示相似或相同的项目。
图1示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系结构和可移动数据存储介质。
图2示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系结构和可移动设备。
图3是用于搜索恶意软件更新并扫描计算设备以查找恶意软件的示例性过程的流程图。
图4是用于扫描计算设备以查找恶意软件并更新可移动设备的组件的示例性过程的流程图。
图5是用于认证可移动设备组件更新的示例性过程的流程图。
图6是用于安全文件存储的示例性过程的流程图。
详细描述
此处所描述的设备和技术提供了一种可用于扫描计算设备以查找病毒和其他形式的恶意软件并消除任何这些实体对该计算设备的感染(disinfect)的可信操作环境。术语“病毒”和“恶意软件”在此处可互换地使用,并且两者一般都指的是被设计成在没有所有者告知的同意的情况下渗入和/或破坏计算机系统的计算机代码的集合。恶意软件的其他示例包括特洛伊木马、蠕虫、间谍软件等。可信操作环境由诸如软件或硬件制造商等可信授权机构创建,并且然后被包含在可与计算设备接口的设备或计算机可读介质上。对可信操作环境的非授权访问通过使用只准许可信数据访问可信操作环境的只读介质、认证协议和微控制器来阻止。如此处所使用的,术语认证指的是可被实现来验证通信或数据文件所源自的实体的身份并确保该通信或数据文件未被非授权实体篡改或不被允许地更改的任何合适的方法或协议。
在一个示例中,可信操作环境包括可信操作系统和可信反病毒工具。计算设备可使用可信操作系统来引导并由此避开可隐藏在该计算设备上的rootkit和其他恶意软件的问题。可信反病毒工具然后可扫描计算设备并确保其与可信操作系统的交互将准确地反映该计算设备的状态。
示例性体系结构
图1示出了可实现所述过程和技术的体系结构100。计算设备102是体系结构100的一部分。尽管被示为台式PC,但计算设备102可被实现为各种常规计算设备中的任一种,包括例如,服务器、笔记本或便携式计算机、工作站、大型计算机、移动通信设备、PDA、娱乐设备、机顶盒、因特网设备、游戏控制台等。
计算设备102可包括但不限于,一个或多个处理器104、存储器106、输入/输出(I/O)设备108(例如,键盘和鼠标)以及操作上将包括处理器104在内的各种组件耦合到存储器106的系统总线(未示出)。计算设备102的存储器包括诸如随机存取存储器(RAM)等易失性存储器形式的和/或诸如只读存储器(ROM)或闪速RAM等非易失性存储器形式的计算机可读介质。存储器106通常包括数据和/或程序模块,诸如操作系统110和病毒更新包112。数字签名114和病毒签名更新116是病毒更新包112的一部分,这两者将在以下更详细地讨论。
为了实现病毒扫描过程,用户将可移动数据存储介质118加载到计算设备102中以使得该计算设备可读取该可移动介质。可移动数据存储介质118是可与计算设备接口(例如,通过将其插入盘驱动器中)并在不必拆卸计算设备的情况下移除的数据存储介质。尽管可移动数据存储介质118在此处被示为紧致盘(CD)或数字多功能盘(DVD),但可采用任何合适的计算机可读可移动数据存储介质,包括其他光存储介质,闪存、盒式磁带、磁带、磁盘存储或其它磁存储设备,或者可用于存储所需信息并可由计算机访问的任何其它可移动存储介质。此外,可移动数据存储介质118可以是只读介质以使得其上所包含的数据和文件无法被来自感染源(例如,计算设备102)的、试图感染该存储介质的恶意软件感染。
用户然后从可移动数据存储介质118引导计算设备102。可移动数据存储介质118包括可移动介质存储器120,该存储器存储用于实现所述过程的数据和/或程序模块和组件。如在此使用的术语“模块”或“组件”一般表示软件、固件、或者软件和固件的组合。作为引导过程的一部分,计算设备102从可移动介质存储器120中加载可信操作系统(OS)122。可信反病毒工具124然后自动或通过用户所表示的动作从可移动介质存储器120中启动。
可信反病毒工具124然后加载存储在可移动介质存储器120上的病毒签名126。病毒签名126是用于标识病毒的一组病毒“指纹”。示例性病毒签名是病毒的计算机代码的全部或部分的二进制模式。可信反病毒工具124还搜索计算设备102并标识当前未被存储在可移动介质存储器120上的任何病毒签名。在一个示例中,可信反病毒工具124在存储器106上定位包含病毒签名更新116的病毒更新包112。病毒签名更新116包括一个或多个病毒签名,其中的某一些可以与存储在可移动数据存储介质118上的任何病毒签名不同(例如,它们可标识更新近编目的病毒)。在将病毒签名更新116用于病毒扫描之前,可信反病毒工具124使用认证工具128来验证病毒更新包112的真实性。
为了验证和/或认证病毒更新包112,认证工具128利用来自可移动介质存储器120的根证书130来认证数字签名114。一般而言,数字签名114是已编码的消息或其他数据片段,将数字签名114与根证书130进行比较以确定病毒更新包112是否源自可信授权机构并且未被篡改。在一个示例中,数字签名114是诸如X.509证书等作为病毒更新包112的一部分的数字证书的一部分。如果数字签名114被确定为是真实的,则可信反病毒工具124将病毒签名更新指定为通过认证并加载该病毒签名更新。该认证方法只是出于示例的目的而给出的,并且可利用任何合适的密码、验证和/或认证协议来验证病毒签名更新源自可信授权机构。
可信反病毒工具124然后在计算设备102上运行并使用病毒签名126以及来自病毒更新包112的任何通过认证的病毒签名更新来扫描计算设备102以查找病毒。通过在病毒扫描时与可信操作系统122交互,用户可确保在病毒扫描过程期间作出的操作系统调用将正确地返回所请求的文件并给出对计算设备102的准确描述。
此外,对于体系结构100,计算设备102可使用网络132来访问远程资源134。网络132可包括但不限于,局域网(LAN)、广域网(WAN)和城域网(MAN)。远程资源134可以是web服务器、服务器场、大型计算机、数据中心或能够存储和/或传输数据的任何其他资源。由此,可信反病毒工具124可利用计算设备102和网络132来访问远程资源134并标识和下载驻留在该远程资源上的一个或多个病毒签名更新。将如以上所讨论地认证远程资源134上所标识的任何病毒签名更新。
图2示出了可实现所述过程和技术及其变体的示例性体系结构200。体系结构200包括图1所介绍的计算设备102。还示出了可移动设备202。尽管可移动设备202在此处被示为通用串行总线(USB)设备,但可利用任何合适的可移动和/或便携式设备,诸如PC卡、智能卡、火线设备等。在操作中,可移动设备202与计算设备102接口并且该计算设备从该可移动设备引导。作为引导过程的一部分,计算设备102访问可移动设备202上的存储器204并加载可信操作系统206。存储器204通常包括可立即由微控制器216访问和/或当前正在计算设备102上操作的、用于实现所述过程的数据、程序模块和组件。
可信反病毒工具208然后从存储器204中启动并且该可信反病毒工具从存储器204中加载病毒签名210。可信反病毒工具208可任选地使用类似于以上参考图1所讨论的过程来在计算设备102上定位并认证病毒签名更新。可信反病毒工具208然后继续使用所加载的病毒签名来扫描计算设备102以查找病毒。通过与在计算设备102上运行的可信操作系统206交互,可信反病毒工具208可执行对计算设备102的彻底的病毒扫描,包括任何存储设备(例如,硬盘驱动器)、基本输入/输出系统(BIOS)、硬件、固件等。如果定位到任何病毒,则从计算设备102中去除该病毒。计算设备102然后可使用其自己的内部操作系统来重新引导至干净的操作环境中。
可移动设备202具有使用更新代理214和微控制器216来安全地更新自自己的内部组件的能力。微控制器216是包括控制可移动设备202的特定过程和动作所必需的组件的集成电路或微处理器。尽管未在图2中示出,但微控制器216的组件包括一个或多个处理器、一种或多种形式的存储器(例如,只读存储器和/或随机存取存储器)、输入/输出端口、定时器等。
可更新可移动设备202的任何组件,包括病毒签名210和可信反病毒工具208。作为更新过程的一部分,微控制器216可利用更新代理214来在计算设备102中搜索一个或多个可移动设备组件更新。微控制器216还可利用更新代理214来经由计算设备102和网络132访问远程资源134以获得所需组件更新。如果定位到任何组件更新,则认证工具212可使用任何合适的认证和/或密码协议来验证组件更新源自可信授权机构。如果认证工具212确定组件更新是真实的(即,该组件更新通过认证过程),则向存储器204写入该组件更新。否则,微控制器216阻止任何未通过认证的和未经授权的数据(例如,未通过认证过程的组件更新)被写入到存储器216上。将微控制器216用作“看门人”准许动态更新可移动设备202同时维护其内部组件的可信方面。
示例性过程
图3示出了用于执行病毒扫描的示例性过程300。过程300被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示在由一个或多个处理器执行时执行既定操作的计算机指令。虽然以下各过程按照单独的动作来讨论,但这并非旨在是限制性的,并且在某些示例中可组合所讨论的动作。出于讨论的目的,过程300参考图1所示的体系结构100来描述。
在302,将可移动数据存储介质(诸如可移动数据存储介质118)加载到计算设备中。在304,从可移动数据存储介质上的可信操作环境引导计算设备。作为该引导过程的一部分,可信操作系统从可移动数据存储介质加载到计算设备上。在306,从可移动数据存储介质中启动可信反病毒工具。动作306可通过从可移动数据存储介质运行可信反病毒工具或者将该可信反病毒工具加载到计算设备上并从该计算设备运行该工具来完成。在308,可新反病毒工具搜索计算设备并定位任何病毒签名更新。病毒签名更新可以是病毒更新包的一部分,该病毒更新包包括病毒签名更新和可用于认证更新的数字签名。数字签名可以是诸如X.509证书等作为病毒更新包的一部分来存储在计算设备上或存储在计算设备上的其他地方的认证证书的一部分。可信反病毒工具还可利用计算设备和网络来在远程资源中搜索病毒签名更新。如果定位到和/或标识了任何病毒签名更新,则在310处认证这些更新。在一个示例中,动作310包括处理数字签名以确定病毒签名更新是否源自可信授权机构。
在312,可信反病毒工具连同任何通过认证的病毒签名更新一起加载存储在可移动数据存储介质上的任何病毒签名。在314,可信反病毒工具与计算设备上所加载的可信操作系统交互以扫描该计算设备以查找匹配所加载的病毒签名的任何病毒。可信反病毒工具可执行对计算设备的全面扫描,包括任何存储设备(例如,硬盘驱动器)、BIOS、硬件、固件等。在316,从计算设备中去除所定位到的任何病毒。在318,将计算设备重新引导至干净的内部操作环境中。该内部操作环境包括已使用此处所讨论的技术来扫描并清除了任何病毒或其他恶意软件的操作系统。
图4示出了用于执行病毒扫描的示例性过程400。过程400被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示当由一个或多个处理器执行时完成既定操作的计算机指令。出于讨论的目的,过程400参考图2所示的体系结构200来描述。
在402,将可移动设备(例如,可移动设备202)与用户希望扫描以查找病毒的计算设备接口。在一个示例中,动作402通过将可移动设备插入到计算设备上的适当的端口(例如,USB端口)中来完成。在404,从可移动设备引导计算设备。作为该引导过程的一部分,可信操作系统从可移动设备加载到计算设备上。在406,从可移动设备中启动可信反病毒工具。动作406可通过从可移动设备运行可信反病毒工具或者将该可信反病毒工具加载到计算设备上并从该计算设备运行该工具来完成。作为动作406的一部分,可信反病毒工具加载存储在可移动设备上的一个或多个病毒签名。可移动设备还可定位存储在计算设备和/或远程资源上的一个或多个病毒签名更新,认证病毒签名更新并加载任何通过认证的病毒签名更新。在408,可信反病毒工具与计算设备上所加载的可信操作系统交互以扫描该计算设备以查找任何病毒。该反病毒工具基于存储在可移动设备上的病毒签名加上来自计算设备的任何通过认证的病毒签名更新来标识任何病毒。在410,去除所定位到的任何病毒。
在412,将计算设备重新引导至包括已扫描并清除了病毒的操作系统的干净的内部环境。该内部操作系统是驻留在计算设备上的操作系统(即,该操作系统不是从可移动设备中加载的操作系统)。在414,可移动设备然后检查对其内部组件(例如,病毒签名和反病毒工具本身)的更新。该可移动设备可在计算设备中搜索组件更新,或者可任选地访问远程资源以搜索组件更新。如果定位到任何组件更新,则在416,使用任何合适的认证和/或密码过程来认证组件更新。如果任何组件更新通过该认证过程,则在418,在可移动设备上安装组件更新。尽管此处未示出,但该过程可任选地返回到动作404并使用在418处安装在可移动设备上的任何病毒签名更新(或其他组件更新)来重新扫描计算设备以查找病毒。
由此,如图所示,过程400允许使用从可移动设备中加载的可信操作系统来对计算设备执行病毒扫描。一旦已扫描计算设备并消除了任何病毒对其的感染,可移动设备然后就可搜索对其自己的内部组件的任何更新,认证所定位到的任何更新并加载通过认证的更新。在某些实现中,该过程通过在最常规的文件系统操作期间(例如,在病毒扫描期间)以只读模式操作可移动设备来实现,由此防止病毒和其他恶意软件感染该可移动设备。在更新操作期间,组件更新包被传送到可移动设备并经受认证。可移动设备上的微控制器控制认证过程并检查组件更新包以查找签名和/或证书。如果微控制器确定特定更新包的签名和/或证书有效,则该微控制器将允许向可移动设备写入该更新包。否则,可移动设备将保持只读状态以维护其可信操作环境的完整性。
图5示出了用于认证可移动设备组件更新的过程的一个示例,如以上在图4的动作416中所示出的。在500,定位并取得与任何可移动设备组件更新相关联的数字签名。如以上所讨论的,该数字签名可以是总认证证书的一部分。在502,根据任何合适的认证和/或密码协议来处理数字签名。在一个示例中,数字签名用存储在可移动设备上的根证书来验证。在504,确定数字签名是否通过了认证过程。如果数字签名被确定为源自可信授权机构(即,被指定为真实的),则在506,向可移动设备写入与该数字签名相关联的可移动设备组件更新。如果数字签名未通过认证过程,则在508,不向可移动设备写入可移动设备组件更新。在一个示例中,动作508可包括从计算设备中删除未通过认证过程的任何可移动设备组件更新。
安全存储
图6示出了用于实现安全存储设备的示例性过程600。过程600被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示当由一个或多个处理器执行时完成既定操作的计算机指令。出于讨论的目的,过程600参考图2所示的可移动设备202来描述。
在602,将可移动设备与计算设备接口。在一个示例中,动作602通过将可移动设备插入到计算设备上的适当的端口(例如,USB端口)中来完成。在604,在计算设备上定位用户希望将其复制和/或传送到可移动设备的至少一个数据文件。在一个示例中,可定位多个文件,并由此将对每一个文件执行所示过程。该数据文件可本地地存储在计算设备上或者可位于可由该计算设备访问的远程资源上。在606,用驻留在可移动设备上的反病毒工具来扫描数据文件以查找病毒。在608,确定数据文件是否感染病毒或其他恶意软件。如果在数据文件中检测到任何病毒/恶意软件,则在610,使用反病毒工具来消除病毒对该数据文件的感染(即,从文件中去除病毒)。如果未在文件中检测到病毒或其他恶意软件,则在616,将该文件复制到可移动设备。在612,确定是否已成功消除受感染文件的感染。如果未成功消除文件感染,则在614,阻止将该文件复制到可移动设备。任选地,可在另一次消除文件感染的尝试时用反病毒工具来重新扫描该文件。如果已成功消除文件的感染,则在616,将消除感染的文件复制到可移动设备。可移动设备然后可将所复制的文件传送到其他设备而不害怕传播可能已感染文件的任何病毒。这在其中许多不同的用户可访问特定设备的公共终端情形(例如,图书馆)中尤其有用。在这些情况下,用户可能无意地访问受感染的文件并将其下载到公共终端上。使用该安全存储过程,用户可确保从这一终端下载的任何文件都不会受到病毒感染。
结论
虽然已经用对结构特征和/或方法步骤专用的语言描述了本发明,但是应当理解,所附权利要求书中定义的本发明不必限于所描述的具体特征或步骤。相反,各具体特征和步骤是作为实现所要求保护的本发明的较佳形式来公开的。

Claims (20)

1.一种方法,包括:
作为计算设备引导过程的一部分,将可信操作系统从可移动设备加载到所述计算设备上(404),所述可移动设备包括所述可信操作系统和反病毒工具(202);
从所述可移动设备中启动所述反病毒工具(406);
用所述反病毒工具来扫描所述计算设备(408);
搜索一个或多个可移动设备组件更新(414);
如果定位到任何可移动设备组件更新,则向所述可移动设备写入所述可移动设备组件更新中的一个或多个(416、418)。
2.如权利要求1所述的方法,其特征在于,从所述可移动设备中启动所述反病毒工具包括从所述可移动设备中加载一个或多个病毒签名。
3.如权利要求1所述的方法,其特征在于,从所述可移动设备中启动所述反病毒工具包括:
搜索所述计算设备上的一个或多个病毒签名更新;
如果定位到任何病毒签名更新,则认证所述病毒签名更新;以及
利用任何通过认证的病毒签名更新来扫描所述计算设备。
4.如权利要求1所述的方法,其特征在于,用所述反病毒工具来扫描所述计算设备包括去除检测到的任何病毒并使用在所述计算设备内部的操作系统来重新引导所述计算设备。
5.如权利要求1所述的方法,其特征在于,所述可移动设备组件更新是病毒签名更新。
6.如权利要求1所述的方法,其特征在于,所述可移动设备组件更新是反病毒工具更新。
7.如权利要求1所述的方法,其特征在于,对一个或多个可移动设备组件更新的搜索至少部分地由所述可移动设备上的更新代理来执行。
8.如权利要求1所述的方法,其特征在于,向所述可移动设备写入所述可移动设备组件更新中的一个或多个包括:
认证所述可移动设备组件更新;以及
只向所述可移动设备写入通过认证的可移动设备组件更新。
9.如权利要求8所述的方法,其特征在于,所述认证由所述可移动设备上的认证工具来实现。
10.一种便携式设备,包括:
计算机可读存储器(204),所述计算机可读存储器包括
引导外部计算设备的可信操作系统组件(206);
扫描所述外部计算设备的反病毒工具组件(208);
更新所述便携式设备的一个或多个组件的更新代理组件(214);以及
用于控制对所述可移动设备的组件的访问的处理器(216)。
11.如权利要求10所述的便携式设备,其特征在于,所述计算机可读存储器还包括由所述反病毒工具使用的一个或多个病毒签名。
12.如权利要求10所述的便携式设备,其特征在于,所述更新代理被配置成搜索便携式设备组件更新。
13.如权利要求12所述的便携式设备,其特征在于,所述更新代理被配置成搜索在所述外部计算设备和远离所述外部计算设备的资源中的至少一个上的便携式设备组件更新。
14.如权利要求12所述的便携式设备,其特征在于,所述组件更新包括一个或多个病毒签名更新。
15.如权利要求12所述的便携式设备,其特征在于,所述组件更新包括一个或多个反病毒工具更新。
16.如权利要求12所述的便携式设备,其特征在于,所述计算机可读存储器还包括用于认证所述更新代理所定位到的任何便携式设备组件更新的认证工具。
17.一种方法,包括:
将可移动设备与计算设备接口(602);
在所述计算设备上定位将被存储在所述可移动设备上的一个或多个数据文件(604);
用驻留在所述可移动设备上的反病毒工具来扫描所述数据文件(606);
以及
向所述可移动设备写入所述数据文件(616)。
18.如权利要求17所述的方法,其特征在于,所述扫描还包括去除在所述文件中检测到的任何病毒。
19.如权利要求17所述的方法,其特征在于,所述可移动设备包括计算机可读存储器和处理器。
20.如权利要求17所述的方法,其特征在于,所述可移动设备是通用串行总线设备。
CN2008800153230A 2007-05-11 2008-05-02 用于恶意软件检测的可信操作环境 Active CN101681407B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/747,416 US7853999B2 (en) 2007-05-11 2007-05-11 Trusted operating environment for malware detection
US11/747,416 2007-05-11
PCT/US2008/062513 WO2008140977A1 (en) 2007-05-11 2008-05-02 Trusted operating environment for malware detection

Publications (2)

Publication Number Publication Date
CN101681407A true CN101681407A (zh) 2010-03-24
CN101681407B CN101681407B (zh) 2013-05-22

Family

ID=39970763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008800153230A Active CN101681407B (zh) 2007-05-11 2008-05-02 用于恶意软件检测的可信操作环境

Country Status (5)

Country Link
US (2) US7853999B2 (zh)
EP (1) EP2156357B1 (zh)
JP (1) JP2010527075A (zh)
CN (1) CN101681407B (zh)
WO (1) WO2008140977A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103390131A (zh) * 2013-07-29 2013-11-13 无锡华御信息技术有限公司 基于集成flash闪存的电子钥匙的单机安全检查系统
CN105760756A (zh) * 2015-06-30 2016-07-13 卡巴斯基实验室股份制公司 用于检测修改或损坏的外部设备的系统和方法
CN112651020A (zh) * 2020-12-15 2021-04-13 网神信息技术(北京)股份有限公司 威胁检测方法、装置、外接设备、电子设备、介质和程序

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4770306B2 (ja) * 2005-07-12 2011-09-14 日本電気株式会社 端末セキュリティチェックサービス提供方法及びそのシステム
DE102006031870B4 (de) * 2006-06-01 2008-07-31 Siemens Ag Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
US8266692B2 (en) * 2006-07-05 2012-09-11 Bby Solutions, Inc. Malware automated removal system and method
US8234710B2 (en) * 2006-07-05 2012-07-31 BB4 Solutions, Inc. Malware automated removal system and method using a diagnostic operating system
US8104088B2 (en) * 2007-05-11 2012-01-24 Microsoft Corporation Trusted operating environment for malware detection
US9251350B2 (en) * 2007-05-11 2016-02-02 Microsoft Technology Licensing, Llc Trusted operating environment for malware detection
WO2009032446A1 (en) * 2007-08-01 2009-03-12 Devicevm, Inc. Diagnostic virtual appliance
CN101256608B (zh) * 2008-03-25 2010-04-07 北京飞天诚信科技有限公司 安全操作方法和系统
US8312547B1 (en) * 2008-03-31 2012-11-13 Symantec Corporation Anti-malware scanning in a portable application virtualized environment
US7865561B2 (en) * 2008-04-01 2011-01-04 Mcafee, Inc. Increasing spam scanning accuracy by rescanning with updated detection rules
US8484736B2 (en) * 2008-06-06 2013-07-09 Sandisk Il Ltd. Storage device having an anti-malware protection
US8918872B2 (en) * 2008-06-27 2014-12-23 Mcafee, Inc. System, method, and computer program product for reacting in response to a detection of an attempt to store a configuration file and an executable file on a removable device
KR100980606B1 (ko) * 2008-09-08 2010-09-07 주식회사 하이닉스반도체 워드라인 구동회로 및 구동방법
CN101408846B (zh) * 2008-11-24 2011-04-13 华为终端有限公司 一种杀毒软件升级的方法及相应的终端和系统
US8171547B2 (en) 2008-12-03 2012-05-01 Trend Micro Incorporated Method and system for real time classification of events in computer integrity system
US20100154062A1 (en) * 2008-12-16 2010-06-17 Elad Baram Virus Scanning Executed Within a Storage Device to Reduce Demand on Host Resources
US8402544B1 (en) 2008-12-22 2013-03-19 Trend Micro Incorporated Incremental scanning of computer files for malicious codes
US8544092B2 (en) * 2009-03-12 2013-09-24 International Business Machines Corporation Integrity verification using a peripheral device
US20100251372A1 (en) * 2009-03-24 2010-09-30 Barracuda Networks, Inc Demand scheduled email virus afterburner apparatus, method, and system
US8869282B1 (en) * 2009-10-15 2014-10-21 American Megatrends, Inc. Anti-malware support for firmware
US9087188B2 (en) * 2009-10-30 2015-07-21 Intel Corporation Providing authenticated anti-virus agents a direct access to scan memory
US8910288B2 (en) * 2010-02-05 2014-12-09 Leidos, Inc Network managed antivirus appliance
KR101089023B1 (ko) * 2010-08-06 2011-12-01 삼성에스디에스 주식회사 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법
EP2447859B1 (en) * 2010-11-01 2015-04-08 Kaspersky Lab, ZAO System and method for acceleration of malware detection using antivirus cache
JP2012103950A (ja) * 2010-11-11 2012-05-31 Buffalo Inc 情報処理装置に接続される記憶装置のコンピュータウィルス監視
US8898789B2 (en) * 2011-06-14 2014-11-25 Honeywell International Inc. Detecting malicious software on a computing device with a mobile device
US8635698B2 (en) 2011-10-07 2014-01-21 Imation Corp. Antivirus system and method for removable media devices
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification
US9582665B2 (en) * 2014-01-21 2017-02-28 Operation and Data integrity Ltd. Technologies for protecting systems and data to prevent cyber-attacks
US20160180092A1 (en) * 2014-12-23 2016-06-23 Mcafee, Inc. Portable secure storage
US10546131B2 (en) 2015-10-22 2020-01-28 Mcafee, Llc End-point visibility
RU2638735C2 (ru) * 2016-04-25 2017-12-15 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки неактивных операционных систем
RU2639666C2 (ru) * 2016-04-25 2017-12-21 Акционерное общество "Лаборатория Касперского" Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве
US10264002B2 (en) 2016-07-14 2019-04-16 Mitsui Bussan Secure Directions, Inc. Program, information processing device, and information processing method
US20180063179A1 (en) * 2016-08-26 2018-03-01 Qualcomm Incorporated System and Method Of Performing Online Memory Data Collection For Memory Forensics In A Computing Device

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035423A (en) * 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US7930531B2 (en) * 2000-01-06 2011-04-19 Super Talent Electronics, Inc. Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery
US6973577B1 (en) * 2000-05-26 2005-12-06 Mcafee, Inc. System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state
GB2366691B (en) * 2000-08-31 2002-11-06 F Secure Oyj Wireless device management
US7043757B2 (en) * 2001-05-22 2006-05-09 Mci, Llc System and method for malicious code detection
US7243373B2 (en) * 2001-07-25 2007-07-10 Mcafee, Inc. On-access malware scanning
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
CA2509420A1 (en) * 2002-12-11 2004-06-24 Para3, Inc. Communication system, communication terminal comprising virtual network switch and portable electronic device comprising organism recognition unit
US20040254978A1 (en) * 2003-06-12 2004-12-16 International Business Machines Corporation System and method of remotely accessing a computer system to initiate remote mainteneance and management accesses on network computer systems
US20050015606A1 (en) * 2003-07-17 2005-01-20 Blamires Colin John Malware scanning using a boot with a non-installed operating system and download of malware detection files
US20050091558A1 (en) * 2003-10-28 2005-04-28 International Business Machines Corporation System, method and program product for detecting malicious software
KR20050080664A (ko) * 2004-02-10 2005-08-17 주식회사 팬택앤큐리텔 무선통신단말기를 이용한 컴퓨터 바이러스 치료 시스템 및그 방법
US7555568B2 (en) * 2004-02-28 2009-06-30 Huang Evan S Method and apparatus for operating a host computer from a portable apparatus
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
US7370188B2 (en) * 2004-05-17 2008-05-06 Intel Corporation Input/output scanning
US7627898B2 (en) * 2004-07-23 2009-12-01 Microsoft Corporation Method and system for detecting infection of an operating system
KR101201118B1 (ko) * 2004-11-08 2012-11-13 마이크로소프트 코포레이션 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법
KR100713128B1 (ko) * 2004-11-08 2007-05-02 주식회사 비젯 바이러스 방역 장치 및 시스템
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
US20060253908A1 (en) * 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US7239166B2 (en) * 2005-06-15 2007-07-03 Microsoft Corporation Portable multi-purpose toolkit for testing computing device hardware and software
KR20070016029A (ko) 2005-08-02 2007-02-07 최성필 컴퓨터 보안 기능을 제공하는 휴대용 usb 저장 장치 및상기 휴대용 usb 저장 장치의 동작 방법
US20070094654A1 (en) * 2005-10-20 2007-04-26 Microsoft Corporation Updating rescue software
US7877801B2 (en) * 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US8234710B2 (en) 2006-07-05 2012-07-31 BB4 Solutions, Inc. Malware automated removal system and method using a diagnostic operating system
US8335931B2 (en) 2008-06-20 2012-12-18 Imation Corp. Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
WO2011002818A1 (en) 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103390131A (zh) * 2013-07-29 2013-11-13 无锡华御信息技术有限公司 基于集成flash闪存的电子钥匙的单机安全检查系统
CN105760756A (zh) * 2015-06-30 2016-07-13 卡巴斯基实验室股份制公司 用于检测修改或损坏的外部设备的系统和方法
CN112651020A (zh) * 2020-12-15 2021-04-13 网神信息技术(北京)股份有限公司 威胁检测方法、装置、外接设备、电子设备、介质和程序

Also Published As

Publication number Publication date
EP2156357B1 (en) 2018-04-25
EP2156357A1 (en) 2010-02-24
US20110078796A1 (en) 2011-03-31
US7853999B2 (en) 2010-12-14
WO2008140977A1 (en) 2008-11-20
CN101681407B (zh) 2013-05-22
JP2010527075A (ja) 2010-08-05
US20080282351A1 (en) 2008-11-13
US8230511B2 (en) 2012-07-24
EP2156357A4 (en) 2012-02-01

Similar Documents

Publication Publication Date Title
CN101681407B (zh) 用于恶意软件检测的可信操作环境
CN101681406A (zh) 用于恶意软件检测的可信操作环境
US10356086B1 (en) Methods and apparatuses for securely operating shared host computers with portable apparatuses
RU2413295C2 (ru) Система и способ для защищенной начальной загрузки операционной системы с использованием проверки состояния
JP5992457B2 (ja) オペレーティングシステムのコンフィグレーション値の保護
US10169589B2 (en) Securely booting a computer from a user trusted device
JP5959749B2 (ja) 悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法
KR101281678B1 (ko) 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체
US8984296B1 (en) Device driver self authentication method and system
JP2008537224A (ja) 安全な起動方法およびシステム
CN103299311A (zh) 用于可信引导优化的方法和设备
JP2008243183A (ja) ファームウェア装置更新システムおよびその方法
US20190196981A1 (en) Systems And Methods For Providing Connected Anti-Malware Backup Storage
US9251350B2 (en) Trusted operating environment for malware detection
JP7084160B2 (ja) 起動制御装置、起動制御システム、起動制御方法、及び、起動制御プログラム
JP6355657B2 (ja) 処理実行装置、処理実行方法及び制御プログラム
Zimmer Platform Trust Beyond BIOS Using the Unified Extensible Firmware Interface.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150506

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150506

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.