CN101681407B - 用于恶意软件检测的可信操作环境 - Google Patents
用于恶意软件检测的可信操作环境 Download PDFInfo
- Publication number
- CN101681407B CN101681407B CN2008800153230A CN200880015323A CN101681407B CN 101681407 B CN101681407 B CN 101681407B CN 2008800153230 A CN2008800153230 A CN 2008800153230A CN 200880015323 A CN200880015323 A CN 200880015323A CN 101681407 B CN101681407 B CN 101681407B
- Authority
- CN
- China
- Prior art keywords
- equipment
- movable equipment
- operating system
- assembly
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本发明描述了用于扫描计算设备以查找恶意软件的技术和装置。在一个实现中,包括可信操作系统和可信反病毒工具的可信操作环境被包含在可移动数据存储介质上。计算设备然后使用可信操作系统来从可移动数据存储介质引导。可信反病毒工具在计算设备中搜索恶意软件定义更新(例如,病毒签名更新)并使用可信操作系统来扫描该计算设备以查找恶意软件。在另一实现中,计算设备从可移动设备上的可信操作系统引导并且该可移动设备上的可信反病毒工具扫描该计算设备以查找恶意软件。该可移动设备可通过在计算设备或远程资源中搜索更新并认证所定位到的任何更新来更新其自己的内部组件(例如,病毒签名和反病毒工具)。
Description
背景
计算机安全在当今技术驱动的文化中是一个严重的问题。计算机安全违背可在该计算机感染病毒和其他形式的恶意软件时发生。这些感染可例如在下载和打开感染恶意软件的文件(例如,电子邮件)时发生,或者感染可在恶意软件在没有任何直接用户干预的情况下通过网络来访问计算机时发生。在任一种情况下,这些安全威胁的流行已导致产生各种各样的可用于计算机的安全相关工具。这些工具的示例包括反病毒程序、广告软件扫描程序、防火墙等。尽管这些工具可用,但计算机继续感染恶意软件。
恶意软件感染持久性的一个原因是某些恶意软件对安全工具的隐藏能力。恶意软件可通过使用rootkit来对许多安全工具隐藏,该rootkit一般而言是旨在对计算机的操作系统隐藏运行进程、文件或系统数据的一组软件工具。rootkit可将其本身挂钩在计算机的系统中的非常低的地方(例如,在内核层)并截取计算机的操作系统和其他应用程序当在该计算机上运行时利用的主要系统服务。在一个示例中,驻留在计算机上的反病毒工具扫描计算机的硬盘以查找病毒。作为扫描过程的一部分,计算机的操作系统作出一个或多个功能调用,诸如对特定文件的“打开文件”调用。然而,驻留在计算机上的恶意软件可使用rootkit来截取该“打开文件”功能调用并返回“文件丢失”错误或返回错误的文件。由此,反病毒工具无法访问所请求的文件并检查该文件以查找病毒感染。如果所请求的文件感染病毒,则该感染将持续不被检测到。
概述
描述了用于扫描计算设备以查找恶意软件的技术和装置。在一个实现中,包括可信操作系统和可信反病毒工具的可信操作环境被包含在可移动数据存储介质上。计算设备然后使用可信操作系统来从该可移动数据存储介质引导。可信反病毒工具在计算设备中搜索恶意软件定义更新(例如,病毒签名更新)并与可信操作系统交互以扫描该计算设备以便查找恶意软件。另一实现使用诸如具有微控制器的通用串行总线(USB)驱动器等可移动设备来存储可信操作环境。计算设备使用可信操作系统来引导并且可信反病毒工具扫描该计算设备以查找恶意软件。该可移动设备可通过在计算设备或远程资源中搜索更新并认证所定位到的任何更新来更新其自己的内部组件(例如,病毒签名和反病毒工具)。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图简述
参考附图来描述该详细描述。在附图中,附图标记中的最左边的数字标识该附图标记首次出现的附图。在不同附图中使用同一附图标记来指示相似或相同的项目。
图1示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系结构和可移动数据存储介质。
图2示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系结构和可移动设备。
图3是用于搜索恶意软件更新并扫描计算设备以查找恶意软件的示例性过程的流程图。
图4是用于扫描计算设备以查找恶意软件并更新可移动设备的组件的示例性过程的流程图。
图5是用于认证可移动设备组件更新的示例性过程的流程图。
图6是用于安全文件存储的示例性过程的流程图。
详细描述
此处所描述的设备和技术提供了一种可用于扫描计算设备以查找病毒和其他形式的恶意软件并消除任何这些实体对该计算设备的感染(disinfect)的可信操作环境。术语“病毒”和“恶意软件”在此处可互换地使用,并且两者一般都指的是被设计成在没有所有者告知的同意的情况下渗入和/或破坏计算机系统的计算机代码的集合。恶意软件的其他示例包括特洛伊木马、蠕虫、间谍软件等。可信操作环境由诸如软件或硬件制造商等可信授权机构创建,并且然后被包含在可与计算设备接口的设备或计算机可读介质上。对可信操作环境的非授权访问通过使用只准许可信数据访问可信操作环境的只读介质、认证协议和微控制器来阻止。如此处所使用的,术语认证指的是可被实现来验证通信或数据文件所源自的实体的身份并确保该通信或数据文件未被非授权实体篡改或不被允许地更改的任何合适的方法或协议。
在一个示例中,可信操作环境包括可信操作系统和可信反病毒工具。计算设备可使用可信操作系统来引导并由此避开可隐藏在该计算设备上的rootkit和其他恶意软件的问题。可信反病毒工具然后可扫描计算设备并确保其与可信操作系统的交互将准确地反映该计算设备的状态。
示例性体系结构
图1示出了可实现所述过程和技术的体系结构100。计算设备102是体系结构100的一部分。尽管被示为台式PC,但计算设备102可被实现为各种常规计算设备中的任一种,包括例如,服务器、笔记本或便携式计算机、工作站、大型计算机、移动通信设备、PDA、娱乐设备、机顶盒、因特网设备、游戏控制台等。
计算设备102可包括但不限于,一个或多个处理器104、存储器106、输入/输出(I/O)设备108(例如,键盘和鼠标)以及操作上将包括处理器104在内的各种组件耦合到存储器106的系统总线(未示出)。计算设备102的存储器包括诸如随机存取存储器(RAM)等易失性存储器形式的和/或诸如只读存储器(ROM)或闪速RAM等非易失性存储器形式的计算机可读介质。存储器106通常包括数据和/或程序模块,诸如操作系统110和病毒更新包112。数字签名114和病毒签名更新116是病毒更新包112的一部分,这两者将在以下更详细地讨论。
为了实现病毒扫描过程,用户将可移动数据存储介质118加载到计算设备102中以使得该计算设备可读取该可移动介质。可移动数据存储介质118是可与计算设备接口(例如,通过将其插入盘驱动器中)并在不必拆卸计算设备的情况下移除的数据存储介质。尽管可移动数据存储介质118在此处被示为紧致盘(CD)或数字多功能盘(DVD),但可采用任何合适的计算机可读可移动数据存储介质,包括其他光存储介质,闪存、盒式磁带、磁带、磁盘存储或其它磁存储设备,或者可用于存储所需信息并可由计算机访问的任何其它可移动存储介质。此外,可移动数据存储介质118可以是只读介质以使得其上所包含的数据和文件无法被来自感染源(例如,计算设备102)的、试图感染该存储介质的恶意软件感染。
用户然后从可移动数据存储介质118引导计算设备102。可移动数据存储介质118包括可移动介质存储器120,该存储器存储用于实现所述过程的数据和/或程序模块和组件。如在此使用的术语“模块”或“组件”一般表示软件、固件、或者软件和固件的组合。作为引导过程的一部分,计算设备102从可移动介质存储器120中加载可信操作系统(OS)122。可信反病毒工具124然后自动或通过用户所表示的动作从可移动介质存储器120中启动。
可信反病毒工具124然后加载存储在可移动介质存储器120上的病毒签名126。病毒签名126是用于标识病毒的一组病毒“指纹”。示例性病毒签名是病毒的计算机代码的全部或部分的二进制模式。可信反病毒工具124还搜索计算设备102并标识当前未被存储在可移动介质存储器120上的任何病毒签名。在一个示例中,可信反病毒工具124在存储器106上定位包含病毒签名更新116的病毒更新包112。病毒签名更新116包括一个或多个病毒签名,其中的某一些可以与存储在可移动数据存储介质118上的任何病毒签名不同(例如,它们可标识更新近编目的病毒)。在将病毒签名更新116用于病毒扫描之前,可信反病毒工具124使用认证工具128来验证病毒更新包112的真实性。
为了验证和/或认证病毒更新包112,认证工具128利用来自可移动介质存储器120的根证书130来认证数字签名114。一般而言,数字签名114是已编码的消息或其他数据片段,将数字签名114与根证书130进行比较以确定病毒更新包112是否源自可信授权机构并且未被篡改。在一个示例中,数字签名114是诸如X.509证书等作为病毒更新包112的一部分的数字证书的一部分。如果数字签名114被确定为是真实的,则可信反病毒工具124将病毒签名更新指定为通过认证并加载该病毒签名更新。该认证方法只是出于示例的目的而给出的,并且可利用任何合适的密码、验证和/或认证协议来验证病毒签名更新源自可信授权机构。
可信反病毒工具124然后在计算设备102上运行并使用病毒签名126以及来自病毒更新包112的任何通过认证的病毒签名更新来扫描计算设备102以查找病毒。通过在病毒扫描时与可信操作系统122交互,用户可确保在病毒扫描过程期间作出的操作系统调用将正确地返回所请求的文件并给出对计算设备102的准确描述。
此外,对于体系结构100,计算设备102可使用网络132来访问远程资源134。网络132可包括但不限于,局域网(LAN)、广域网(WAN)和城域网(MAN)。远程资源134可以是web服务器、服务器场、大型计算机、数据中心或能够存储和/或传输数据的任何其他资源。由此,可信反病毒工具124可利用计算设备102和网络132来访问远程资源134并标识和下载驻留在该远程资源上的一个或多个病毒签名更新。将如以上所讨论地认证远程资源134上所标识的任何病毒签名更新。
图2示出了可实现所述过程和技术及其变体的示例性体系结构200。体系结构200包括图1所介绍的计算设备102。还示出了可移动设备202。尽管可移动设备202在此处被示为通用串行总线(USB)设备,但可利用任何合适的可移动和/或便携式设备,诸如PC卡、智能卡、火线设备等。在操作中,可移动设备202与计算设备102接口并且该计算设备从该可移动设备引导。作为引导过程的一部分,计算设备102访问可移动设备202上的存储器204并加载可信操作系统206。存储器204通常包括可立即由微控制器216访问和/或当前正在计算设备102上操作的、用于实现所述过程的数据、程序模块和组件。
可信反病毒工具208然后从存储器204中启动并且该可信反病毒工具从存储器204中加载病毒签名210。可信反病毒工具208可任选地使用类似于以上参考图1所讨论的过程来在计算设备102上定位并认证病毒签名更新。可信反病毒工具208然后继续使用所加载的病毒签名来扫描计算设备102以查找病毒。通过与在计算设备102上运行的可信操作系统206交互,可信反病毒工具208可执行对计算设备102的彻底的病毒扫描,包括任何存储设备(例如,硬盘驱动器)、基本输入/输出系统(BIOS)、硬件、固件等。如果定位到任何病毒,则从计算设备102中去除该病毒。计算设备102然后可使用其自己的内部操作系统来重新引导至干净的操作环境中。
可移动设备202具有使用更新代理214和微控制器216来安全地更新自自己的内部组件的能力。微控制器216是包括控制可移动设备202的特定过程和动作所必需的组件的集成电路或微处理器。尽管未在图2中示出,但微控制器216的组件包括一个或多个处理器、一种或多种形式的存储器(例如,只读存储器和/或随机存取存储器)、输入/输出端口、定时器等。
可更新可移动设备202的任何组件,包括病毒签名210和可信反病毒工具208。作为更新过程的一部分,微控制器216可利用更新代理214来在计算设备102中搜索一个或多个可移动设备组件更新。微控制器216还可利用更新代理214来经由计算设备102和网络132访问远程资源134以获得所需组件更新。如果定位到任何组件更新,则认证工具212可使用任何合适的认证和/或密码协议来验证组件更新源自可信授权机构。如果认证工具212确定组件更新是真实的(即,该组件更新通过认证过程),则向存储器204写入该组件更新。否则,微控制器216阻止任何未通过认证的和未经授权的数据(例如,未通过认证过程的组件更新)被写入到存储器216上。将微控制器216用作“看门人”准许动态更新可移动设备202同时维护其内部组件的可信方面。
示例性过程
图3示出了用于执行病毒扫描的示例性过程300。过程300被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示在由一个或多个处理器执行时执行既定操作的计算机指令。虽然以下各过程按照单独的动作来讨论,但这并非旨在是限制性的,并且在某些示例中可组合所讨论的动作。出于讨论的目的,过程300参考图1所示的体系结构100来描述。
在302,将可移动数据存储介质(诸如可移动数据存储介质118)加载到计算设备中。在304,从可移动数据存储介质上的可信操作环境引导计算设备。作为该引导过程的一部分,可信操作系统从可移动数据存储介质加载到计算设备上。在306,从可移动数据存储介质中启动可信反病毒工具。动作306可通过从可移动数据存储介质运行可信反病毒工具或者将该可信反病毒工具加载到计算设备上并从该计算设备运行该工具来完成。在308,可新反病毒工具搜索计算设备并定位任何病毒签名更新。病毒签名更新可以是病毒更新包的一部分,该病毒更新包包括病毒签名更新和可用于认证更新的数字签名。数字签名可以是诸如X.509证书等作为病毒更新包的一部分来存储在计算设备上或存储在计算设备上的其他地方的认证证书的一部分。可信反病毒工具还可利用计算设备和网络来在远程资源中搜索病毒签名更新。如果定位到和/或标识了任何病毒签名更新,则在310处认证这些更新。在一个示例中,动作310包括处理数字签名以确定病毒签名更新是否源自可信授权机构。
在312,可信反病毒工具连同任何通过认证的病毒签名更新一起加载存储在可移动数据存储介质上的任何病毒签名。在314,可信反病毒工具与计算设备上所加载的可信操作系统交互以扫描该计算设备以查找匹配所加载的病毒签名的任何病毒。可信反病毒工具可执行对计算设备的全面扫描,包括任何存储设备(例如,硬盘驱动器)、BIOS、硬件、固件等。在316,从计算设备中去除所定位到的任何病毒。在318,将计算设备重新引导至干净的内部操作环境中。该内部操作环境包括已使用此处所讨论的技术来扫描并清除了任何病毒或其他恶意软件的操作系统。
图4示出了用于执行病毒扫描的示例性过程400。过程400被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示当由一个或多个处理器执行时完成既定操作的计算机指令。出于讨论的目的,过程400参考图2所示的体系结构200来描述。
在402,将可移动设备(例如,可移动设备202)与用户希望扫描以查找病毒的计算设备接口。在一个示例中,动作402通过将可移动设备插入到计算设备上的适当的端口(例如,USB端口)中来完成。在404,从可移动设备引导计算设备。作为该引导过程的一部分,可信操作系统从可移动设备加载到计算设备上。在406,从可移动设备中启动可信反病毒工具。动作406可通过从可移动设备运行可信反病毒工具或者将该可信反病毒工具加载到计算设备上并从该计算设备运行该工具来完成。作为动作406的一部分,可信反病毒工具加载存储在可移动设备上的一个或多个病毒签名。可移动设备还可定位存储在计算设备和/或远程资源上的一个或多个病毒签名更新,认证病毒签名更新并加载任何通过认证的病毒签名更新。在408,可信反病毒工具与计算设备上所加载的可信操作系统交互以扫描该计算设备以查找任何病毒。该反病毒工具基于存储在可移动设备上的病毒签名加上来自计算设备的任何通过认证的病毒签名更新来标识任何病毒。在410,去除所定位到的任何病毒。
在412,将计算设备重新引导至包括已扫描并清除了病毒的操作系统的干净的内部环境。该内部操作系统是驻留在计算设备上的操作系统(即,该操作系统不是从可移动设备中加载的操作系统)。在414,可移动设备然后检查对其内部组件(例如,病毒签名和反病毒工具本身)的更新。该可移动设备可在计算设备中搜索组件更新,或者可任选地访问远程资源以搜索组件更新。如果定位到任何组件更新,则在416,使用任何合适的认证和/或密码过程来认证组件更新。如果任何组件更新通过该认证过程,则在418,在可移动设备上安装组件更新。尽管此处未示出,但该过程可任选地返回到动作404并使用在418处安装在可移动设备上的任何病毒签名更新(或其他组件更新)来重新扫描计算设备以查找病毒。
由此,如图所示,过程400允许使用从可移动设备中加载的可信操作系统来对计算设备执行病毒扫描。一旦已扫描计算设备并消除了任何病毒对其的感染,可移动设备然后就可搜索对其自己的内部组件的任何更新,认证所定位到的任何更新并加载通过认证的更新。在某些实现中,该过程通过在最常规的文件系统操作期间(例如,在病毒扫描期间)以只读模式操作可移动设备来实现,由此防止病毒和其他恶意软件感染该可移动设备。在更新操作期间,组件更新包被传送到可移动设备并经受认证。可移动设备上的微控制器控制认证过程并检查组件更新包以查找签名和/或证书。如果微控制器确定特定更新包的签名和/或证书有效,则该微控制器将允许向可移动设备写入该更新包。否则,可移动设备将保持只读状态以维护其可信操作环境的完整性。
图5示出了用于认证可移动设备组件更新的过程的一个示例,如以上在图4的动作416中所示出的。在500,定位并取得与任何可移动设备组件更新相关联的数字签名。如以上所讨论的,该数字签名可以是总认证证书的一部分。在502,根据任何合适的认证和/或密码协议来处理数字签名。在一个示例中,数字签名用存储在可移动设备上的根证书来验证。在504,确定数字签名是否通过了认证过程。如果数字签名被确定为源自可信授权机构(即,被指定为真实的),则在506,向可移动设备写入与该数字签名相关联的可移动设备组件更新。如果数字签名未通过认证过程,则在508,不向可移动设备写入可移动设备组件更新。在一个示例中,动作508可包括从计算设备中删除未通过认证过程的任何可移动设备组件更新。
安全存储
图6示出了用于实现安全存储设备的示例性过程600。过程600被示为逻辑流程图中的框集合,该框集合表示可用硬件、软件或其组合来实现的操作序列。在软件的上下文中,各个框表示当由一个或多个处理器执行时完成既定操作的计算机指令。出于讨论的目的,过程600参考图2所示的可移动设备202来描述。
在602,将可移动设备与计算设备接口。在一个示例中,动作602通过将可移动设备插入到计算设备上的适当的端口(例如,USB端口)中来完成。在604,在计算设备上定位用户希望将其复制和/或传送到可移动设备的至少一个数据文件。在一个示例中,可定位多个文件,并由此将对每一个文件执行所示过程。该数据文件可本地地存储在计算设备上或者可位于可由该计算设备访问的远程资源上。在606,用驻留在可移动设备上的反病毒工具来扫描数据文件以查找病毒。在608,确定数据文件是否感染病毒或其他恶意软件。如果在数据文件中检测到任何病毒/恶意软件,则在610,使用反病毒工具来消除病毒对该数据文件的感染(即,从文件中去除病毒)。如果未在文件中检测到病毒或其他恶意软件,则在616,将该文件复制到可移动设备。在612,确定是否已成功消除受感染文件的感染。如果未成功消除文件感染,则在614,阻止将该文件复制到可移动设备。任选地,可在另一次消除文件感染的尝试时用反病毒工具来重新扫描该文件。如果已成功消除文件的感染,则在616,将消除感染的文件复制到可移动设备。可移动设备然后可将所复制的文件传送到其他设备而不害怕传播可能已感染文件的任何病毒。这在其中许多不同的用户可访问特定设备的公共终端情形(例如,图书馆)中尤其有用。在这些情况下,用户可能无意地访问受感染的文件并将其下载到公共终端上。使用该安全存储过程,用户可确保从这一终端下载的任何文件都不会受到病毒感染。
结论
虽然已经用对结构特征和/或方法步骤专用的语言描述了本发明,但是应当理解,所附权利要求书中定义的本发明不必限于所描述的具体特征或步骤。相反,各具体特征和步骤是作为实现所要求保护的本发明的较佳形式来公开的。
Claims (19)
1.一种用于恶意软件检测的方法,包括:
作为计算设备引导过程的一部分,将可信操作系统从可移动设备加载到所述计算设备上(404),所述可移动设备包括所述可信操作系统和反病毒工具(202),其中,所述可信操作系统是与所述计算设备的操作系统分开的另一操作系统;
从所述可移动设备中启动所述反病毒工具(406);
用所述反病毒工具来扫描所述计算设备(408);
搜索一个或多个可移动设备组件更新(414);
如果定位到任何可移动设备组件更新,则向所述可移动设备写入所述可移动设备组件更新中的一个或多个(416、418)。
2.如权利要求1所述的方法,其特征在于,从所述可移动设备中启动所述反病毒工具包括从所述可移动设备中加载一个或多个病毒签名。
3.如权利要求1所述的方法,其特征在于,从所述可移动设备中启动所述反病毒工具包括:
搜索所述计算设备上的一个或多个病毒签名更新;
如果定位到任何病毒签名更新,则认证所述病毒签名更新;以及
利用任何通过认证的病毒签名更新来扫描所述计算设备。
4.如权利要求1所述的方法,其特征在于,用所述反病毒工具来扫描所述计算设备包括去除检测到的任何病毒并使用在所述计算设备内部的操作系统来重新引导所述计算设备。
5.如权利要求1所述的方法,其特征在于,所述可移动设备组件更新是病毒签名更新。
6.如权利要求1所述的方法,其特征在于,所述可移动设备组件更新是反病毒工具更新。
7.如权利要求1所述的方法,其特征在于,对一个或多个可移动设备组件更新的搜索至少部分地由所述可移动设备上的更新代理来执行。
8.如权利要求1所述的方法,其特征在于,向所述可移动设备写入所述可移动设备组件更新中的一个或多个包括:
认证所述可移动设备组件更新;以及
只向所述可移动设备写入通过认证的可移动设备组件更新。
9.如权利要求8所述的方法,其特征在于,所述认证由所述可移动设备上的认证工具来实现。
10.一种用于恶意软件检测的装置,包括:
作为外部计算设备引导过程的一部分来从便携式设备加载到所述外部计算设备的可信操作系统组件(206),其中,所述可信操作系统是与所述外部计算设备的操作系统分开的另一操作系统;
扫描所述外部计算设备的反病毒工具组件(208);
更新代理组件(214),所述更新代理组件用于搜索便携式设备组件更新,并且如果定位到任何便携式设备组件更新,则向所述便携式设备写入所述便携式设备组件更新中的一个或多个。
11.如权利要求10所述的装置,其特征在于,还包括由所述反病毒工具使用的一个或多个病毒签名。
12.如权利要求10所述的装置,其特征在于,所述更新代理被配置成搜索在所述外部计算设备和远离所述外部计算设备的资源中的至少一个上的便携式设备组件更新。
13.如权利要求10所述的装置,其特征在于,所述组件更新包括一个或多个病毒签名更新。
14.如权利要求10所述的装置,其特征在于,所述组件更新包括一个或多个反病毒工具更新。
15.如权利要求10所述的装置,其特征在于,还包括用于认证所述更新代理所定位到的任何便携式设备组件更新的认证工具。
16.一种用于恶意软件检测的方法,包括:
将可移动设备与计算设备接口(602);
作为计算设备引导过程的一部分,将可信操作系统从所述可移动设备加载到所述计算设备上,所述可移动设备包括所述可信操作系统和反病毒工具,其中,所述可信操作系统是与所述计算设备的操作系统分开的另一操作系统;
在所述计算设备上定位将被存储在所述可移动设备上的一个或多个数据文件(604);
用驻留在所述可移动设备上的所述反病毒工具来扫描所述数据文件(606);以及
向所述可移动设备写入所述数据文件(616)。
17.如权利要求16所述的方法,其特征在于,所述扫描还包括去除在所述文件中检测到的任何病毒。
18.如权利要求16所述的方法,其特征在于,所述可移动设备包括计算机可读存储器和处理器。
19.如权利要求16所述的方法,其特征在于,所述可移动设备是通用串行总线设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/747,416 | 2007-05-11 | ||
| US11/747,416 US7853999B2 (en) | 2007-05-11 | 2007-05-11 | Trusted operating environment for malware detection |
| PCT/US2008/062513 WO2008140977A1 (en) | 2007-05-11 | 2008-05-02 | Trusted operating environment for malware detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101681407A CN101681407A (zh) | 2010-03-24 |
| CN101681407B true CN101681407B (zh) | 2013-05-22 |
Family
ID=39970763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008800153230A Active CN101681407B (zh) | 2007-05-11 | 2008-05-02 | 用于恶意软件检测的可信操作环境 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7853999B2 (zh) |
| EP (1) | EP2156357B1 (zh) |
| JP (1) | JP2010527075A (zh) |
| CN (1) | CN101681407B (zh) |
| WO (1) | WO2008140977A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4770306B2 (ja) * | 2005-07-12 | 2011-09-14 | 日本電気株式会社 | 端末セキュリティチェックサービス提供方法及びそのシステム |
| DE102006031870B4 (de) * | 2006-06-01 | 2008-07-31 | Siemens Ag | Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels |
| US8234710B2 (en) * | 2006-07-05 | 2012-07-31 | BB4 Solutions, Inc. | Malware automated removal system and method using a diagnostic operating system |
| US8266692B2 (en) * | 2006-07-05 | 2012-09-11 | Bby Solutions, Inc. | Malware automated removal system and method |
| US9251350B2 (en) * | 2007-05-11 | 2016-02-02 | Microsoft Technology Licensing, Llc | Trusted operating environment for malware detection |
| US8104088B2 (en) * | 2007-05-11 | 2012-01-24 | Microsoft Corporation | Trusted operating environment for malware detection |
| WO2009032446A1 (en) * | 2007-08-01 | 2009-03-12 | Devicevm, Inc. | Diagnostic virtual appliance |
| CN101256608B (zh) * | 2008-03-25 | 2010-04-07 | 北京飞天诚信科技有限公司 | 安全操作方法和系统 |
| US8312547B1 (en) * | 2008-03-31 | 2012-11-13 | Symantec Corporation | Anti-malware scanning in a portable application virtualized environment |
| US7865561B2 (en) * | 2008-04-01 | 2011-01-04 | Mcafee, Inc. | Increasing spam scanning accuracy by rescanning with updated detection rules |
| US8484736B2 (en) * | 2008-06-06 | 2013-07-09 | Sandisk Il Ltd. | Storage device having an anti-malware protection |
| US8918872B2 (en) * | 2008-06-27 | 2014-12-23 | Mcafee, Inc. | System, method, and computer program product for reacting in response to a detection of an attempt to store a configuration file and an executable file on a removable device |
| KR100980606B1 (ko) * | 2008-09-08 | 2010-09-07 | 주식회사 하이닉스반도체 | 워드라인 구동회로 및 구동방법 |
| CN101408846B (zh) * | 2008-11-24 | 2011-04-13 | 华为终端有限公司 | 一种杀毒软件升级的方法及相应的终端和系统 |
| CA2686796C (en) | 2008-12-03 | 2017-05-16 | Trend Micro Incorporated | Method and system for real time classification of events in computer integrity system |
| US20100154062A1 (en) * | 2008-12-16 | 2010-06-17 | Elad Baram | Virus Scanning Executed Within a Storage Device to Reduce Demand on Host Resources |
| US8402544B1 (en) | 2008-12-22 | 2013-03-19 | Trend Micro Incorporated | Incremental scanning of computer files for malicious codes |
| US8544092B2 (en) * | 2009-03-12 | 2013-09-24 | International Business Machines Corporation | Integrity verification using a peripheral device |
| US20100251372A1 (en) * | 2009-03-24 | 2010-09-30 | Barracuda Networks, Inc | Demand scheduled email virus afterburner apparatus, method, and system |
| US8869282B1 (en) | 2009-10-15 | 2014-10-21 | American Megatrends, Inc. | Anti-malware support for firmware |
| US9087188B2 (en) * | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
| US8910288B2 (en) * | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
| KR101089023B1 (ko) | 2010-08-06 | 2011-12-01 | 삼성에스디에스 주식회사 | 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법 |
| EP2447859B1 (en) * | 2010-11-01 | 2015-04-08 | Kaspersky Lab, ZAO | System and method for acceleration of malware detection using antivirus cache |
| JP2012103950A (ja) * | 2010-11-11 | 2012-05-31 | Buffalo Inc | 情報処理装置に接続される記憶装置のコンピュータウィルス監視 |
| US8898789B2 (en) * | 2011-06-14 | 2014-11-25 | Honeywell International Inc. | Detecting malicious software on a computing device with a mobile device |
| US8635698B2 (en) * | 2011-10-07 | 2014-01-21 | Imation Corp. | Antivirus system and method for removable media devices |
| US9058504B1 (en) * | 2013-05-21 | 2015-06-16 | Malwarebytes Corporation | Anti-malware digital-signature verification |
| CN103390131A (zh) * | 2013-07-29 | 2013-11-13 | 无锡华御信息技术有限公司 | 基于集成flash闪存的电子钥匙的单机安全检查系统 |
| US9582665B2 (en) * | 2014-01-21 | 2017-02-28 | Operation and Data integrity Ltd. | Technologies for protecting systems and data to prevent cyber-attacks |
| US20160180092A1 (en) * | 2014-12-23 | 2016-06-23 | Mcafee, Inc. | Portable secure storage |
| RU2601148C1 (ru) * | 2015-06-30 | 2016-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления аномалий при подключении устройств |
| US10546131B2 (en) | 2015-10-22 | 2020-01-28 | Mcafee, Llc | End-point visibility |
| RU2639666C2 (ru) * | 2016-04-25 | 2017-12-21 | Акционерное общество "Лаборатория Касперского" | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве |
| RU2638735C2 (ru) * | 2016-04-25 | 2017-12-15 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки неактивных операционных систем |
| US10264002B2 (en) * | 2016-07-14 | 2019-04-16 | Mitsui Bussan Secure Directions, Inc. | Program, information processing device, and information processing method |
| US20180063179A1 (en) * | 2016-08-26 | 2018-03-01 | Qualcomm Incorporated | System and Method Of Performing Online Memory Data Collection For Memory Forensics In A Computing Device |
| CN112651020A (zh) * | 2020-12-15 | 2021-04-13 | 网神信息技术(北京)股份有限公司 | 威胁检测方法、装置、外接设备、电子设备、介质和程序 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7184554B2 (en) * | 2000-08-31 | 2007-02-27 | F-Secure Oyj | Wireless device management |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6035423A (en) | 1997-12-31 | 2000-03-07 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
| US7930531B2 (en) | 2000-01-06 | 2011-04-19 | Super Talent Electronics, Inc. | Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery |
| US6973577B1 (en) | 2000-05-26 | 2005-12-06 | Mcafee, Inc. | System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state |
| US7043757B2 (en) | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| US7243373B2 (en) * | 2001-07-25 | 2007-07-10 | Mcafee, Inc. | On-access malware scanning |
| US7188369B2 (en) | 2002-10-03 | 2007-03-06 | Trend Micro, Inc. | System and method having an antivirus virtual scanning processor with plug-in functionalities |
| JP4399367B2 (ja) * | 2002-12-11 | 2010-01-13 | パラ3、インコーポレイテッド | 通信システム、仮想ネットワークスイッチを備えた通信端末および生体認識装置を備えた携帯型電子デバイス |
| US20040254978A1 (en) | 2003-06-12 | 2004-12-16 | International Business Machines Corporation | System and method of remotely accessing a computer system to initiate remote mainteneance and management accesses on network computer systems |
| US20050015606A1 (en) | 2003-07-17 | 2005-01-20 | Blamires Colin John | Malware scanning using a boot with a non-installed operating system and download of malware detection files |
| US20050091558A1 (en) | 2003-10-28 | 2005-04-28 | International Business Machines Corporation | System, method and program product for detecting malicious software |
| KR20050080664A (ko) | 2004-02-10 | 2005-08-17 | 주식회사 팬택앤큐리텔 | 무선통신단말기를 이용한 컴퓨터 바이러스 치료 시스템 및그 방법 |
| US7555568B2 (en) | 2004-02-28 | 2009-06-30 | Huang Evan S | Method and apparatus for operating a host computer from a portable apparatus |
| US7840763B2 (en) | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
| US7370188B2 (en) * | 2004-05-17 | 2008-05-06 | Intel Corporation | Input/output scanning |
| US7627898B2 (en) | 2004-07-23 | 2009-12-01 | Microsoft Corporation | Method and system for detecting infection of an operating system |
| KR100713128B1 (ko) * | 2004-11-08 | 2007-05-02 | 주식회사 비젯 | 바이러스 방역 장치 및 시스템 |
| KR101201118B1 (ko) * | 2004-11-08 | 2012-11-13 | 마이크로소프트 코포레이션 | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 |
| US7673341B2 (en) | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
| US20060253908A1 (en) * | 2005-05-03 | 2006-11-09 | Tzu-Jian Yang | Stateful stack inspection anti-virus and anti-intrusion firewall system |
| US7239166B2 (en) * | 2005-06-15 | 2007-07-03 | Microsoft Corporation | Portable multi-purpose toolkit for testing computing device hardware and software |
| KR20070016029A (ko) | 2005-08-02 | 2007-02-07 | 최성필 | 컴퓨터 보안 기능을 제공하는 휴대용 usb 저장 장치 및상기 휴대용 usb 저장 장치의 동작 방법 |
| US20070094654A1 (en) | 2005-10-20 | 2007-04-26 | Microsoft Corporation | Updating rescue software |
| US7877801B2 (en) * | 2006-05-26 | 2011-01-25 | Symantec Corporation | Method and system to detect malicious software |
| US8234710B2 (en) | 2006-07-05 | 2012-07-31 | BB4 Solutions, Inc. | Malware automated removal system and method using a diagnostic operating system |
| US8335931B2 (en) | 2008-06-20 | 2012-12-18 | Imation Corp. | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments |
| US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
| US20100332593A1 (en) | 2009-06-29 | 2010-12-30 | Igor Barash | Systems and methods for operating an anti-malware network on a cloud computing platform |
-
2007
- 2007-05-11 US US11/747,416 patent/US7853999B2/en active Active
-
2008
- 2008-05-02 WO PCT/US2008/062513 patent/WO2008140977A1/en active Application Filing
- 2008-05-02 EP EP08747558.8A patent/EP2156357B1/en active Active
- 2008-05-02 JP JP2010507569A patent/JP2010527075A/ja active Pending
- 2008-05-02 CN CN2008800153230A patent/CN101681407B/zh active Active
-
2010
- 2010-12-10 US US12/964,889 patent/US8230511B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7184554B2 (en) * | 2000-08-31 | 2007-02-27 | F-Secure Oyj | Wireless device management |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008140977A1 (en) | 2008-11-20 |
| JP2010527075A (ja) | 2010-08-05 |
| EP2156357B1 (en) | 2018-04-25 |
| US8230511B2 (en) | 2012-07-24 |
| US20080282351A1 (en) | 2008-11-13 |
| EP2156357A1 (en) | 2010-02-24 |
| US7853999B2 (en) | 2010-12-14 |
| US20110078796A1 (en) | 2011-03-31 |
| CN101681407A (zh) | 2010-03-24 |
| EP2156357A4 (en) | 2012-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101681407B (zh) | 用于恶意软件检测的可信操作环境 | |
| CN101681406A (zh) | 用于恶意软件检测的可信操作环境 | |
| KR101434102B1 (ko) | 인증된 안티바이러스 에이전트에게 메모리를 스캔하는 직접 액세스를 제공하는 것 | |
| EP1984864B1 (en) | Method for preventing malicious software installation on an internet-connected computer | |
| US8474032B2 (en) | Firewall+ storage apparatus, method and system | |
| CN103299311B (zh) | 用于可信引导优化的方法和设备 | |
| RU2413295C2 (ru) | Система и способ для защищенной начальной загрузки операционной системы с использованием проверки состояния | |
| US20170323104A1 (en) | Securely booting a computer from a user trusted device | |
| JP2008537224A (ja) | 安全な起動方法およびシステム | |
| US8086835B2 (en) | Rootkit detection | |
| US9251350B2 (en) | Trusted operating environment for malware detection | |
| JP6355657B2 (ja) | 処理実行装置、処理実行方法及び制御プログラム | |
| RU85249U1 (ru) | Аппаратный антивирус | |
| KR20110130644A (ko) | 안티바이러스 유에스비 저장장치 및 이를 이용한 컴퓨터 악성코드 탐지 방법 | |
| KR20110048014A (ko) | 컴퓨터 플랫폼에서의 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150506 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150506 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |