CN104272251A - 修改系统管理存储器页表的可执行位 - Google Patents
修改系统管理存储器页表的可执行位 Download PDFInfo
- Publication number
- CN104272251A CN104272251A CN201280072950.4A CN201280072950A CN104272251A CN 104272251 A CN104272251 A CN 104272251A CN 201280072950 A CN201280072950 A CN 201280072950A CN 104272251 A CN104272251 A CN 104272251A
- Authority
- CN
- China
- Prior art keywords
- computing equipment
- managed storage
- page table
- page
- execute bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/023—Free address space management
- G06F12/0238—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/023—Free address space management
- G06F12/0238—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
- G06F12/0246—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7201—Logical to physical mapping or translation of blocks or pages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/72—Details relating to flash memory management
- G06F2212/7207—Details relating to flash memory management management of metadata or control data
Abstract
计算设备响应于计算设备通电而创建系统管理存储器页表。系统管理存储器页表包括具有可执行位的页面。计算设备在启动计算设备的可选只读存储器之前修改页面的可执行位。
Description
背景技术
当管理计算设备的安全时,计算设备的操作系统可用于管理在计算设备的应用程序和内容之间的访问。操作系统可控制对计算设备上的受保护内容例如财务信息和/或用户的识别信息的访问。如果操作系统由于恶意软件而被损害,则恶意软件可避开计算设备的防护而访问受保护内容。
附图说明
从结合附图的接下来的详细描述中,所公开的实施例的各种特征和优点将明显,附图一起作为示例示出所公开的实施例的特征。
图1示出根据示例的具有可选只读存储器和系统管理页表的计算设备。
图2示出根据示例的创建系统管理存储器页表的控制器的方框图。
图3A和图3B示出根据示例的修改系统管理存储器页表的控制器的方框图。
图4是示出根据示例的用于管理计算设备的方法的流程图。
图5是示出根据示例的用于管理计算设备的方法的流程图。
具体实施方式
计算设备响应于从断开状态通电而创建系统管理(SMM)页表。断电状态可以是计算设备的机械断开状态或软断开状态。为了本申请的目的,SMM页表是包括在计算设备的系统管理存储器内的数据结构。系统管理存储器是包括在计算设备内的存储器例如随机存取存储器的被保护区域。SMM页表包括存储系统管理存储器的位置与由计算设备的应用程序或进程使用的虚拟地址之间的映射的页面。
在一个实施例中,SMM页表中的页面包括内容,例如可执行代码行。在另一实施例中,SMM页表的页面包括可执行代码行驻留的系统管理存储器的地址。包括在SMM页表中的每个页面包括对应的可执行位。可执行位包括识别对应页面的内容是否可访问驻留在系统管理存储器之外的内容的标志或寄存器。计算设备可修改可执行位以禁止来自SMM页表和/或系统管理存储器的代码行访问驻留在系统管理存储器之外的内容。
在计算设备的可选只读存储器(Option ROM)被启动之前,计算设备修改包括在SMM页表中的页面的可执行位。为了本申请的目的,可选ROM包括计算设备的操作系统或由计算设备的基本输入/输出系统(BIOS)启动的部件的固件。可选ROM驻留在系统管理存储器之外。计算设备可通过禁用可执行位或通过将可执行位设置为不执行来修改可执行位。
作为结果,通过在可选ROM被启动之前修改页表的可执行位,计算设备禁止SMM页表和/或系统管理存储器的代码行调用驻留在系统管理存储器之外的可选ROM。通过禁止来自SMM页表和/或系统管理存储器的代码行访问在系统管理存储器之外的内容,SMM页表和系统管理存储器的内容被保护免受驻留在系统管理存储器之外的恶意内容的影响。
图1示出根据示例的具有可选只读存储器(ROM)145的计算设备100以创建系统管理页表130。在一个实施例中,计算设备100可以是笔记本计算机、上网本计算机、平板计算机、台式计算机、工作站、服务器和/或一体化系统。在另一实施例中,计算设备100可以是蜂窝设备、智能电话、PDA(个人数字助理)、E(电子)阅读器和/或创建系统管理存储器页表130的任何其它的计算设备100。
计算设备100包括控制器120、包括可选ROM的存储部件140、系统管理存储器页表130、以及用于计算设备100和/或计算设备100的一个或多个部件彼此通信的通信信道150。在一个实施例中,计算设备100还包括存储在非易失性计算机可读介质上的安全应用程序,该非易失性计算机可读介质被包括在计算设备100中或可由计算设备100访问。为了本申请的目的,安全应用程序是可独立地和/或结合控制器120利用来管理计算设备100的固件或应用程序。在一个实施例中,安全应用程序是计算设备100的基本输入/输出系统(BIOS)。
计算设备100可最初处于断电状态。为了本申请的目的,断电状态包括机械断开状态或软断开状态,在该状态下计算设备100的一个或多个部件不接收电力。响应于从断电状态转变到通电状态,控制器120和/或安全应用程序继续在计算设备100的系统管理存储器中创建系统管理存储器页表130。为了本申请的目的,系统管理存储器是存储器的被保护区域,例如存储器的受限或受保护分区。存储器可以是计算设备100的随机存取存储器和/或任何其它的存储器部件。系统管理存储器是计算设备100的应用程序、操作系统和/或可选ROM 145不可访问的。
为了本申请的目的,系统管理存储器(SMM)页表130是包括在系统管理存储器内的数据结构,该系统管理存储器包括具有可执行位的页面。数据结构识别数据如何被组织并被管理为系统管理存储器中的SMM页表130。SMM页表130的页面对应于在系统管理存储器的地址与计算设备100的虚拟地址之间的映射。系统管理存储器的地址对应于系统管理存储器的位置。虚拟地址包括驻留在系统管理存储器之外的应用程序、进程、固件和/或可选ROM 145的地址。
SMM页表130的对应页面的可执行位识别对应页面的内容是否可访问驻留在系统管理存储器之外的内容。在一个示例中,可执行位可以是可被设置的标志。在另一示例中,可执行位可以是可被设置或修改的寄存器。页表的内容可包括代码行或对应于代码行所驻留的系统管理存储器的位置的地址。为了本申请的目的,代码行包括对应于可被执行的指令的一序列数字和/或字符。
响应于创建系统管理存储器页表130,在计算设备100的可选ROM 145被启动之前,控制器120和/或安全应用程序可修改系统管理存储器页表130的每个页面的可执行位。在一个实施例中,修改可执行位包括控制器120和/或安全应用程序禁用可执行位,使得包括在对应页面中的内容不能被执行且不能执行驻留在系统管理存储器之外的内容。在另一实施例中,控制器120和/或安全应用程序可通过禁用可执行位来修改可执行位,使得包括在对应页面中的内容是不可访问的,并且不访问驻留在系统管理存储器之外的内容。
响应于修改可执行位,控制器120和/或安全应用程序可继续启动计算设备100的可选ROM 145。为了本申请的目的,可选ROM 145可以是计算设备100的操作系统或计算设备100的部件的固件。固件可由控制器120和/或安全应用程序使用来管理对应的部件并与对应的部件通信。例如,可选ROM 145可以是计算设备100的视频部件的视频固件。可选ROM 145可包括在计算设备100的存储部件140上。
图2示出根据示例的创建系统管理存储器页表250的控制器220的方框图。如上面提到的,安全应用程序210可独立地和/或结合控制器220利用以管理计算设备。在一个实施例中,安全应用程序210可以是计算设备的BIOS。在另一实施例中,安全应用程序可以是嵌在计算设备的一个或多个部件上的固件。在其它实施例中,安全应用程序210可以是从计算设备的非易失性计算机可读存储器可访问的应用程序。计算机可读存储器是有形装置,其包含、存储、传递或传送用于计算设备或结合计算设备使用的应用程序。计算机可读存储器可以是硬盘驱动器、光盘、闪存盘、网络驱动器或联接到计算设备的任何其它有形装置。
计算设备可从断电状态通电。为了本申请的目的,断电状态包括计算设备的机械断开状态或软断开状态。如果计算设备处于机械断开状态,则计算设备不接收任何电力。如果计算设备处于软断开状态,则计算设备可接收少量电力,例如小于2瓦的电力。当从断电状态通电时,计算设备的一个或多个部件可接收部件和计算设备的电力以变得可运转。
当通电时,计算设备的可选只读存储器(ROM)245可尝试启动。为了本申请的目的,可选ROM 245可以是计算设备的操作系统或部件的固件。例如,可选ROM 245可以是计算设备的视频部件的固件。如果控制器220和/或安全应用程序210检测到尝试启动的可选ROM 245,则控制器220和/或安全应用程序210可停止来自可选ROM 145的启动尝试。在一个实施例中,停止启动尝试包括控制器220和/或安全应用程序210拦截启动请求并暂停对可选ROM 245的启动请求。
在可选ROM 245被启动之前,控制器220和/或安全应用程序210在计算设备的系统管理存储器250中创建SMM页表230。为了本申请的目的,系统管理存储器250包括控制器220和/或安全应用程序210可访问的计算设备的存储器的安全位置或分区。系统管理存储器250是驻留在系统管理存储器250之外的应用程序、进程和/或固件不可访问的。存储器可以是计算设备的随机存取存储器和/或任何附加的存储器部件。
如上面提到的,SMM页表230包括在系统管理存储器250内并包括具有对应的可执行位265的一个或多个页面260。SMM页表230的页面260将系统管理存储器250的地址映射到计算设备的虚拟地址。在一个实施例中,SMM页表230的页面260包括可被执行的代码行。代码行与存储在系统管理存储器250的位置上的可执行指令对应。在另一实施例中,SMM页表230的页面260包括与包含代码行的系统管理存储器250的位置对应的地址。
如图2所示,SMM页表230的每个页面260包括可执行位265。可执行位265可以是识别包括在对应页面260或系统管理存储器250中的内容是否可访问驻留在系统管理存储器250之外的内容的寄存器或标志。在计算设备的可选ROM 245被启动之前,控制器220和/或安全应用程序210可修改包括在SMM页表230中的每个页面260的可执行位265。在一个实施例中,控制器220和/或安全应用程序210响应于SMM页表230被创建紧接着修改可执行位265。在另一实施例中,控制器220和/或安全应用程序210紧接着在可选ROM 245被启动之前修改可执行位265。
图3A和图3B示出根据示例的修改SMM页表330的控制器320的方框图。当修改SMM页表330时,控制器320和/或安全应用程序310可在可选ROM被启动之前修改SMM页表330中的每个可执行位365。在一个示例中,如图3A所示,当修改可执行位365时,控制器320和/或安全应用程序310禁用在系统管理存储器页表330中的每个页面360的可执行位365。通过禁用可执行位365,控制器320和/或安全应用程序310可禁止驻留在对应页面360和/或系统管理存储器350上的代码行调用和执行驻留在系统管理存储器350之外的任何内容。
如果控制器320和/或安全应用程序310检测到对访问在系统管理存储器之外的内容的任何尝试,则控制器320和/或安全应用程序310阻止代码行被执行。在另一实施例中,控制器320和/或安全应用程序310可阻止驻留在系统管理存储器350之外的内容被访问。在其它实施例中,当禁用可执行位时,驻留在SMM页表330和/或系统管理存储器350上的代码行可能看起来是不可访问的。
在另一示例中,如图3B所示,当修改可执行位365时,控制器320和/或安全应用程序310可将可执行位365设置为不执行。作为结果,如果任何请求被做出以访问和执行对应页面360或系统管理存储器350的代码行或地址,则控制器320和/或安全应用程序310拒绝请求。此外,如果来自系统管理存储器350之外的任何内容尝试访问SMM页表330和/或系统管理存储器350的内容,则控制器320和/或安全应用程序310可拒绝请求。
响应于修改可执行位365,控制器320和/或安全应用程序310可允许计算设备的可选ROM继续启动。允许可选ROM启动可包括不阻碍可选ROM启动。在一个实施例中,启动可选ROM包括允许以前暂停的启动请求重新开始。
在一个实施例中,一旦可选ROM被启动,控制器320和/或安全应用程序310就可检测尝试执行驻留在系统管理存储器350之外的代码行的系统管理存储器350的代码行,反之亦然。如果控制器320和/或安全应用程序310检测到来自系统管理存储器350的代码行尝试执行驻留在系统管理存储器350之外的代码行和/或驻留在系统管理存储器350之外的代码行尝试执行系统管理存储器350的代码行,则控制器320和/或安全应用程序310可开始产生故障。该故障可拒绝请求,使代码行停止执行,和/或暂停控制器320和/或安全应用程序310。控制器320和/或安全应用程序310也可产生所尝试的访问的报告。报告可在显示部件上输出或作为文件日志被存储。
图4是示出根据示例的用于管理计算设备的方法的流程图。控制器和/或管理应用程序最初检测到计算设备通电并在400响应于计算设备通电而开始创建系统管理存储器页表。如上面提到的,系统管理存储器页表在计算设备的系统管理存储器中被创建,并且系统管理页表的每个页面包括可执行位。在410,在计算设备的可选只读存储器被启动之前,控制器和/或管理应用程序开始修改每个页面的可执行位。然后,该方法完成。在其它实施例中,图4的方法包括除了在图4中描绘的步骤以外和/或代替在图4中描绘的步骤的另外的步骤。
图5是示出根据示例的用于管理计算设备的方法的流程图。控制器和/或管理应用程序最初检测到计算设备通电。响应于计算设备通电,控制器和/或管理应用程序在500在计算设备的系统管理存储器内创建系统管理存储器页表。系统管理页表包括具有可执行位的页面。在计算设备的可选只读存储器被启动之前,控制器和/或管理应用程序开始修改可执行位。可选只读存储器是操作系统和/或对应于计算设备的部件的固件。
在一个实施例中,当修改可执行位时,控制器和/或管理应用程序可禁用可执行位,使得对应页面中的可执行位和任何代码行或系统管理存储器的对应地址在510被禁止执行。在另一实施例中,当修改可执行位时,控制器和/或管理应用程序在520将可执行位设置为不执行。
通过修改可执行位,驻留在SMM页表和/或系统管理存储器中的任何代码行不执行驻留在系统管理存储器之外的内容。此外,任何内容例如驻留在系统管理存储器之外的可选ROM不能访问并执行驻留在系统管理存储器页表的页面中的代码或地址。一旦每个页表的可执行位被修改,控制器和/或安全应用程序就可开始启动可选ROM。
响应于启动可选ROM,控制器和/或管理应用程序也可在530检测来自SMM页表的任何代码行和/或系统管理存储器代码是否尝试访问并执行驻留在系统管理存储器之外的内容。如果没有代码行尝试执行在系统管理存储器之外的代码,则该方法可完成。如果控制器和/或安全应用程序检测到来自SMM页表和/或系统管理存储器的任何代码尝试访问并执行驻留在系统管理存储器之外的内容,则控制器和/或安全应用程序在540开始产生故障消息。然后,该方法完成。在其它实施例中,图5的方法包括除了在图5中描绘的步骤以外和/或代替在图5中描绘的步骤的另外的步骤。
Claims (15)
1.一种计算设备,包括:
存储部件,包括可选只读存储器;
控制器,响应于所述计算设备通电而创建系统管理存储器页表;
其中所述系统管理存储器页表的页面包括可执行位;
其中所述控制器在启动所述可选只读存储器之前修改所述页面的所述可执行位。
2.如权利要求1所述的计算设备,其中所述计算设备的基本输入输出系统被启动以响应于所述计算设备通电而创建所述系统管理存储器页表。
3.如权利要求1所述的计算设备,其中所述计算设备从机械断开状态通电。
4.如权利要求1所述的计算设备,还包括系统管理存储器,其中所述系统管理存储器页表在所述系统管理存储器内部被创建。
5.如权利要求1所述的计算设备,其中所述可选只读存储器包括所述计算设备的操作系统和视频可选只读存储器中的至少之一。
6.一种用于管理计算设备的方法,包括:
响应于计算设备通电而创建系统管理存储器页表;
其中所述系统管理存储器页表包括具有可执行位的页面;以及
在所述计算设备的可选只读存储器被启动之前修改所述页面的所述可执行位。
7.如权利要求6所述的用于管理计算设备的方法,其中所述页面的所述可执行位在所述系统管理存储器页表被创建之后紧接着被修改。
8.如权利要求6所述的用于管理计算设备的方法,其中所述页面的所述可执行位紧接着在所述计算设备的所述可选只读存储器被启动之前被修改。
9.如权利要求6所述的用于管理计算设备的方法,其中修改所述可执行位包括禁用所述可执行位使所述可执行位不能被执行。
10.如权利要求6所述的用于管理计算设备的方法,其中修改所述可执行位包括将所述可执行位设置为不执行。
11.如权利要求6所述的用于管理计算设备的方法,还包括检测驻留在系统管理存储器之外的代码尝试执行包括在所述系统管理存储器页表的页面中的代码。
12.如权利要求11所述的用于管理计算设备的方法,还包括如果包括在所述页面中的所述代码尝试被执行则产生故障。
13.一种包括指令的非易失性计算机可读介质,所述指令如果由控制器执行则使所述控制器:
响应于计算设备通电而创建具有可执行位的页面的系统管理存储器页表;以及
在所述计算设备的可选只读存储器被启动之前修改所述系统管理存储器页表的每个页面的所述可执行位;
其中所述控制器在所述可选只读存储器已被启动之后禁止在具有所修改的位的所述页面中的代码被系统管理存储器代码执行。
14.如权利要求13所述的非易失性计算机可读介质,其中所述系统管理存储器页表驻留在所述计算设备的安全系统存储器内部,并且所述系统管理存储器页表的所述页面包括代码。
15.如权利要求14所述的非易失性计算机可读介质,其中系统管理存储器代码不能执行驻留在所述计算设备的安全系统存储器之外的代码。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/049045 WO2014021867A1 (en) | 2012-07-31 | 2012-07-31 | Modify executable bits of system management memory page table |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104272251A true CN104272251A (zh) | 2015-01-07 |
| CN104272251B CN104272251B (zh) | 2018-10-19 |
Family
ID=50028381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280072950.4A Active CN104272251B (zh) | 2012-07-31 | 2012-07-31 | 修改系统管理存储器页表的可执行位 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US9367691B2 (zh) |
| EP (1) | EP2880527A4 (zh) |
| CN (1) | CN104272251B (zh) |
| WO (1) | WO2014021867A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI631482B (zh) * | 2015-08-17 | 2018-08-01 | 美光科技公司 | 計算記憶體中可執行指令之加密之方法及設備 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9367691B2 (en) * | 2012-07-31 | 2016-06-14 | Hewlett-Packard Development Company, L.P. | Modify executable bits of system management memory page table |
| WO2015123230A1 (en) | 2014-02-12 | 2015-08-20 | Bristol-Myers Squibb Company | Benzothiazole macrocycles as inhibitors of human immunodeficiency virus replication |
| EP3116879A1 (en) | 2014-02-18 | 2017-01-18 | VIIV Healthcare UK (No.5) Limited | Imidazopyrimidine macrocycles as inhibitors of human immunodeficiency virus replication |
| WO2015126743A1 (en) | 2014-02-18 | 2015-08-27 | Bristol-Myers Squibb Company | Pyrazolopyrimidine macrocycles as inhibitors of human immunodeficiency virus replication |
| WO2015126765A1 (en) | 2014-02-19 | 2015-08-27 | Bristol-Myers Squibb Company | Inhibitors of human immunodeficiency virus replication |
| EP3116880B1 (en) | 2014-02-20 | 2018-03-21 | VIIV Healthcare UK (No.5) Limited | Pyridin-3-yl acetic acid macrocycles as inhibitors of human immunodeficiency virus replication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119748A1 (en) * | 2007-08-30 | 2009-05-07 | Jiewen Yao | System management mode isolation in firmware |
| US20100058046A1 (en) * | 2008-08-26 | 2010-03-04 | Texas Digital And Multimedia Systems | Method and Apparatus for Secure Instantly-Available Applications in a Computer System |
| CN102103673A (zh) * | 2009-12-16 | 2011-06-22 | 英特尔公司 | 在隐藏执行环境中提供完整性验证和证明 |
| US20110271090A1 (en) * | 2002-11-27 | 2011-11-03 | Zimmer Vincent J | Providing a secure execution mode in a pre-boot environment |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050114639A1 (en) | 2001-05-11 | 2005-05-26 | Zimmer Vincent J. | Hardened extensible firmware framework to support system management mode operations using 64-bit extended memory mode processors |
| US20030229794A1 (en) | 2002-06-07 | 2003-12-11 | Sutton James A. | System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container |
| US7165170B2 (en) | 2003-09-12 | 2007-01-16 | Intel Corporation | System and method for firmware to export pre-boot data into the operating system runtime environment |
| US7380095B2 (en) * | 2004-06-30 | 2008-05-27 | Intel Corporation | System and method for simulating real-mode memory access with access to extended memory |
| US7844809B2 (en) * | 2007-09-26 | 2010-11-30 | Intel Corporation | Verifying a trusted SMI handler |
| US7921286B2 (en) | 2007-11-14 | 2011-04-05 | Microsoft Corporation | Computer initialization for secure kernel |
| US8473945B2 (en) | 2007-12-31 | 2013-06-25 | Intel Corporation | Enabling system management mode in a secure system |
| US7984286B2 (en) | 2008-06-25 | 2011-07-19 | Intel Corporation | Apparatus and method for secure boot environment |
| US9367691B2 (en) * | 2012-07-31 | 2016-06-14 | Hewlett-Packard Development Company, L.P. | Modify executable bits of system management memory page table |
-
2012
- 2012-07-31 US US14/391,209 patent/US9367691B2/en active Active
- 2012-07-31 EP EP12882435.6A patent/EP2880527A4/en active Pending
- 2012-07-31 WO PCT/US2012/049045 patent/WO2014021867A1/en active Application Filing
- 2012-07-31 CN CN201280072950.4A patent/CN104272251B/zh active Active
-
2016
- 2016-05-05 US US15/147,761 patent/US10102154B2/en active Active
-
2018
- 2018-10-10 US US16/156,841 patent/US10877903B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110271090A1 (en) * | 2002-11-27 | 2011-11-03 | Zimmer Vincent J | Providing a secure execution mode in a pre-boot environment |
| US20090119748A1 (en) * | 2007-08-30 | 2009-05-07 | Jiewen Yao | System management mode isolation in firmware |
| US20100058046A1 (en) * | 2008-08-26 | 2010-03-04 | Texas Digital And Multimedia Systems | Method and Apparatus for Secure Instantly-Available Applications in a Computer System |
| CN102103673A (zh) * | 2009-12-16 | 2011-06-22 | 英特尔公司 | 在隐藏执行环境中提供完整性验证和证明 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI631482B (zh) * | 2015-08-17 | 2018-08-01 | 美光科技公司 | 計算記憶體中可執行指令之加密之方法及設備 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2880527A1 (en) | 2015-06-10 |
| US10877903B2 (en) | 2020-12-29 |
| US20150039812A1 (en) | 2015-02-05 |
| EP2880527A4 (en) | 2016-04-06 |
| US20190079879A1 (en) | 2019-03-14 |
| US20160253270A1 (en) | 2016-09-01 |
| CN104272251B (zh) | 2018-10-19 |
| US9367691B2 (en) | 2016-06-14 |
| US10102154B2 (en) | 2018-10-16 |
| WO2014021867A1 (en) | 2014-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104272251A (zh) | 修改系统管理存储器页表的可执行位 | |
| CN103620612B (zh) | 包括端口和来宾域的计算设备 | |
| KR20200052957A (ko) | 보안 제어 방법 및 컴퓨터 시스템 | |
| CN103975336B (zh) | 对动态语言值中的安全性标签进行编码的方法和计算装置 | |
| CN103077345B (zh) | 基于虚拟机的软件授权方法及系统 | |
| CN106406944A (zh) | 一种禁止应用自启动的控制方法及系统 | |
| EP3144813A1 (en) | Information-processing device, information-processing monitoring method, program, and recording medium | |
| JP5540109B2 (ja) | アプリケーションクラスをロードするシステムおよび方法 | |
| US10007788B2 (en) | Method of modeling behavior pattern of instruction set in N-gram manner, computing device operating with the method, and program stored in storage medium to execute the method in computing device | |
| JP2014515858A (ja) | 実行中の命令を再結合する方法および装置 | |
| CN101464841A (zh) | 实现对块存储体写保护的方法和系统 | |
| US11436367B2 (en) | Pre-operating system environment-based sanitization of storage devices | |
| CN113946854B (zh) | 一种文件访问控制方法、装置及计算机可读存储介质 | |
| WO2018040271A1 (zh) | 线程处理器及线程处理方法 | |
| KR20180067581A (ko) | 예외 처리 | |
| CN105138378A (zh) | 一种bios刷写方法及电子设备 | |
| CN100489768C (zh) | 用于引导计算机系统的方法和装置 | |
| CN104021351A (zh) | 一种数据资源的访问方法及装置 | |
| US8015612B2 (en) | Addressing security in writes to memory | |
| KR102019483B1 (ko) | 이동식 저장 장치 및 그의 보안 방법 | |
| CN106775941A (zh) | 一种虚拟机内核完整性保护方法和装置 | |
| CN107533515A (zh) | 阻止存储器溢出攻击的精细粒度存储器保护 | |
| CN101789071B (zh) | 芯片的身份信息的管理方法及系统 | |
| CN104598784A (zh) | 一种信息处理方法及电子设备 | |
| CN111159716B (zh) | 一种安全保护方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |