CN104428786B - 防止对具有多个cpu的设备的攻击 - Google Patents
防止对具有多个cpu的设备的攻击 Download PDFInfo
- Publication number
- CN104428786B CN104428786B CN201380028334.3A CN201380028334A CN104428786B CN 104428786 B CN104428786 B CN 104428786B CN 201380028334 A CN201380028334 A CN 201380028334A CN 104428786 B CN104428786 B CN 104428786B
- Authority
- CN
- China
- Prior art keywords
- processing unit
- processing units
- memorizer
- code
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Telephone Function (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于利用两个不同处理单元(例如,CPU)来相互监测的系统和方法。处理单元可以具相互之间有限的能见度和/或只读访问以降低一个受影响的处理单元破坏第二个处理单元的可能性。包含有不同架构的多个处理单元可以被配置以使得一种类型的处理单元监测另一种类型的处理单元。当处理单元为不同架构时,单个恶意软件(恶意程序)不大可能影响两个处理单元。每个处理单元可以被配置为检测系统/设备的其它处理器上的根程序病毒包和其它类型的恶意程序。
Description
技术领域
本公开总体上涉及用于利用两个不同的处理单元来相互监测并检测可能表明其它处理单元已被破坏的异常的系统和方法。更具体地,但并非以限制的方式,本公开涉及用于利用不同架构和操作环境的处理单元来相互监测并检测病毒和其它恶意软件(即使感染性软件包含类似隐形的机制)的系统和方法。
背景技术
现代的移动设备通常使用两个处理单元。这些处理单元中的第一个可以用于通信(例如,传输/接收、编码/解码、协议支持等)而这些处理单元中的第二个可以用于用户界面或应用程序支持(例如,屏幕、键盘、接口、操作系统、应用程序)。由于具有两个处理单元,所以黑客可以试图破坏任意一个处理单元。
根程序病毒包(rootkit)是隐形类型的恶意软件(恶意程序),其被设计为隐藏某些进程或程序的存在以避开常规的检测方法。根程序病毒包通常使能对被破坏的系统的连续特权访问。根程序病毒包的安装可以是自动的或者是在攻击者获得根或管理员访问时被激活的。获得该访问时对系统直接攻击(即,利用已知的漏洞)的结果或是通过获取密码(通过破解、特权升级、或社交工程)的结果。一旦安装完成,根程序病毒包的目的通常在于隐藏该侵入以及为其自身(或其它进程)保持特权访问。像任何软件一样,根程序病毒包可以具有好的目的或恶意目的。对系统的完全控制意味着可以修改现有软件,这包括否则可以用于检测或规避攻击的软件。
根程序病毒包检测是困难的,这是因为根程序病毒包可能能够毁坏用于寻找根程序病毒包的软件。检测方法包括使用替代的、可信的操作系统;基于行为的方法;签名扫描;差异扫描;以及内存转储分析。移除可能是复杂的或者实际上是不可能的,特别是在根程序病毒包驻留于内核中的情况下;重新安装操作系统可能是对于该问题唯一可行的解决方案。当处理固件根程序病毒包时,移除可能需要硬件替换、或专业设备。
现代的根程序病毒包并不一定提升访问,相反其用于通过增加隐形能力而使得另一个软件负载不能被检测到。大多数的根程序病毒包被归类为恶意软件,这是因为它们所捆绑的负载是恶意的。例如,负载可以隐蔽地窃取用户密码、信用卡信息、计算资源、或其它未授权的活动。少数根程序病毒包可以被它们的用户认为是工具应用程序:例如,根程序病毒包可以虚拟光盘仿真驱动器,这允许视频游戏用户使得要求将原始安装介质插入到物理光驱中以验证该软件是合法购买的反盗版措施无效
根程序病毒包能够以计算机环境的不同特权级别(例如,模式)运行。用户模式根程序病毒包以与大多数其它用户应用程序相同的模式运行,而非低级别系统进程。它们具有多个可能的安装向量以截获并修改应用程序接口(API)的标准行为。一些根程序病毒包将动态链接库(例如,.DLL文件、.dylib文件、.so文件、或.shlib文件)注入到其它进程,并且由此能够在任何目标进程内执行以冒充该目标进程;具有足够特权的其它根程序病毒包仅重写目标应用程序的存储器。
通过增加代码或替换核心操作系统(包括内核和相关联的设备驱动器)的一部分,内核模式根程序病毒包以最高操作系统特权来运行。大多数操作系统支持内核模式设备驱动器,其以与操作系统自身相同的特权来执行。由此,许多内核模式根程序病毒包被开发为设备器读取或可加载模块,例如可加载内核模块或设备驱动器。这类根程序病毒包具有不受限制的安全访问。内核根程序病毒包可能特别难以检测并移除,这是因为它们以与操作系统自身相同的安全级别来运行,并且它们因此能够截获或毁坏最可信的操作系统操作并由此以类似隐形的方式“隐藏”它们自己。
由于根程序病毒包以及其它病毒(其包括所有类型的恶意代码:特洛伊木马、漏洞利用、外壳代码、键盘记录器、后门、间谍软件、僵尸网络、广告软件、信息窃取软件等)以上文所述的类似隐形的方式(在其它程序中)运行,所以它们难以检测和/或在被感染的操作环境的范围内难以清除。本公开解决了这些和其它问题以提供方法和系统来检测试图在被感染的处理单元上隐藏自己以避开检测的活动根程序病毒包以及其它病毒(即,恶意代码)。
附图说明
图1是根据一个或多个所公开的实施例的示出了网络架构100的框图。
图2是根据一个或多个所公开的实施例的示出了具有多个处理单元(其可以被配置为相互监测)的计算机的框图。
图3是根据一个或多个所公开的实施例的对可以用两个处理单元来配置的蜂窝电话的示出。
图4是根据一个或多个所公开的实施例的针对交叉处理单元监测的过程的流程图,其用于示出一个示例流程。
图5是根据一个或多个所公开的实施例的用于更新与检测技术相关联的监测代码和/或监测信息的过程的流程图。
具体实施方式
如上文所说明的,来自被感染的计算环境内的根程序病毒包检测是难以检测的。这主要是因为根程序病毒包一旦活跃,就通常通过截获对其进行检测的尝试并且向试图执行该检测的进程返回捏造的结果而主动地隐藏自己以避开检测。不能信任诸如请求运行进程的列表、或目录中的文件的列表这样的动作如期望地表现。用于操作系统级别的根程序病毒包检测的现有技术方法通常要求用户关闭疑似感染的计算机,然后通过从替代的可信介质(例如,救援光盘或救援USB闪速存储器)中启动来检查其存储设备。该技术是有效的,这是因为如果根程序病毒包没有运行,则它不能主动地隐藏其存在。然而,这类补救措施对于移动设备(例如,蜂窝电话)来说通常是不可行的并且这类补救措施通常要求昂贵的足以并包括进行返厂维修的费用。如在下文中进一步说明的,所公开的技术通过使用用于从第二处理单元监测第一处理单元的系统和方法(其中可以定义两个处理单元之间的访问并且可以以安全的方式来更新监测信息)解决了这些和其它问题。
现在参考图1,其示意性地示出了基础设施100。基础设施100包含计算机网络102。计算机网络102包括许多当今可用的不同类型的计算机网络例如互联网、企业网或局域网(LAN)。这些网络中的每一个网络可以包含有线或无线设备并且使用任何数量的网络协议(例如,TCP/IP)来运行网络102被连接到网关和路由器(由108表示)、终端用户计算机106以及计算机服务器104。在基础设施100中还示出了用于蜂窝通信的蜂窝网络103。如在本领域中众所周知的,蜂窝网络支持蜂窝电话和许多其它类型的设备(例如,未示出的平板型计算机)。基础设施100中的蜂窝设备被示出为蜂窝电话110。
现在参考图2,以框图的形式示出了根据一个实施例的用于提供所公开的检测技术的示例处理设备200。处理设备200可以作为蜂窝电话110、网关或路由器108、客户端计算机106、或服务器计算机104中的处理器。示例处理设备200包括系统单元210,其可以可选地连接到用于系统的输入设备260(例如,键盘、鼠标、触摸屏等)和显示器270。程序存储设备(PSD)280(有时被称为硬盘、闪速存储器、或计算机可读介质)包括于系统单元210。系统单元210还包含网络接口240,其用于经由网络(蜂窝或计算机)与其它计算和企业基础设施设备(未示出)或其它蜂窝通信设备进行通信。网络接口240可以包含于系统单元210内或在系统单元210外部。在这两种情况下,系统单元210将被通信地耦合到网络接口240。程序存储设备280表示任何形式的非易失性存储设备,包括但不限于:所有形式的光和磁存储器(包括固态)、存储元件(包括可移动介质)并且可以包含于系统单元210内或在系统单元210外部。程序存储设备280可以用于存储用于控制系统单元210的软件、用于由处理设备200所使用的数据、或两者。
系统单元210可以被编程为执行根据本公开的方法。系统单元210包括一个或多个处理单元(由PU 1220和PU 2225表示)、输入输出(I/O)总线250、存储器230、以及共享存储器231。可以使用通信总线250来实现对存储器230的存储器访问。共享存储器231表示可以被任何处理单元直接访问的共享存储器或存储器区域。处理单元220和225可以包括任何可编程控制器设备,包括例如大型机处理器、蜂窝电话处理器、或以下成员中的一个或多个:来自Intel Corporation的Intel和处理器系列以及来自ARM的Cortex和ARM处理器系列(INTEL、INTEL ATOM、CORE、PENTIUM、和CELERON是Intel Corporation的注册商标。CORTEX是ARM Limited Corporation的注册商标。ARM是ARM Limited Company的注册商标)。存储器230可以包括一个或多个存储器模块并且包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可编程读写存储器、以及固态存储器。PU 220和225还可以包括一些内部存储器,包括例如高速缓冲存储器或专用于特定处理单元并且与其它处理单元隔离以用于保持监测信息以供结合公开的根程序病毒包的实施例使用的存储器。
处理设备200可以驻留于任何期望的操作系统。可以使用任何期望的编程语言来实现所公开的检测技术的实施例,并且其可以被实施为一个或多个可执行程序,所述一个或多个可执行程序可以链接到可以由检测软件/固件的供应商、操作系统的供应商、或适合的库例程的任何其它期望的供应商所提供的可执行例程的外部库。如在本文中所使用的,术语“计算机系统”可以指代用于执行本文中所描述的在计算机系统上或由计算机系统所执行的功能的单个计算机或多个共同工作的计算机。
为在处理设备200上执行所公开的实施例做准备,用于将处理设备200配置为执行所公开的实施例的程序指令可以被提供为存储在任意类型的非瞬时性计算机可读介质、或可以从服务器104下载到程序存储设备280上。重要的是要注意到,即使PU(220和225)被示出在单个处理设备200上,但是可以设想的并且可以是理想的情况是,在被配置为用于根据所公开的实施例进行根程序病毒包检测的设备中具有多于一个处理设备200。即,PU220和225可以从单个处理器设备200内进行相互监测、或者来自不同处理设备(例如,多个处理设备200)的处理单元可以互相监测。
现在参考图3,其示出了蜂窝电话300(来自图1的蜂窝设备110的示例)。蜂窝电话300可以使用一个或多个处理设备200进行配置并且因此具有多个处理单元(例如,220、225)。蜂窝电话300还具有用户界面屏幕310、用户输入机制320和天线330。蜂窝电话300还可以具有用于蜂窝、WiFi、射频识别(RFID)、近场通信(NFC)等的多个天线。在现代的蜂窝电话中,用户界面310和经由天线330与蜂窝网络进行通信的通信接口(未示出)可以被不同的处理单元或处理设备所控制。除了其它功能之外,这使得蜂窝电话的用户能够与在该蜂窝电话上执行的应用程序进行交互而同时仍然参与经由蜂窝网络的通信会话。另外,基于功耗要求,不同的处理单元可以被配置到蜂窝电话300中,并且可以被配置为当其在监测蜂窝网络但并没有由用户主动与蜂窝网络进行交互时,允许延长的电池寿命。具有多个(稍微隔离的)处理单元的蜂窝电话300提供适合的环境以利用本文中所公开的检测技术。
因为现代的蜂窝电话(即,智能电话)通常具有蜂窝网络接口和计算机网络接口,所以它们可能以许多不同的方式被感染。电话(例如,300)可能经由蜂窝网络被冒充移动天线以感染病利用通信处理单元的进程所感染。一旦受到这种攻击的感染,可能允许跨电话的“蠕虫”的传播,从而导致严重的影响。另外,当蜂窝电话连接到计算机网络时,在数据下载或应用程序下载的情况下,恶意代码可能被转移到该电话。
有了关于根程序病毒包、它们的检测问题、基础设施细节、和设备配置的上述细节,现在我们转向对各个实施例的讨论以提供改进的根程序病毒包检测技术。如将在下文中所示的,来自单个设备(例如,移动电话300)的不同处理单元可以相互监测并且它们的监测将不会受到感染被检测的处理器的根程序病毒包的影响。如本领域普通技术人员考虑到本公开而将会理解的,根程序病毒包的类似隐形的检测规避机制不能影响或扭曲由独立处理单元在执行的监测。
现在参考图4,流程图400示出了根据一个所公开的实施例的交叉处理单元监测过程的流程图400。在以下示例中,CPU的编号仅仅是两个处理单元的示例。当然,任意数量的具有不同编号的处理单元也是可能的。在块405开始,初始化(例如,启动)诸如蜂窝电话300这样的设备上的第一处理单元(PU 1)。接着,在块410,初始化该设备上的第二处理单元(PU2)。当然,根据软件或硬件设计,每个处理单元可以被并行或按顺序地初始化。在块415,PU 2变得受到根程序病毒包(一种隐形类型的病毒(任意类型的恶意软件))的影响(例如,感染)。由于这些类型的病毒和恶意软件通常制造在PU 2的环境以及PU 2的操作系统内隐藏自己的根程序病毒包(或病毒)(块420)。随后(块425),PU 1询问PU2,并且因为PU 1并不被类似隐形的隐藏能力所影响,所以检测到根程序病毒包或病毒。在检测之后(块430),可以通知用户该检测并且可以进行清理PU 2的环境的尝试。
现在参考图5,流程图500示出了对由一个处理单元监测另一个处理单元所要求的监测代码或监测信息进行更新的过程的流程图500。可以设想的是在制造处理设备时,可以构造处理设备使得基于固件的监测代码(例如,用于监测不同类型的处理器的代码)可以与处理设备集成(块505)。这通常可以通过将代码置于设备的固件中或处理器制造领域中的技术人员已知的其它方法来完成。另外,可以定义“安全”存储器区域并且专用于保持关于由本处理单元要监测的其它处理单元的操作环境的监测信息。该信息可以包括关于全局中断表内容、特定存储器地址值等的信息。该监测信息会被特别地定义为针对要被监测的操作环境(例如,特定的操作系统和相关的设备软件版本信息)。由于经由升级或补丁周期性地更新操作系统和软件,所以可能理想的是如在块510中所示的,操作系统(或设备软件)厂商更新监测测代码和/或监测信息。更新的监测测代码和/或监测信息可以在更新服务器上被使得可用并且在更新服务器与包含监测PU和被监测PU的设备之间建立通信链接(块515)。在建立了通信链接之后,可以根据需要执行安全更新过程(块520)。如将会显而易见的,用于更新被监测的操作环境的任何更新过程可能要与在过程500中所概括的更新过程相协调。
在不同实施例中,被监测的处理单元和执行监测的处理单元可以具有不同的物理架构并且运行完全不同的环境。最低要求是从监测环境对被监测环境的适当等级的能见度。在两者的环境都具有相似的运行条件的配置中,可能重要的是充分地将它们隔离从而不允许同时感染被监测环境和监测环境。显然,如果两个环境同时被感染,则复杂的根程序病毒包或病毒可以试图主动地隐藏在交叉监测处的尝试。还可以想到的是具有多于两个PU,其中以类似于所呈现的两个PU的实施例的方式,一个PU观察多个其它PU(它们可以每个都互相观察)。
在前述描述中,为了说明的目的,阐述了许多具体细节以便提供对所公开的实施例的透彻理解。然而,对本领域技术人员显而易见的是,可以实现所公开的实施例而无需这些具体细节。在其它实例中,以框图的形式示出了结构和设备以避免模糊所公开的实施例。对没有下标或后缀的数字的引用被理解为引用对应于所引用的数字的下标和后缀的所有实例。另外,本公开中所使用的语言主要是针对可读性和指导的目的而选择的,并且可能没有被选择为描绘或限制本发明主题,有必要依靠权利要求来确定这样的本发明主题。说明书中所引用的“一个实施例”或“实施例”意味着关于实施例所描述的特定特征、结构、或特性被包含在至少一个所公开的实施例中,并且“一个实施例”或“实施例”的多个引用不应被理解为一定都指代相同的实施例。
还要理解的是,上述描述是示例性的而非限制性的。例如,上述实施例可以进行互相结合来使用并且可以以不同于所示的顺序来执行示例性过程步骤。在查看上述描述时,许多其它实施例对本领域技术人员来说将是显而易见的。因此,应当参考所附权利要求以及这些权利要求所授权的等效物的全部范围来确定本发明的范围。在所附权利要求中,将术语“包括”和“在其中”分别用作相应术语“包含”和“其中”的纯英语同义词。
以下示例关于本公开的进一步实施例。示例中的细节可以用于一个或多个实施例中的任何地方。
Claims (22)
1.一种移动设备,包括:
第一处理单元;以及
第二处理单元,其被配置为监测与所述第一处理单元相关联的运行环境;
其中,所述第二处理单元被配置为:
询问与所述第一处理单元相关联的信息;并且
分析与所述第一处理单元相关联的所述信息以确定与所述第一处理单元相关联的所述运行环境的运行条件是否表明第一潜在的异常,所述第一潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第一处理单元相关联的所述运行环境;以及
其中,所述第一处理单元被配置为:
询问与所述第二处理单元相关联的信息;并且
分析与所述第二处理单元相关联的所述信息以确定与所述第二处理单元相关联的所述运行环境的运行条件是否表明第二潜在的异常,所述第二潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第二处理单元相关联的所述运行环境。
2.根据权利要求1所述的移动设备,其中,所述第二处理单元进一步被配置为基于与所述第一处理单元相关联的所述运行环境的运行条件表明第一潜在的异常的确定而执行补救措施。
3.根据权利要求1所述的移动设备,进一步包括:蜂窝通信接口,其中,所述第一处理单元被配置为支持所述蜂窝通信接口。
4.根据权利要求1所述的移动设备,其中,所述第一处理单元被配置为支持用户界面功能。
5.根据权利要求1-4中的任意一项所述的移动设备,其中,所述第一处理单元被配置为支持蜂窝通信接口而所述第二处理单元被配置为支持用户界面功能。
6.根据权利要求1-4中的任意一项所述的移动设备,其中,所述第一处理单元和所述第二处理单元具有不同的架构。
7.根据权利要求1-4中的任意一项所述的移动设备,其中,所述第二处理单元具有对不能够由所述第一处理单元访问的监测信息的访问。
8.根据权利要求7所述的移动设备,其中,所述第二处理单元被配置为通过将与所述第一处理单元相关联的所述信息与所述监测信息的至少一部分进行比较,来分析与所述第一处理单元相关联的所述信息。
9.根据权利要求1所述的移动设备,其中,所述第二处理单元具有对从所述第一处理单元能够以只读模式访问的监测信息的访问。
10.一种用于更新移动设备的方法,所述移动设备包括第一处理单元、第二处理单元、和存储器,所述方法包括:
在所述移动设备和更新服务器之间建立连接;
取回要被所述第一处理单元利用以监测所述第二处理单元的代码或监测信息;
执行更新过程以将所述代码或监测信息存储到对于所述第一处理单元能够访问的存储器的区域;并且
确定与所述第二处理单元相关联的运行环境的运行条件是否表明第一潜在的异常,所述第一潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第二处理单元相关联的所述运行环境;以及
取回要被所述第二处理单元利用以监测所述第一处理单元的代码或监测信息;
执行更新过程以将所述代码或监测信息存储到对于所述第二处理单元 能够访问的存储器的区域;并且
确定与所述第一处理单元相关联的运行环境的运行条件是否表明第二潜在的异常,所述第二潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第一处理单元相关联的所述运行环境。
11.根据权利要求10所述的方法,其中,所述第一处理单元和所述第二处理单元具有不同的架构。
12.根据权利要求10所述的方法,其中,对于所述第一处理单元能够访问的存储器的所述区域对于所述第二处理单元不能够访问。
13.根据权利要求12所述的方法,其中,对于所述第一处理单元能够访问的存储器的所述区域包括:用于存储固件代码的存储器的区域。
14.根据权利要求10或13所述的方法,其中,对于所述第一处理单元能够访问的存储器的所述区域进一步包括:与用于存储固件代码的存储器的所述区域隔离的用于存储所述监测信息的存储器的区域。
15.根据权利要求10所述的方法,其中,仅监测信息在所述移动设备上被取回并更新。
16.根据权利要求10所述的方法,其中,从所述更新服务器取回由所述第一处理单元利用以监测所述第二处理单元的所述代码或监测信息。
17.一种用于更新移动设备的系统,所述移动设备包括第一处理单元、第二处理单元、和存储器,所述系统包括:
用于在所述移动设备和更新服务器之间建立连接的模块;
用于取回要被所述第一处理单元利用以监测所述第二处理单元的代码或监测信息的模块;
用于执行更新过程以将所述代码或监测信息存储到对于所述第一处理 单元能够访问的存储器的区域的模块;
用于确定与所述第二处理单元相关联的运行环境的运行条件是否表明第一潜在的异常的模块,所述第一潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第二处理单元相关联的所述运行环境;
用于取回要被所述第二处理单元利用以监测所述第一处理单元的代码或监测信息的模块;
用于执行更新过程以将所述代码或监测信息存储到对于所述第二处理单元能够访问的存储器的区域的模块;以及
用于确定与所述第一处理单元相关联的运行环境的运行条件是否表明第二潜在的异常的模块,所述第二潜在的异常包括恶意代码,所述恶意代码操作为试图隐藏其自身以避开与所述第一处理单元相关联的所述运行环境。
18.根据权利要求17所述的系统,其中,所述第一处理单元和所述第二处理单元具有不同的架构。
19.根据权利要求17或18所述的系统,其中,对于所述第一处理单元能够访问的存储器的所述区域对于所述第二处理单元不能够访问。
20.根据权利要求17-18中的任意一项所述的系统,其中,对于所述第一处理单元能够访问的存储器的所述区域包括:用于存储固件代码的存储器的区域。
21.根据权利要求17-18中的任意一项所述的系统,其中,对于所述第一处理单元能够访问的存储器的所述区域进一步包括:与用于存储固件代码的存储器的所述区域隔离的用于存储所述监测信息的存储器的区域。
22.根据权利要求17-18中的任意一项所述的系统,其中,从所述更新服务器取回由所述第一处理单元利用以监测所述第二处理单元的所述代码 或监测信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/538,157 | 2012-06-29 | ||
| US13/538,157 US8832837B2 (en) | 2012-06-29 | 2012-06-29 | Preventing attacks on devices with multiple CPUs |
| PCT/US2013/048168 WO2014004821A1 (en) | 2012-06-29 | 2013-06-27 | Preventing attacks on devices with multiple cpus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104428786A CN104428786A (zh) | 2015-03-18 |
| CN104428786B true CN104428786B (zh) | 2017-05-17 |
Family
ID=49779764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380028334.3A Active CN104428786B (zh) | 2012-06-29 | 2013-06-27 | 防止对具有多个cpu的设备的攻击 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8832837B2 (zh) |
| EP (1) | EP2867819B1 (zh) |
| CN (1) | CN104428786B (zh) |
| WO (1) | WO2014004821A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10242197B2 (en) | 2016-09-23 | 2019-03-26 | Intel Corporation | Methods and apparatus to use a security coprocessor for firmware protection |
| US10162288B2 (en) * | 2016-09-23 | 2018-12-25 | Clover Technologies Group, Llc | System and method of remanufacturing a toner container |
| CN107330328B (zh) * | 2017-06-30 | 2021-02-05 | 北京奇虎科技有限公司 | 防御病毒攻击的方法、装置及服务器 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110207A (zh) * | 2009-12-24 | 2011-06-29 | 英特尔公司 | 移动设备上的合作式的恶意软件检测和阻止 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL120632A0 (en) | 1997-04-08 | 1997-08-14 | Zuta Marc | Multiprocessor system and method |
| EP1056010A1 (en) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Data integrity monitoring in trusted computing entity |
| EP1055990A1 (en) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Event logging in a computing platform |
| US7673343B1 (en) * | 2001-07-26 | 2010-03-02 | Mcafee, Inc. | Anti-virus scanning co-processor |
| WO2006014554A2 (en) * | 2004-07-07 | 2006-02-09 | University Of Maryland | Method and system for monitoring system memory integrity |
| US7484247B2 (en) * | 2004-08-07 | 2009-01-27 | Allen F Rozman | System and method for protecting a computer system from malicious software |
| US20070226795A1 (en) * | 2006-02-09 | 2007-09-27 | Texas Instruments Incorporated | Virtual cores and hardware-supported hypervisor integrated circuits, systems, methods and processes of manufacture |
| US7634262B1 (en) | 2006-03-07 | 2009-12-15 | Trend Micro, Inc. | Virus pattern update for mobile device |
| US7975298B1 (en) | 2006-03-29 | 2011-07-05 | Mcafee, Inc. | System, method and computer program product for remote rootkit detection |
| US20090021377A1 (en) * | 2006-10-19 | 2009-01-22 | Upm Raflatac Oy | Tamperproof tag |
| US8380987B2 (en) * | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
| US20080216176A1 (en) * | 2007-02-06 | 2008-09-04 | Cybernet Systems Corporation | Hardware-assisted rootkit blocker for networked computers |
| US20090193230A1 (en) * | 2008-01-30 | 2009-07-30 | Ralf Findeisen | Computer system including a main processor and a bound security coprocessor |
| WO2009118844A1 (ja) * | 2008-03-26 | 2009-10-01 | 富士通株式会社 | 情報処理装置、ウィルス管理機能装置およびウィルス駆除方法 |
| WO2011046356A2 (ko) | 2009-10-12 | 2011-04-21 | 삼성에스디에스 주식회사 | 안티 멀웨어 서비스 방법 |
| US9798873B2 (en) * | 2011-08-04 | 2017-10-24 | Elwha Llc | Processor operable to ensure code integrity |
-
2012
- 2012-06-29 US US13/538,157 patent/US8832837B2/en not_active Expired - Fee Related
-
2013
- 2013-06-27 EP EP13808946.1A patent/EP2867819B1/en active Active
- 2013-06-27 CN CN201380028334.3A patent/CN104428786B/zh active Active
- 2013-06-27 WO PCT/US2013/048168 patent/WO2014004821A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110207A (zh) * | 2009-12-24 | 2011-06-29 | 英特尔公司 | 移动设备上的合作式的恶意软件检测和阻止 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140007234A1 (en) | 2014-01-02 |
| EP2867819B1 (en) | 2019-05-08 |
| US8832837B2 (en) | 2014-09-09 |
| EP2867819A4 (en) | 2016-02-24 |
| CN104428786A (zh) | 2015-03-18 |
| EP2867819A1 (en) | 2015-05-06 |
| WO2014004821A1 (en) | 2014-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11977630B2 (en) | Detecting ransomware | |
| Seo et al. | Detecting mobile malware threats to homeland security through static analysis | |
| AU2014393471B2 (en) | Systems and methods for using a reputation indicator to facilitate malware scanning | |
| US11438349B2 (en) | Systems and methods for protecting devices from malware | |
| EP2973171B1 (en) | Context based switching to a secure operating system environment | |
| US9177154B2 (en) | Remediation of computer security vulnerabilities | |
| CN109684832A (zh) | 检测恶意文件的系统和方法 | |
| US20170185441A1 (en) | Systems and methods for ensuring computer system security via a virtualized layer of application abstraction | |
| US9275231B1 (en) | Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior | |
| US9219728B1 (en) | Systems and methods for protecting services | |
| CN104428786B (zh) | 防止对具有多个cpu的设备的攻击 | |
| Lima et al. | Security for mobile device assets: A survey | |
| EP2854088B1 (en) | A system and method for ensuring safety of online transactions | |
| Jakobsson et al. | Mobile malware: Why the traditional AV paradigm is doomed, and how to use physics to detect undesirable routines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mcafee Inc |