CN108052415B - 一种恶意软件检测平台快速恢复方法及系统 - Google Patents
一种恶意软件检测平台快速恢复方法及系统 Download PDFInfo
- Publication number
- CN108052415B CN108052415B CN201711144811.9A CN201711144811A CN108052415B CN 108052415 B CN108052415 B CN 108052415B CN 201711144811 A CN201711144811 A CN 201711144811A CN 108052415 B CN108052415 B CN 108052415B
- Authority
- CN
- China
- Prior art keywords
- operating system
- instruction
- backup
- security domain
- domain operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种恶意软件检测平台快速恢复方法及系统。本发明基于ARM构架中的TrustZone技术实现,由两部分组成:位于用户域操作系统中的具有转发指令功能的应用程序和位于安全域中的安全域操作系统。由位于用户域操作系统中的指令转发应用程序触发,它能转发备份或者恢复指令。位于安全域中的安全域操作系统在收到指令后,根据具体的指令可实现平台的备份与恢复。位于安全域的安全域操作系统收到备份指令时,将平台内存中的数据复制到特定的内存区域进行备份,并向平台的基于闪存的存储设备发出备份指令。当安全域的安全域操作系统收到恢复指令时,利用之前备份的内存数据恢复内存,并向平台的基于闪存的存储设备发出恢复指令。
Description
技术领域
本发明涉及平台数据的备份与恢复,特别涉及针对恶意软件检测平台的内存数据的备份与恢复方法及系统。
背景技术
随着移动互联网的高速发展,Android系统的使用变得越来越广泛,而针对Android系统的各种恶意软件也越来越常见。这些恶意软件不仅可能会窃取用户的隐私,例如用户的定位信息、通话记录、短信内容等,还有可能盗取话费、网银密码等,使用户产生巨大的经济损失。因此,为了保护用户隐私和财产安全,我们需要及时发现和查杀这些恶意软件。而分析这些恶意软件是查杀它们的前提。
目前,常用恶意软件分析方法包括静态分析和动态分析。由于静态分析往往无法获取恶意软件的所有特征,所以目前主流的分析方法是动态分析。在动态分析中,人们让恶意软件在沙箱和虚拟机中执行,并通过相应的组件来观测恶意软件的行为特征,从而分析其原理并找到相应的防御方法。
但并不是所有的恶意软件都可以在沙箱和虚拟环境中分析的。越来越多的恶意软件在展开攻击前都会对自己所处的环境进行检查,如果恶意软件发现自己处于虚拟环境中,则会拒绝执行恶意代码,以防止自己的行为特征暴露。为此,研究者开始在真实的Android平台上对恶意软件进行分析。
可当恶意软件分析结束后,Android恶意软件分析平台往往会被恶意软件严重的破坏。此时Android系统已被感染,处于异常状态,无法进行正常的工作。我们需要对被感染的系统平台进行恢复,以供对下一个恶意软件进行分析。传统的恢复方法是对平台进行刷机,即重新安装Android操作系统。然而重装系统是一件费时费力的工作,期间还会伴随耗时的重启过程,这会极大的影响对下一个恶意软件的分析速度。而每耽误一分钟,就会有更多的用户受到恶意软件的攻击。为此,我们需要更快速的方法来恢复Android恶意软件分析平台,使恶意软件分析平台尽快的投入到下一次的分析中。
TrustZone技术是ARM公司提出的一种硬件级的安全运行解决方案。TrustZone将系统分为了TEE和REE两个区域,TEE常被称安全域,它是一个安全的运行环境,它有独立的运算、存储资源,与REE是隔离的。REE常称为用户域,其中运行着用户域操作系统,常见的有Android系统。用户域操作系统通常被认为是不安全的,即有可能感染恶意软件。对安全要求高的关键工作在被隔离的安全域中运行,而其它任务运行在用户域中。这些任务在不同的环境拥有不同的访问权限,安全域中的系统可以访问所有的系统资源,但在用户域中的系统只允许访问被指定的非安全的资源。当两个环境切换时,需要调用SMC指令,此时处理器陷入安全域中的监控模式。在这种模式下,处理器拥有最高权限,它可以访问操作所有系统资源。
通过对TrustZone中的TZASC(TrustZone Address Space Controller)寄存器进行配置,我们可以将物理内存拆分成几个具有不同安全级别的区域,从而限定用户域可以使用的内存范围。
用户域和安全域都有自己的虚拟MMU,两个环境都有自己的一份TTBR0、TTBR1、TTBCR寄存器,也就是有两个MMU表。两个环境通过自己的MMU表访问与自己相关的内存。两个环境的TLB是共享的,但安全域的TLB项会被打上相应的标签,所以实际上TLB在逻辑上被划分了两个不同的部分,不同环境各自管理各自的TLB项。当两个环境切换时,页表和TLB都不需要进行刷新,当前处于哪个环境,则使用哪个环境相应的TTBR寄存器,从而找到其所对应的页表,实现对相关内存的访问控制。
发明内容
本发明提供了一种基于TrustZone技术的恶意软件检测平台快速恢复方法及系统,实现了检测平台快速恢复的功能,提高了恶意软件检测平台的使用率。
为了实现快速恢复的目标,本发明采用以下技术方案:
一种恶意软件检测平台快速恢复方法,包括以下步骤:
1)对恶意软件检测平台划分用户域和安全域,在所述用户域的操作系统中设置指令转发应用程序,在所述安全域中运行安全域操作系统;
2)所述指令转发应用程序向所述安全域操作系统转发备份指令或恢复指令;
3)所述安全域操作系统接收到备份指令时,对用户域操作系统所使用的内存数据进行备份,并向基于闪存的存储设备发送备份指令;所述安全域操作系统接收到恢复指令时,将备份的内存数据写入用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令。
一种恶意软件检测平台快速恢复系统,包括设置于用户域的操作系统中的指令转发应用程序,和设置于安全域中的安全域操作系统;所述指令转发应用程序用于向所述安全域操作系统转发备份指令或恢复指令;所述安全域操作系统接收到备份指令时,对用户域操作系统所使用的内存数据进行备份,并向基于闪存的存储设备发送备份指令;所述安全域操作系统接收到恢复指令时,将备份的内存数据写入用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令。
本发明主要由以下两部分组成,具体描述如下:
(1)指令转发应用程序,它可以转发备份或恢复指令,它是用户域系统中的一个应用程序。
(2)安全域操作系统,它是一个简单的操作系统,可以实现特定的功能。
进一步,根据(1)的描述,本发明中具有命令转发功能的应用程序部分可以做如下描述:
具有命令转发功能的应用程序是一个用户域操作系统应用。这个应用负责沟通用户域系统和安全域系统。在本发明中,它从上位机接受备份或者恢复指令,然后向安全域操作系统转发指令。如果安全域操作系统还实现了其它的安全功能,也可以利用此应用转发相关指令来调用这些安全功能。
进一步,根据(2)的描述,本发明中安全域操作系统部分可以做如下描述:
安全域操作系统位于平台的安全域中,它是一个简单的操作系统,在本发明中,它具有备份和恢复平台中用户域操作系统的功能。同时它还可以添加其他的安全功能,例如指纹识别等功能等。安全域操作系统由位于用户域操作系统的应用程序来控制。当安全域操作系统接收到来自用户域的指令时,安全域操作系统对指令进行一系列的逻辑判断,并根据发来的指令做出相应的反应。当转发应用程发来备份指令时,安全域操作系统对用户域操作系统所使用的内存进行备份,并向基于闪存的存储设备发送备份指令;当转发应用发来恢复指令时,安全域操作系统将之前备份的内存数据写入用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令。
进一步,安全域操作系统在收到指令后,要经历以下的过程:
安全域操作系统收到来自用户域操作系统的指令时,先检查指令是否来自具有命令转发功能的应用程序,如果不是则返回用户域操作系统;如果是,安全域操作系统辨别收到指令的类型。如果收到的指令是备份指令,安全域操作系统检查是否是第一次收到备份指令。如果安全域操作系统是在平台恢复后第一次收到备份指令,则进行备份操作;如不是,则拒绝执行备份操作,并返回用户域操作系统。如果安全域操作系统收到的是恢复指令,则进行恢复操作。如果安全域操作系统长时间未收到恢复指令,则安全域操作系统在一定时间后自动执行恢复操作。
进一步,安全域操作系统在实现备份功能前,需要做如下工作:
在硬件启动之后,安全域操作系统开始在安全域中运行,此时安全域操作系统可以访问硬件平台的所有内存。安全域操作系统先初始化处理器的片上内存(iRAM),并将其作为自己运行的内存。然后,安全域操作系统通过配置TZASC(TrustZone Address SpaceController)寄存器,将硬件平台的独立内存平均分为两份。其中一份对用户域操作系统是可见的,这部分内存用做用户域操作系统的运行内存;另一份内存对用户域操作系统是不可见的,这部分内存用来存储用户域操作系统运行内存的备份。安全域操作系统可以读写所有的内存。
进一步,安全域操作系统实现备份的过程如下:
当安全域操作系统第一次收到转发应用发来的备份指令时,安全域操作系统读取用户域操作系统的运行内存,并将其按顺序完全复制到之前由安全域操作系统保留的、用于存储备份的内存当中。部分在用户域中使用,但在由用户域切换到安全域的过程中,未被压入栈中的寄存器,例如处理器状态寄存器(CPRS),页表转换基址寄存器(TTBR),它们的值将被保存在安全域操作系统的运行内存当中。安全域操作系统向基于闪存的存储设备发送备份指令。
进一步,安全域操作系统的恢复过程如下:
当安全域操作系统收到由具有转发功能的应用程序发来的恢复指令时,或者安全域操作系统长时间未收到恢复指令时,安全域操作系统对平台进行恢复。
①安全域操作系统读取之前存储的内存备份,并将备份的内容按顺序复制到用户域操作系统使用的内存中,完全覆盖用户域操作系统使用的内存。
②内存复制完成后,安全域操作系统将备份时存入的寄存器数值恢复到指定的寄存器中。
③清空TLB。
④向基于闪存的存储设备发送恢复指令。
进一步地,基于闪存的存储设备采用以下方法实现数据的备份和恢复:
a)在闪存转换层接收到备份指令之后,触发垃圾回收机制,回收闪存中无效数据所占据的存储空间,实现需恢复数据的紧凑存储,然后闪存转换层对需恢复数据的相关元数据进行备份;
b)在合法或非法用户对需恢复数据进行增删改操作的过程中,通过修改闪存转换层中的块分配策略、垃圾回收机制保证需恢复数据的完整性;
c)闪存转换层接收到恢复指令之后,通过恢复备份的元数据,恢复需要恢复的数据。
本发明基于ARM构架处理器的TrustZone技术,阐述了一种恶意软件检查平台快速恢复方法及系统。利用TrustZone的隔离技术,在硬件之上划分出两个环境,这两个环境分别称为用户域和安全域。在用户域中,运行指定的系统,并在其上安装具有指令转发功能的应用程序。恶意软件分析平台就是在用户域上分析恶意软件。在安全域上,运行安全域操作系统。安全域操作系统可以访问硬件上所有的资源,而用户域中的系统只能访问由安全域操作系统指定的资源。由于安全域相对于用户域是隔离的,用户域上的恶意软件很难对安全域中的操作系统产生影响。这就保证了安全域操作系统的功能不会受到恶意软件的影响。
具有转发功能的应用程序是用来沟通用户域和安全域的。它只负责转发指令,指令是由上位机上的恶意软件调试程序发出的。位于上位机的恶意软件调试程序用于向分析平台下载恶意程序,并在合适的时机发送备份和恢复指令。当上位机上的恶意软件调试程序开始运行时,它先向平台上位于用户域的转发程序发出备份指令。此时用户域还未感染恶意程序,因此备份的数据都是可信的。之后上位机的恶意软件调试程序向平台下载恶意软件,并开始执行恶意软件。恶意软件行为执行结束后,上位机的恶意软件调试程序向平台上位于用户域的转发应用发出恢复命令,从而完成平台的恢复。平台恢复后,就可以重复上面的步骤,进行下一个恶意软件的分析。
在平台上电后,安全域操作系统开始运行,它将处理器的片上内存作为其运行内存。并通过配置相应寄存器,将平台上的独立内存平均分成两份。其中一份作为用户域操作系统的运行内存,另一部分作为内存备份的存储空间。用做备份存储空间的内存是不能被用户域操作系统访问的,这样就避免了恶意程序对备份的破坏。
安全域操作系统在执行恢复功能前,只接受一次备份的命令。当安全域操作系统第一次接到备份指令时,它会将用户域操作系统的使用内存完全复制到之前保留的内存中,并将一些相关寄存器存入安全域操作系统中。当安全域操作系统收到恢复指令时,或在一定时间后未收到恢复指令时,安全域操作系统会自动的执行恢复工作。此时安全域操作系统会将之前备份的数据复制到用户域操作系统的运行内存当中,并将之前保存的寄存器值写入相关的寄存器当中,刷新TLB表,并向基于闪存的存储设备发送恢复指令,从而完成平台的恢复工作。
附图说明
图1为本发明恶意软件检测平台快速恢复方法及系统的结构图。
图2为具有指令转发功能的应用程序与安全域操作系统切换的过程示意图。
图3为安全域操作系统判断指令的过程示意图。
图4为安全域操作系统初始化的过程示意图。
图5为安全域操作系统对平台进行备份的过程示意图。
图6为安全域操作系统对平台进行恢复的过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下参照各附图,对本发明作进一步详细说明。
如图1所示,本发明提供了一种基于TrustZone技术的恶意软件检测平台快速恢复方法。为了实现快速恢复平台的目标,本发明所涉及的软硬件描述如下:
(1)恢复方法的运行需要硬件上的支持,它运行于实现了TrustZone技术的基于ARM构架的硬件平台之上。
(2)命令转发应用程序是本发明的一部分,它可以转发备份或恢复指令,它是用户域操作系统中的一个应用程序。
(3)安全域操作系统是本发明的另一部分,它是一个简单的操作系统,可以实现平台的备份与恢复。
进一步,根据(1)的描述,本发明基于的硬件特征可以做如下描述:
硬件平台支持TrustZone技术,并可以利用TrustZone技术在硬件上运行两个隔离的环境,我们将这两个环境分别称为用户域和安全域。在用户域中运行Android系统,这个环境可能被恶意软件感染。安全域相对于用户域是隔离的,认为它是安全的。安全域中运行着安全域操作系统。
进一步,根据(2)的描述,本发明中具有指令转发功能的应用程序可以做如下描述:
具有指令转发功能的应用程序是一个用户域操作系统上的应用。这个应用负责沟通用户域和安全域,它负责唤醒在安全域中已经实现的安全功能。在本发明中,它负责向在安全域中的操作系统转发备份与恢复指令。如果安全域操作系统还实现了其它的安全功能,也可以利用这个应用程序转发相关指令来唤醒这些安全功能。
进一步,具有指令转发功能的应用程序接受来自上位机的命令。上位机上安装了恶意软件调试程序,上位机通过此软件与分析平台相连。恶意软件调试程序负责向平台下载恶意软件、发送备份与恢复指令。当平台还未感染恶意软件时,恶意软件调试程序发出备份指令,使得平台完成备份,此时的备份数据是可信的。然后恶意软件调试程序向平台下载恶意软件并开始执行恶意软件。恶意软件行为执行结束后,恶意软件调试程序向用户域的命令转发应用程序发出恢复指令,使平台恢复到正常状态,从而进行下一次的分析。
进一步,根据(3)的描述,本发明中的安全域操作系统部分可以做如下描述:
安全域操作系统位于安全域中,它是一个简单的操作系统,在本发明中,它具有备份和恢复用户域系统的功能。同时它还可以添加其他的安全功能,例如指纹识别等功能等。安全域操作系统由位于用户域操作系统的,具有指令转发功能的应用程序来控制。安全域操作系统接收指令转发应用程序发来的消息,并按照其发来的指令做出相应的反应。当第一次收到备份的命令时,安全域操作系统对用户域操作系统所使用的内存进行备份,并向基于闪存的存储设备发送备份指令;当收到转发应用发来的恢复的命令时,安全域操作系统利用之前备份的内存数据恢复用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令。
恶意软件检测平台的快速恢复,既需要内存的恢复,也需要数据的恢复。而数据保存在基于闪存的存储设备中(具体恢复过程是我们另外一个专利的内容),因此除了需要对内存进行备份和恢复,还需要向基于闪存的存储设备发送备份指令或者恢复指令,实现数据的备份和恢复。具体地,可以利用闪存非原位更新的特点,通过对硬盘进行元数据备份、修改垃圾回收机制等实现快速的数据恢复。其具体实现步骤如下:
1)用户向基于闪存的存储设备中正常写入数据,在闪存转换层接收到来自上层系统的存储命令之后,触发垃圾回收机制,回收闪存中无效数据所占据的存储空间,实现需恢复数据的紧凑存储,然后闪存转换层对需恢复数据的相关元数据进行备份;
2)在合法或非法用户对需恢复数据进行增删改操作的过程中,通过修改闪存转换层中的块分配策略、垃圾回收机制保证需恢复数据的完整性;
3)闪存转换层接收到来自上层系统的恢复命令,通过恢复备份的元数据,恢复需要恢复的数据。
其中,步骤1)所述垃圾回收机制将含有无效页的块标记为目标块,将目标块中的有效数据复制到空闲块中,同时更新相应的地址映射表,最后将目标块擦除。步骤1)所述元数据包括地址映射表、块擦除次数表等,将备份的元数据保存到系统保留块,保证存储备份元数据的物理块不会被上层映射,从而保证备份元数据不会被覆盖,保证备份元数据的完整性。步骤2)通过修改块分配策略,将新写入数据分配到空闲块中,并利用闪存非原位更新的特性,将更新后的需恢复数据写入到空闲块中,改变对应地址映射关系,保证存有需恢复数据及备份元数据的物理块不会被分配、修改。步骤2)通过修改垃圾回收机制,保证垃圾回收执行过程中存有需恢复数据及备份元数据的块永远不会被标记为目标块,即保证需恢复数据及备份元数据所在的物理块不可被物理擦除。进一步地,为了延长闪存的使用寿命,闪存转换层修改使用均衡机制:当发现存储需恢复数据的物理块的擦除次数小于某一阈值,则将其中的需恢复数据拷贝到一个擦写次数较大的空闲块中,改变地址映射关系,同时更新备份的地址映射表,并将擦除次数较小的物理块进行擦除,用于后续的块分配。步骤3)具体包括:首先闪存转换层接收到来自上层系统的恢复命令,然后闪存转换层利用备份的元数据代替当前的元数据,进而通过备份的元数据中地址映射表索引到需恢复数据所在的物理块,从而使得基于闪存的存储设备直接快速地恢复需恢复数据。
如图2所示,具有指令转发功能的应用程序转发指令的过程如下:
当具有指令转发功能的应用程序转发相关指令时,用户域操作系统调用ARM处理器的SMC指令,处理器进入安全域中的监视模式。在监视模式下,用户域操作系统进入休眠,用户域操作系统的上下文及寄存器的值都被存入其运行的内存中,然后监视模式将控制权交给安全域操作系统。
如图3所示,安全域操作系统在收到指令后的执行步骤如下:
安全域操作系统收到来自用户域的指令时,检查指令是否来自具有指令转发功能的应用程序,如果不是则返回用户域操作系统,如果是,则辨别指令类型。如果指令是备份指令,安全域操作系统检查是否是平台恢复后第一次收到备份指令。如果安全域操作系统是在平台恢复后第一次收到备份指令,则进行备份;如果不是,则返回用户域操作系统。如果安全域操作系统收到的是恢复指令,则执行恢复操作。如果安全域操作系统长时间未收到恢复指令,则安全域操作系统在指定时间后自动执行恢复操作。
如图4所示,安全域操作系统在实现备份功能前,需要做如下工作:
在硬件平台上电之后,安全域操作系统开始运行,此时安全域操作系统可以访问系统的所有内存。安全域操作系统初始化处理器上的内置内存(iRAM),将其作为自己的运行内存。然后,安全域操作系统通过配置TZASC(TrustZone Address Space Controller)寄存器,将硬件平台的独立内存平均分为两份。其中一份对用户域操作系统是可读写的,这部分内存用于用户域操作系统的运行内存;另一份内存对用户域操作系统是不可读写的,它只能被安全域操作系统操作,这部分内存用来存储用户域操作系统运行内存的备份。
如图5所示,安全域操作系统备份的过程如下:
当安全域操作系统进行备份的时候,安全域操作系统读取用户域操作系统的运行内存,并将其按顺序完全复制到用于存储备份的内存当中。部分在用户域中使用,但在由用户域切换到安全域的过程中,未被压入栈中的寄存器,例如处理器状态寄存器(CPRS),页表转换基址寄存器(TTBR),它们的值将被保存在安全域操作系统的运行内存当中。之后,安全域操作系统向基于闪存的存储设备发送备份指令。
如图6所示,安全域操作系统的恢复策略如下:
①安全域操作系统读取之前存储的内存备份,并将备份的内容按顺序复制到用户域操作系统使用的内存中。
②内存复制完成后,将备份时存入安全域操作系统的寄存器数值恢复到指定的寄存器中。
③清空TLB。
④向基于闪存的存储设备发送恢复指令。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (6)
1.一种恶意软件检测平台快速恢复方法,其特征在于,包括以下步骤:
1)对恶意软件检测平台划分用户域和安全域,在所述用户域的操作系统中设置指令转发应用程序,在所述安全域中运行安全域操作系统;
2)所述指令转发应用程序向所述安全域操作系统转发备份指令或恢复指令;
3)所述安全域操作系统接收到备份指令时,对用户域操作系统所使用的内存数据进行备份,并向基于闪存的存储设备发送备份指令;所述安全域操作系统接收到恢复指令时,将备份的内存数据写入用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令;
所述安全域操作系统先初始化处理器的片上内存,并将其作为自己运行的内存;然后将硬件平台的独立内存平均分为两份,其中一份对用户域操作系统是可见的,用做用户域操作系统的运行内存;另一份内存对用户域操作系统是不可见的,用来存储用户域操作系统运行内存的备份;
所述安全域操作系统实现备份的过程包括:安全域操作系统读取用户域操作系统的运行内存,并将其复制到由安全域操作系统保留的、用于存储备份的内存当中;部分在用户域中使用的寄存器的值将被保存在安全域操作系统的运行内存当中,然后安全域操作系统向基于闪存的存储设备发送备份指令;
所述安全域操作系统实现恢复的过程包括:
(1)安全域操作系统读取内存备份,并将备份的内容复制用户域操作系统使用的内存中;
(2)复制完成后,将备份时存入安全域操作系统的寄存器数值恢复到指定的寄存器中;
(3)清空缓存;
(4)向基于闪存的存储设备发送恢复指令;
所述基于闪存的存储设备采用以下步骤实现数据的备份和恢复:
a)在闪存转换层接收到备份指令之后,触发垃圾回收机制,回收闪存中无效数据所占据的存储空间,实现需恢复数据的紧凑存储,然后闪存转换层对需恢复数据的相关元数据进行备份;
b)在合法或非法用户对需恢复数据进行增删改操作的过程中,通过修改闪存转换层中的块分配策略、垃圾回收机制保证需恢复数据的完整性;
c)闪存转换层接收到恢复指令之后,通过恢复备份的元数据,恢复需要恢复的数据。
2.根据权利要求1所述的方法,其特征在于,基于TrustZone技术划分所述用户域和所述安全域。
3.根据权利要求1所述的方法,其特征在于,所述指令转发应用程序转发的备份指令或恢复指令来自上位机上的恶意软件调试程序,所述恶意软件调试程序用于向恶意软件检测平台下载恶意程序,并在合适的时机发送备份指令或恢复指令。
4.根据权利要求3所述的方法,其特征在于,在恶意软件检测平台未感染恶意软件时,所述恶意软件调试程序向所述指令转发应用程序发出备份指令,使恶意软件检测平台完成备份;然后所述恶意软件调试程序向恶意软件检测平台下载恶意软件并开始执行恶意软件;恶意软件行为执行结束后,所述恶意软件调试程序向所述指令转发应用程序发出恢复指令,使恶意软件检测平台恢复到正常状态,从而进行下一次的分析。
5.根据权利要求1所述的方法,其特征在于,所述安全域操作系统收到来自用户域操作系统的指令时,先检查指令是否来自所述指令转发应用程序,如果不是则返回用户域操作系统;如果是则所述安全域操作系统辨别收到的指令的类型;如果收到的指令是备份指令,所述安全域操作系统检查是否是第一次收到备份指令,如果是第一次收到备份指令则进行备份操作,如不是则拒绝执行备份操作,并返回用户域操作系统;如果所述安全域操作系统收到的是恢复指令,则进行恢复操作;如果所述安全域操作系统长时间未收到恢复指令,则在一定时间后自动执行恢复操作。
6.一种采用权利要求1~5中任一权利要求所述方法的恶意软件检测平台快速恢复系统,其特征在于,包括设置于用户域的操作系统中的指令转发应用程序,和设置于安全域中的安全域操作系统;所述指令转发应用程序用于向所述安全域操作系统转发备份指令或恢复指令;所述安全域操作系统接收到备份指令时,对用户域操作系统所使用的内存数据进行备份,并向基于闪存的存储设备发送备份指令;所述安全域操作系统接收到恢复指令时,将备份的内存数据写入用户域操作系统使用的内存,并向基于闪存的存储设备发送恢复指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711144811.9A CN108052415B (zh) | 2017-11-17 | 2017-11-17 | 一种恶意软件检测平台快速恢复方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711144811.9A CN108052415B (zh) | 2017-11-17 | 2017-11-17 | 一种恶意软件检测平台快速恢复方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108052415A CN108052415A (zh) | 2018-05-18 |
CN108052415B true CN108052415B (zh) | 2022-01-04 |
Family
ID=62118837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711144811.9A Active CN108052415B (zh) | 2017-11-17 | 2017-11-17 | 一种恶意软件检测平台快速恢复方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108052415B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109298973A (zh) * | 2018-09-28 | 2019-02-01 | 联想(北京)有限公司 | 一种信息恢复方法和电子设备 |
CN112286736B (zh) * | 2020-12-25 | 2021-06-22 | 北京邮电大学 | 对被可疑应用感染的设备进行恢复的方法及相关设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1711525A (zh) * | 2002-11-18 | 2005-12-21 | Arm有限公司 | 具有安全域和非安全域的数据处理系统内的虚拟至物理存储器地址映射 |
CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
CN104992122A (zh) * | 2015-07-20 | 2015-10-21 | 武汉大学 | 一种基于ARM TrustZone的手机私密信息保险箱 |
CN107194284A (zh) * | 2017-06-22 | 2017-09-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TrustZone隔离用户数据的方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7143307B1 (en) * | 2002-03-15 | 2006-11-28 | Network Appliance, Inc. | Remote disaster recovery and data migration using virtual appliance migration |
GB2396712B (en) * | 2002-11-18 | 2005-12-07 | Advanced Risc Mach Ltd | Handling multiple interrupts in a data processing system utilising multiple operating systems |
-
2017
- 2017-11-17 CN CN201711144811.9A patent/CN108052415B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1711525A (zh) * | 2002-11-18 | 2005-12-21 | Arm有限公司 | 具有安全域和非安全域的数据处理系统内的虚拟至物理存储器地址映射 |
CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
CN104992122A (zh) * | 2015-07-20 | 2015-10-21 | 武汉大学 | 一种基于ARM TrustZone的手机私密信息保险箱 |
CN107194284A (zh) * | 2017-06-22 | 2017-09-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TrustZone隔离用户数据的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108052415A (zh) | 2018-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Song et al. | Agamotto: Accelerating kernel driver fuzzing with lightweight virtual machine checkpoints | |
CN103907098B (zh) | 用于管理程序环境中的关键地址空间保护的系统和方法 | |
US8479295B2 (en) | Method and apparatus for transparently instrumenting an application program | |
RU2510074C2 (ru) | Система и способ проверки исполняемого кода перед его выполнением | |
Qi et al. | ForenVisor: A tool for acquiring and preserving reliable data in cloud live forensics | |
US8910155B1 (en) | Methods and systems for injecting endpoint management agents into virtual machines | |
US20080016314A1 (en) | Diversity-based security system and method | |
JP2007272576A5 (zh) | ||
US8037529B1 (en) | Buffer overflow vulnerability detection and patch generation system and method | |
CN109947666B (zh) | 可信执行环境缓存隔离方法及装置、电子设备和存储介质 | |
JP2020527777A (ja) | レルム階層における目標レルムの無効化 | |
CN108920253B (zh) | 一种无代理的虚拟机监控系统和监控方法 | |
US11573907B2 (en) | Controlling memory accesses using a tag-guarded memory access operation | |
KR20220045211A (ko) | 캐패빌리티 기입 어드레스 추적 | |
KR20200023377A (ko) | 변환 캐시 록업을 위한 영역 식별자 비교 | |
Guan et al. | Supporting transparent snapshot for bare-metal malware analysis on mobile devices | |
KR20140147017A (ko) | 라이트 백 캐싱 환경에서 예상하지 못한 셧다운으로부터 복구하기 위한 시스템 및 방법 | |
US20200073832A1 (en) | Systems And Methods For Hiding Operating System Kernel Data In System Management Mode Memory To Thwart User Mode Side-Channel Attacks | |
CN108052415B (zh) | 一种恶意软件检测平台快速恢复方法及系统 | |
Wang et al. | Making information hiding effective again | |
Cox et al. | Secure, consistent, and high-performance memory snapshotting | |
US11200175B2 (en) | Memory accessor invailidation | |
EP2720170B1 (en) | Automated protection against computer exploits | |
Zhan et al. | A low-overhead kernel object monitoring approach for virtual machine introspection | |
Sun et al. | Kernel code integrity protection based on a virtualized memory architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |