CN113486349B - 存储器扫描方法和装置 - Google Patents
存储器扫描方法和装置 Download PDFInfo
- Publication number
- CN113486349B CN113486349B CN202110924317.4A CN202110924317A CN113486349B CN 113486349 B CN113486349 B CN 113486349B CN 202110924317 A CN202110924317 A CN 202110924317A CN 113486349 B CN113486349 B CN 113486349B
- Authority
- CN
- China
- Prior art keywords
- address
- memory
- entry
- page
- physical memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000013519 translation Methods 0.000 claims abstract description 55
- 238000013507 mapping Methods 0.000 claims description 38
- 230000000694 effects Effects 0.000 claims description 26
- 239000000872 buffer Substances 0.000 claims description 23
- 238000006243 chemical reaction Methods 0.000 claims 1
- 230000014616 translation Effects 0.000 description 52
- 230000008569 process Effects 0.000 description 36
- 238000012545 processing Methods 0.000 description 30
- 238000001514 detection method Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 7
- 101100400452 Caenorhabditis elegans map-2 gene Proteins 0.000 description 3
- 230000002411 adverse Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000000844 transformation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000011010 flushing procedure Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/10—Address translation
- G06F12/1009—Address translation using page tables, e.g. page table structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/15—Use in a specific computing environment
- G06F2212/151—Emulated environment, e.g. virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/68—Details of translation look-aside buffer [TLB]
- G06F2212/683—Invalidation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Memory System Of A Hierarchy Structure (AREA)
Abstract
公开了存储器扫描方法和装置。示例装置包括:走行器,其用于遍历地址转换系统的分页结构;位分析器,其用于确定与分页结构的条目相关联的位是否指示条目最近被存取;地址识别器,其用于当位分析器确定与分页结构的条目相关联的位指示条目最近被存取时确定与条目相关联的地址;以及输出器,其用于将所确定的地址提供给存储器扫描器。
Description
本申请是2016年2月3日提交的申请号为201680012464.1、名称为‘存储器扫描方法和装置’的分案申请。
相关申请
本申请要求享有于2015年3月27日提交的题为“MEMORY SCANNING METHODS ANDAPPARATUS”的、序号为14/671,764的美国专利申请的优先权。序号为14/671,764的美国专利申请的全部内容通过引用并入本文。
技术领域
本公开总体上涉及计算平台,并且更具体地涉及存储器扫描方法和装置。
背景技术
恶意软件检测技术包括针对已知指示恶意软件的模式或签名对存储器进行扫描。
附图说明
图1是根据本公开的教导构建的示例计算平台的图示。
图2是图1的示例扫描管理器的示例实现方式的框图。
图3示出了与图2的示例邻接映射器相关联的示例地址。
图4示出了与图2的示例定序器相关联的示例序列。
图5是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。
图6是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。
图7是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。
图8是表示可以被执行以实现图1和/或图2的示例扫描管理器的示例机器可读指令的流程图。
图9是通过执行图5、图6、图7、和/或图8的示例机器可读指令来实现图1和/或图2的示例扫描管理器的示例处理系统的框图。
具体实施方式
恶意软件检测系统和/或技术涉及针对已知对应于恶意元素(例如,恶意软件、可疑的通信、病毒等)的签名(例如,模式)来扫描计算平台的元素(例如,存储在盘上的文件)。为了避免检测,一些恶意软件对其自身进行伪装,以使得在恶意软件不活动时对恶意软件进行检测很困难。一种这样的伪装恶意软件的技术涉及打包。当被打包时,恶意软件被伪装,以使得恶意软件不展示(至少在打包时)警告恶意软件检测系统在计算平台上存在恶意软件的签名。打包通过压缩原始代码并在恶意软件不活动时保持原始代码被压缩来模糊化恶意软件的原始代码。典型地,为了能够攻击计算平台,恶意软件需要进行解包。存在针对处于正在被解包或以其它方式活动并且攻击计算平台的进程中的恶意软件来扫描系统存储器的方法。然而,这些方法涉及高开销和长扫描间隔,这是由于例如需要扫描大量的存储器以及扫描的定时可能与活动地利用处理资源的其它应用和/或进程重合。也即,检测正在被解包或正处于攻击计算平台的进程中的恶意软件在计算上是昂贵的,并且经常不利地影响性能、用户体验、电池寿命、吞吐量等。
本文公开的示例方法和装置通过将存储器扫描(例如,针对恶意软件指示的模式)集中在最近(例如,当前和/或在阈值量的周期或时间内)被存取(例如,读取和/或修改)的存储器的区域上来改进恶意软件检测系统和/或技术。换言之,本文公开的示例方法和装置通过识别最近被存取的存储器的特定区域并且将一个或多个存储器扫描限制到这些最近被存取的存储器的特定区域来改进恶意软件检测系统和/或技术。
与最近被存取的存储器的另一区域相比,最近未被存取的存储器的区域不太可能包括恶意软件。例如,与最近未被存取的存储器的区域相比,最近被存取的存储器的区域更有可能自从前一次扫描被修改。因此,本文公开的示例方法和装置避免了计算资源的浪费消耗,否则扫描最近未被存取的存储器会引发计算资源的浪费消耗。本文公开的示例方法和装置将存储器检查集中在最近被存取的存储器区域上,而不是无差别地扫描存储器。因此,本文公开的示例技术被称为按需深度存储器检查(OD-DMI)。
本文公开的示例利用诸如地址转换系统的存储器管理系统的方面来识别最近被存取的存储器的区域,一个或多个扫描可以集中于(例如,限定于)该最近被存取的存储器的区域。一般地,地址转换系统提供比在特定机器上物理地可用的地址空间在概念上更大的地址空间,从而为组件(例如,诸如客户机(guest)应用的虚拟组件)提供更大的地址空间来在其中进行操作。地址转换系统经常利用分页结构(例如,页表、页目录等)将虚拟地址(例如,线性地址)转换为物理地址(例如,客户机物理地址和/或主机(host)物理地址)。下面详细描述示例地址转换系统的操作。本文公开的示例与地址转换系统的一个或多个组件进行交互(例如,分析、监测、和/或修改)以高效地确定最近存取了存储器的哪些区域。在本文公开的一些示例中,利用分页结构的一个或多个特定位或标志(例如,存取位(accessedbit)和/或脏位(dirty bit))来识别最近被存取的存储器的区域和/或用于进一步考虑作为最近被存取的存储器的候选。附加地或替代地,本文公开的示例对转换后备缓冲器(TLB)的活动进行监测,以识别最近被存取的存储器的区域和/或用于进一步考虑作为最近被存取的存储器的候选。
本文公开的示例为扫描器提供存储器的哪些区域最近被存取的信息,从而使得扫描器能够将一个或多个存储器扫描集中在存储器的特定区域上,从而节省资源并实现更快的扫描。此外,本文公开的示例认识到恶意软件指示的模式或签名可以跨越页边界。因此,本文公开的示例识别与所识别出的最近被存取的存储器的区域相关联的一个或多个邻接。本文公开的示例利用所识别出的邻接将存储器扫描引导到其中恶意软件指示的模式可能已经跨越边界的存储器的区域中。
因此,本文公开的示例方法和装置利用与地址转换系统和/或存储器管理系统相关联的信息将一个或多个存储器扫描限定于最近被存取的存储器的(多个)区域和/或与最近被存取的(多个)区域相邻的(多个)区域。换言之,本文公开的示例方法和装置利用与地址转换系统和/或存储器管理系统相关联的信息来实现忽略最近未被存取的存储器的(多个)区域的一个或多个存储器扫描。由于要扫描的存储器的量经由本文公开的示例方法和装置而显著地减少,对应的存储器扫描消耗更少的资源(例如,处理资源和/或活动存储器),不太可能导致漏报(false negative),并且将更快地识别例如恶意软件指示的模式。
图1示出了其中可以实现本文公开的示例的示例计算平台100。图1的示例计算平台100包括安全应用102,其为示例计算平台100提供一个或多个安全措施。图1的示例安全应用102包括根据本公开的教导构建的扫描器104和扫描管理器106。图1的示例安全应用102的任务是保护示例计算平台100免于恶意软件。图1的示例安全应用102维护多个恶意软件指示的模式,其已经被识别(例如,由安全应用102的开发者)为潜在地对应于计算平台100受例如恶意软件感染。示例恶意软件指示的模式对应于的示例恶意软件包括模糊化的(例如,加密和/或打包的)文件、多态恶意软件、和/或无文件的恶意软件,例如,利用反射DLL(动态链接库)注入技术的互联网蠕虫、浏览器漏洞、和/或恶意代码。在图1所示的示例中,示例安全应用102使用的恶意软件指示的模式由与安全应用102相关联的实体(举例来说,例如,安全应用102的开发者)填充(例如,经由通过网络与服务器进行通信)。
如下面结合图2详细公开的,计算平台100中的图1的示例扫描管理器106与示例地址转换系统108进行交互以识别最近被存取(例如,读取和/或写入)的物理存储器110的(多个)区域。此外,图1的示例扫描管理器106识别与最近被存取的(多个)区域相邻的(多个)存储器区域。图1的示例扫描管理器106向扫描器104提供与所识别的最近被存取的物理存储器110的(多个)区域以及对应的(多个)相邻区域相关联的识别信息(例如,地址)。图1的示例扫描器104使用所接收的(多个)标识符将一个或多个存储器扫描限制或限定于例如物理存储器110的(多个)对应区域。换言之,示例扫描管理器106使得扫描器104能够在(多个)存储器扫描中包括物理存储器110的最近被存取的(多个)部分,并且从(多个)存储器扫描中忽略其它最近未被存取的部分,从而显著地减少对物理存储器110中的多少进行扫描。如上面指出的,存储器的最近未被存取的部分不太可能受到恶意软件的影响,这是因为例如之前的扫描可能已经发现了驻留在这些区域中的任何恶意软件。通过使得示例扫描器104能够扫描更少的存储器并将这种扫描集中于更有可能(例如,相对于最近未被存取的存储器)包括恶意软件指示的模式的存储器,示例扫描管理器106改进扫描器104和计算平台100的性能。
此外,在一些示例中,扫描管理器106通过将与安全应用102相关联的一个或多个任务或操作分配给一个或多个协处理器(举例来说,例如,图形处理单元(GPU)115)来减轻放置在示例计算平台100的计算复合体114的中央处理单元(CPU)112上的处理负载。也即,图1的示例扫描管理器106可以将一些计算任务委托或卸载给(多个)协处理器(例如,GPU115),而不是依赖于CPU 112来执行由安全应用114实现的(多个)计算任务中的全部。通过利用不同的处理资源(例如,CPU 112和/或诸如GPU 115的一个或多个协处理器),相对于仅利用CPU 112来执行安全任务且使CPU 112负担安全任务的执行的系统,图1的示例扫描管理器106能够实现更高效且更积极的扫描(例如,更频繁的扫描、在所测试的模式的数量方面更全面的扫描、和/或在所扫描的存储器的量方面更广泛的扫描)。
下面结合图2详细公开了扫描管理器106的示例实现方式、扫描管理器106与地址转换系统108之间的示例交互、以及由扫描管理器106将(多个)安全任务示例委托给(多个)协处理器。
图1的示例地址转换系统108提供了虚拟组件(例如,虚拟机、客户机应用、虚拟机监测器(VMM)、客户机操作系统等),这些虚拟组件中的一个在图1中作为客户机应用116示出,与物理存储器110的虚拟视图或透视图一起。物理存储器110的虚拟视图模拟大于物理存储器110的、其中可以执行操作的地址空间。虽然图1的示例包括客户机应用116,但是示例计算平台100可以包括附加的或替代的(多种)类型的虚拟组件。此外,虽然下面结合图1的客户机应用116描述了示例安全应用102和示例扫描管理器106,但是示例安全应用102和示例扫描管理器106可以与附加的或替代的(多种)类型的虚拟组件结合地使用。
为了支持对物理存储器110进行虚拟化,图1的示例地址转换系统108利用扩展页表(EPT)机制或特征。因此,当客户机操作系统116执行涉及存储器的操作时,客户机应用116向地址转换系统108提供对应的线性地址,该地址转换系统108将线性地址转换为客户机物理地址,并且将客户机物理地址转换为主机物理地址。由客户机操作系统116提供的线性地址从客户机应用116的角度表示存储器中的位置。为了将线性地址变换为客户机物理地址,图1的示例地址转换系统108包括客户机分页结构,即客户机页目录118和客户机页表120。在图1所示的示例中,客户机分页结构是分层的分页结构。客户机页表120表示多个层级,其中客户机页表120中的一个客户机页表的当前条目包括或者对应于客户机页表120中的另一个客户机页表的地址或者对应于客户机物理地址空间122中的帧的地址。换言之,客户机页表120的条目或者引用另一分页结构或者对页(例如,客户机物理地址空间122中的)进行映射。因此,对示例客户机表120进行遍历以在客户机物理地址空间122中发现客户机物理地址。
在图1所示的示例中,使用指定的控制寄存器(CR3)124来定位客户机页目录118。当对接收到的线性地址进行变换时,线性地址的第一部分与CR3 124一起用于获得客户机页目录118中的位置。客户机页目录118中的位置用于定位客户机页表120中的特定的客户机页表。线性地址的第二部分用于标识客户机页表120中的所定位的客户机页表中的条目。在一些示例中,取决于地址转换系统108的分页模式(例如,32位分页、IA-32e分页、PAE分页、和/或任何其它分页模式),客户机页表120中的所定位的客户机页表中的所标识的条目可以引用客户机页表120中的另一个客户机页表。如果是,则存取客户机页表120中的所引用的客户机页表。遍历客户机页表120,直到遇到对客户机物理地址空间122的页进行映射的条目为止(或者直到确定发生未命中为止)。当遇到对客户机物理地址空间122的页进行映射的客户机页表120中的条目时,使用该条目(例如,与线性地址的第三部分组合)来识别客户机物理存储器122中的对应于所接收的线性地址的客户机物理地址。
在图1所示的示例中,将经由客户机分页结构获得的客户机物理地址提供给EPT分页结构,即扩展页表(EPT)126(例如,VT-x2扩展页表)和EPT目录128。虽然图1的示例包括EPT 126和EPT目录128,但是附加或替代的二级分页是可能的。示例EPT 126和示例EPT目录128将客户机物理地址变换为对应于物理存储器110中的区域的主机物理地址。由示例EPT 126和示例EPT目录128执行的转换与通过上面描述的示例客户机分页结构执行的转换的相似之处在于,EPT 126被分层地布置并且被遍历直到EPT 126的条目中的一个对页进行映射为止。然而,对于EPT分页结构,所映射的页对应于物理存储器110中的地址。在所示的示例中,使用客户机物理地址的第一部分(例如,与EPT指针一起)来获得EPT目录128中的位置。EPT目录128中的位置用于定位EPT 126中的一个。客户机物理地址的第二部分用于标识EPT 126中的所定位的EPT中的条目。在一些示例中,取决于地址转换系统108的分页模式,EPT 126中的所定位的EPT中的所标识的条目可以引用EPT 126中的另一个EPT。如果EPT126中的所定位的EPT中的所标识的条目引用EPT 126中的另一个EPT,则对下一EPT 126进行存取。当遍历到达的EPT 126的条目映射物理存储器110的页而非引用另一分页结构时,该条目用于标识物理存储器110中的主机物理地址。因此,通过客户机分页结构和EPT分页结构将在地址转换系统108处接收到的线性地址转换为主机物理地址,并且在物理存储器110中执行对应于线性地址的操作(例如,读或写)。
在图1所示的示例中,地址转换系统108支持用于客户机分页结构(例如,客户机页表120和客ltu户机页目录118)的客户机存取位和脏位(A/D位)130以及用于EPT分页结构(例如,EPT目录128和EPT 126)的EPT A/D位132。在图1所示的示例中,EPT位132中的单独的EPT位对应于EPT分页结构的单独的条目。因此,当存取EPT分页结构中的对应条目时,对EPTA/D位132置位。例如,在遍历上面描述的EPT目录128和EPT 126以将客户机物理地址转换为主机物理地址的进程中,对EPT目录128和EPT 122中的一个或多个条目进行存取。在该遍历期间,置位对应于经遍历条目的EPT A/D位132,以指示在地址转换中涉及这些条目。因此,对于在将客户机物理地址转换为主机物理地址期间使用的任何EPT分页结构条目,对EPTA/D位132中的对应EPT A/D位进行置位(例如,置位为‘1’)。在一些示例中,EPT A/D位132中的“存取”位对应于被读或写的条目,并且EPT A/D位132中的“脏”位对应于条目处的写。
在遍历客户机分页结构(例如,如上面描述的客户机页目录118和客户机页表120)以将线性地址转换为客户机物理地址期间,对客户机分页结构中的一个或多个条目进行存取。在该遍历期间,置位对应于经遍历条目的客户机A/D位130(例如,置位为‘1’),以指示在地址转换中涉及这些条目。因此,对于在将线性地址转换为客户机物理地址期间使用的客户机分页结构中的任何条目,对客户机A/D位130中的对应客户机A/D位进行置位。在一些示例中,操作系统可以附加地或替代地修改客户机A/D位130。
如下面结合图2详细公开的,图1的示例扫描管理器106使用客户机A/D位130和/或EPT A/D位132来识别最近被存取的存储器。
在图1所示的示例中,转换后备缓冲器(TLB)134用于高速缓存指示由客户机分页结构和EPT分页结构执行的转换的映射。图1的示例TLB 134存储映射,以使得如果调用地址转换系统108以再次执行相同的转换,则能够容易地从TB 134取回转换的结果,而不必重新遍历分页结构。如下面结合图2详细公开的,图1的示例扫描管理器106利用TLB 134来识别最近被存取的存储器。
图2示出了图1的示例扫描管理器106的示例实现方式。图2的示例扫描管理器106包括目标存储器识别器200,其用于基于与图1的示例地址转换系统108的一个或多个方面相关联的信息来识别存储器的最近被存取的(多个)区域。图2的示例目标存储器识别器200包括用于遍历地址转换系统108的分页结构的走行器(walker)202。此外,图2的示例目标存储器识别器200包括A/D位分析器204,其用于收集与走行器202所遍历的分页结构的条目相关联的信息。例如,图2的走行器202遍历EPT 126和/或EPT目录128,并且示例A/D位分析器204确定(例如,在遍历期间和/或在遍历之后)分页结构条目中的哪个分页结构条目具有经置位的EPT A/D位132。也即,图2的示例走行器202和示例A/D位分析器204确定EPT A/D位132中的哪一个(多个)在特定时间被置位(例如,置位为‘1’)。为了确定客户机A/D位130中的哪一个(多个)在特定时间被置位(例如,置位为‘1’),示例走行器202遍历例如客户机页目录118和客户机页表120,并且图2的示例A/D位分析器204确定客户机A/D位130中的哪一个(多个)被置位。在一些示例中,A/D位分析器204考虑当存取位被置位时对A/D位130、132进行置位。在一些示例中,A/D位分析器204考虑当脏位被置位时对A/D位130、132进行置位。在一些示例中,A/D位分析器204考虑当存取位或脏位被置位时对A/D位130、132进行置位。
在一些示例中,扫描器104维护EPT A/D位132的高速缓存。在一些示例中,当走行器202和/或A/D位分析器204确定EPT A/D位132中的一个或多个是否被置位时,示例走行器202和/或A/D位分析器204引用高速缓存以确定高速缓存是否包括对应的条目。如果是,则能够使用该条目来确定EPT A/D位132的值。在一些示例中,当使用高速缓存来确定EPT A/D位132的值时,对EPT A/D位132清零,并且逐出TLB 134中的对应条目,以便于在随后的扫描中对随后的页表存取进行检测和处理。
在一些示例中,走行器202以根条目(例如,对应层级中的最高条目)开始遍历分页结构,例如,EPT 126的根EPT或EPT目录128中的条目,并且根据对应的值进行通过该层级。在图2所示的示例中,目标存储器识别器200包括CR3跟踪器206,其用于识别分页结构中的对应于最近活动的进程、线程、或程序的一个或多个根条目。特别地,图2的示例CR3跟踪器206维护(例如,联合虚拟机监测器(VMM))最近(例如,自从之前的扫描)在图1的CR3 124中使用的值的集合(例如,列表)。CR3 124的值指向对应于活动的进程、线程、程序等的根分页结构的开头,并且因此,CR3跟踪器206维护该值作为分页结构的哪些部分最近活动的指示。在所示的示例中,CR3跟踪器206利用位向量来跟踪CR3值。例如,VMM能够监测最近已经使用了哪些CR3值,并且CR3跟踪器206能够定义位向量,该位向量具有被分配给硬件线程和CR3值的单独的对的位。当特定的CR3值加载到硬件线程上的CR3 124中时,位中的对应位由CR3跟踪器206置位。当该硬件线程上的CR3寄存器随后加载有不同的值时,对用于之前的值的对应位清零。这在CR3值用作扫描的起始点时对于检测何时CR3值在任何硬件线程上仍在使用中是有用的。如果是,则应当将该CR3值保留在最近使用的CR3值的列表中。否则,应当从最近使用的CR3值的列表中移除该CR3值。因此,在图2所示的示例中,由图2的CR3跟踪器206提供的值由走行器202用作指示要遍历分页结构的哪些层级的起始点。换言之,当要执行扫描时,CR3值的集合用作应当对哪些分页结构层级进行检查的指示,例如,用于最近存取的指示。当替换CR3 124的值时,示例CR3跟踪器206从CR3值的集合中清零对应的值,从而从集合中忽略对应于不活动的线程、进程等的CR3值。在一些示例中,CR3跟踪器206利用目标列表处理器特征来减少CR3加载退出的频率。附加地或替代地,示例CR3跟踪器206能够获得所有有效CR3(例如,从操作系统中)的列表,并且能够使用EPT A/D位来确定最近使用了这些CR3中的哪些。
图2的示例目标存储器识别器200包括页表识别器207。除了维护活动CR3值的列表之外或者代替维护活动CR3值的列表,图2的示例页表识别器200可以针对格式化为类似页表结构的页对存储器中的全部进行扫描。例如,一些处理器不支持允许完全装填页表条目中的地址字段的物理地址的足够大的物理地址空间。因此,页表条目(例如,64位条目)中的可预测位置中的某些位将为零。经由图2的示例页表识别器207对这样的模式进行扫描可以免除对于获得活动CR3值的列表的需求。也即,能够通过针对指示分页结构层级的位模式对存储器进行扫描来识别活动的分页结构。由图2的示例页表识别器207执行的这种扫描的结果能够用作例如图2的示例走行器202的起始点。可以通过检查从每个可能页表中的条目到其它可能页表的地址的引用来完善针对分页结构的这种扫描的结果,以减少错误匹配。
在一些示例中,随着走行器202遍历分页结构,当走行器202遇到对其而言A/D位130、132的对应A/D位未被置位(例如,清零或置位为“0”)的分页结构条目时,如由A/D位分析器204确定的,走行器202停止遍历通过该层级,并且如果任何分页结构维持未被行走,则返回到例如另一根条目,从该另一根条目开始随后的遍历。例如,图2的走行器202能够递归地遍历分页结构。在一些示例中,走行器202维护在扫描期间之前走行过的页表的列表,并且避免在单次扫描中多于一次地走行同一页表。在一些示例中,走行器202使用一个或多个标准来过滤出某些页表条目使其不被走行。例如,走行器202可以避免走行仅对于管理员模式的存取可用的页表条目。在一些示例中,走行器202避免走行据称位于非RAM区域中的页表,例如,由计算平台的BIOS和/或其它机制报告的。页表位于非RAM区域中的指示可能是由于在页表实际上已经由操作系统重新声明并重新用于其它目的之后对该页表进行存取,导致任意的存储器数据被不正确地解释为页表条目因此指向任意的存储器区域。
在一些示例中,走行器202遍历分页结构中的全部(例如,EPT目录128的所有条目和EPT 126的所有页),并且A/D位分析器204和/或走行器202生成当前经置位A/D位130、132的概要(例如,表、列表、或任何其它合适类型的数据结构)。由图2的示例走行器202生成的概要包括关于有对应的A/D位130、132被置位的分页结构条目的信息。由图2的示例走行器202生成的概要的信息指示例如与具有经置位EPT A/D位132的条目对应的客户机物理地址。在一些示例中,由走行器202和/或A/D位分析器204生成的概要是在识别最近被存取的存储器的进程开始时生成的。在这样的示例中,概要能够用作该进程的起始点和/或能够在识别最近被存取的存储器的整个进程中被引用。可替代地,走行器和A/D位分析器204能够在识别最近被存取的存储器的整个进程中以按需方式获得A/D位132的信息。
图2的示例目标存储器识别器200包括地址识别器208,其用于基于例如由示例A/D位分析器204收集的信息来填充地址列表210。在图2所示的示例中,地址识别器208使用经置位EPT A/D位130、132(例如,如由A/D位分析器204确定的)来识别最近已经被存取的对应的物理地址(例如,对应于客户机物理地址空间122的区域和/或物理存储器110的对应区域的地址)。在图2所示的示例中,与引用另一分页结构(例如,另一EPT表条目)相反,地址识别器208确定EPT 126的哪些条目具有经置位A/D位132并映射物理存储器110中的页。图2的示例地址识别器208确定与EPT 126的那些条目(例如,EPT 126的具有经置位A/D位132并对页进行映射的条目)相关联的物理地址(例如,客户机物理地址)对应于最近被存取的存储器的(多个)区域。此外,图2的示例地址识别器208确定线性地址,扫描器能够通过该线性地址存取被确定为对应于最近被存取的存储器的(多个)区域的物理地址中的每一个。在一些示例中,为了确定对应于所识别的物理地址的线性地址,地址识别器208将预确定的偏移量加到物理地址以得出线性地址。在这样的示例中,出于由地址识别器208确定线性地址的目的而维护预确定的偏移量。
图2的示例地址识别器208利用由示例地址识别器208确定的线性地址来填充地址列表210。因此,图2的示例地址列表210包括对应于最近被存取的存储器(例如,物理存储器110的(多个)区域,和/或从客户机应用116的角度,客户机物理地址空间的(多个)区域)的一个或多个线性地址。如上面描述的,由于最近被存取的存储器与最近未被存取的存储器相比更可能包括恶意软件指示的模式,所以地址列表210的线性地址对应于要由例如图1的扫描器104扫描的目标存储器。
图2的示例目标存储器识别器200包括相邻地址识别器212,其用于识别与由地址识别器208识别为对应于最近被存取的存储器的地址相邻的一个或多个地址。恶意软件指示的模式可以跨越存储器中的边界(例如,页边界)。为了将这样的情况纳入考虑,同时使得存储器扫描能够集中于存储器的特定的(多个)区域(例如,对应于地址列表210中的地址的最近被存取的(多个)区域),图2的示例相邻地址识别器212选择与由地址识别器208识别为对应于最近被存取的存储器的线性地址中的每个线性地址相邻的一个或多个线性地址。例如,当地址列表210填充有第一线性地址时,图2的示例相邻地址识别器212识别与第一线性地址相邻的第二线性地址(例如,随后的线性地址或先前的线性地址)。在图2所示的示例中,相邻地址识别器212将第二线性地址添加到地址列表210。在一些示例中,相邻地址识别器212将添加到地址列表210的条目指定(例如,经由标志或位)为相邻地址。在一些示例中,相邻地址识别器212确定所识别的相邻地址是否已经存在于地址列表210中,并且如果是,则不将所识别的相邻地址添加到地址列表210(例如,以避免冗余)。因此,在一些示例中,地址列表210包括与最近被存取的存储器对应的一个或多个线性地址以及与这些线性地址相邻的一个或多个线性地址。因此,当将地址列表210中的线性地址输出到例如图1的扫描器104时,扫描器104对最近被存取的存储器和存储器的相邻区域的至少一部分进行扫描,以使得扫描器104检测到跨越对应边界的任何恶意软件指示的模式。
图2的示例目标存储器识别器200包括用于识别最近被存取的存储器的TLB活动跟踪器214。在一些示例中,图2的TLB活动跟踪器214除了如上面公开的示例A/D位分析器204之外(例如,与其同时)地操作,以识别最近被存取的存储器。在一些示例中,图2的TLB活动跟踪器214作为对示例A/D位分析器204的替代来操作,以识别最近被存取的页表条目。如上面描述的,图1的TLB 134包括从例如线性地址到客户机物理地址和/或从客户机物理地址到主机物理地址的映射。TLB 134用作地址转换系统108的高速缓存,以提供对将以其它方式通过遍历通过分页结构获得的地址转换的快速存取。在所示的示例中,刷新TLB 134,以使得在给定时间包含在TLB 134中的映射对应于最近已经发生的转换。例如,在图1所示的示例中,当扫描存储器的对应区域时,扫描器104从TLB 134中清除条目,以使得对存储器的该区域的进一步存取录入到TLB 134中,并且使得能够重复对存储器的该区域的进一步扫描。因此,TLB 134的条目对应于最近的存储器操作。
图2的示例TLB活动跟踪器214跟踪TLB 134的映射,以识别例如映射的线性地址。这样的线性地址对应于最近被存取的存储器,并且因此图2的示例TLB活动跟踪器214存储所识别的线性地址。在一些示例中,TLB活动跟踪器214利用示例地址识别器208来确定与TLB 134的映射相关联的线性地址。例如,当包括的TLB 134的映射是从客户机物理地址到主机物理地址时,示例地址识别器208确定哪个线性地址与客户机物理地址相关联。如上面公开的,地址识别器208通过例如将预确定的偏移量加到客户机物理地址以得出对应的线性地址来确定线性地址。
在一些示例中,TLB活动跟踪器214维护进入TLB 134和从TLB 134逐出的日志。在这样的示例中,当将条目添加到TLB 134并且当从TLB 134逐出条目时,TLB活动跟踪器214更新日志。在一些示例中,TLB活动跟踪器214包括与添加和/或逐出相关联的细节,举例来说,例如,指示对应何时添加到TLB 134和/或从TLB 134逐出的定时数据。在图2所示的示例中,TLB活动跟踪器214将对应于最近被存取的存储器的线性地址提供给示例地址列表210。在一些示例中,相邻地址识别器212确定相邻的(多个)线性地址,并将其添加到地址列表210。因此,图2的TLB活动跟踪器214向地址列表210提供对应于最近被存取的存储器的线性地址,并且在一些示例中,提供与对应于最近被存取的存储器的线性地址相邻的线性地址。如上面公开的,在图2所示的示例中,将地址列表210中的线性地址提供给扫描器104,以使得扫描器104将一个或多个存储器扫描集中于最近被存取的存储器以及与最近被存取的存储器相邻的存储器。
一些用于虚拟化客户机分页的方法使用VMM来监测加载到TLB 134中的客户机线性地址映射。例如,VMM可以对客户机页表建立影子,以使得页表的由客户机软件修改的副本与由CR3 124引用并且用于将条目插入到TLB 134中的副本分离。响应于由CPU 112存取这些页表条目以用于加载TLB条目的目的的尝试,VMM可以按需将页表条目添加到该后一个副本中。VMM能够以与TLB活动跟踪器214类似的方式录入这样的尝试。在一些示例中,除了在扫描对应的存储器之后逐出处理器TLB条目之外,能够由CPU 112存取以用于加载TLB条目的目的的页表的副本中的对应页表条目也被移除,以便于VMM注意到对于对应的所映射的存储器的随后的存取。
图2的示例目标存储器识别器200包括清零器216,其用于清零例如客户机A/D位130和/或EPT A/D位132。在一些示例中,为了清零A/D位130、132,示例清零器216利用TLB134的刷新来执行对A/D位130、132的清零。在一些示例中,这种刷新包括向例如硬件线程发送中断以调用这样的操作。在一些示例中,清零器216在示例走行器202和示例A/D位分析器204遍历分页结构并收集关于A/D位130、132的信息时对A/D位130、132清零。在一些示例中,清零器216在读出待扫描的存储器(例如,到扫描器104)时对A/D位130、132清零。在一些示例中,响应于特定存储器区域被扫描(例如,由图1的扫描器104),清零器216清零对应的客户机A/D位130和/或对应的EPT A/D位132。附加地或替代地,响应于特定存储器区域被扫描(例如,由图1的扫描器104),图2的示例清零器216将图1的TLB 134中的对应条目逐出。在一些示例中,清零器216响应于阈值量的存储器被扫描而对位清零和/或逐出TLB条目。例如,如果第一存储器扫描不扫描至少阈值量的存储器,则图2的示例清零器216可以不对位清零和/或可以不逐出TLB条目。另一方面,如果第二存储器扫描致使阈值量的存储器被扫描,则图2的示例清零器216对位清零和/或逐出TLB条目。
对于在单个EPT层级中维护A/D位的替代是在多个EPT层级中维护A/D位。诸如客户机应用116的客户机软件能够使用例如VMFUNC指令来高效地切换到具有清零A/D位的EPT层级。当客户机应用116否则请求对单个层级中的EPT A/D位132清零(例如,经由图2的清零器216)时,示例客户机应用116可以执行这样的切换。周期地,EPT层级中的一个或多个EPT层级中的EPT A/D位132将由例如管理程序清零,以使其在客户机软件寻找具有清零A/D位的EPT层级时可供客户机软件选择。在一些示例中,该方法通过减少VMM调用的数量来减少总体开销。例如,当通常需要调用VMM来清零A/D位时,客户机应用116能够相反简单地调用VMFUNC指令来切换到已经具有清零位的EPT层级。
因此,示例目标存储器识别器200基于与图1的地址转换系统108相关联的信息来生成地址列表210,并且在一些示例中与地址转换系统108进行交互(例如,操纵A/D位130、132和/或刷新TLB 134)以确保地址列表210中的线性地址对应于最近被存取的存储器。因此,示例地址列表210包括能够提供给例如图1的扫描器104的最近被存取的存储器及其邻接的存储器的一个或多个指示。在图2所示的示例中,扫描管理器106包括用于将与地址列表210相关联的信息(例如,地址列表210中的线性地址)传送到示例扫描器104的扫描目标输出器218。图2的示例扫描目标输出器218顺序地将地址列表210的条目输出到扫描器104。然而,示例扫描目标输出器218能够采用附加的或替代的传送技术。
图1的示例扫描管理器106包括邻接映射器220和定序器222,其用于针对到扫描器104的改进输出来规定地址列表210的项。换言之,当示例扫描目标输出器218顺序地输出地址列表210的内容时,示例邻接映射器220和示例输出定序器222协作以对地址识别器208的内容进行排序,以使得扫描器104能够更高效地执行扫描。在一些示例中,将如由示例邻接映射器220和定序器222确定的顺序相邻存储器区域整体输出或馈送到扫描器104。
可替代地,在一些示例中,图2的示例邻接映射器220和示例输出定序器222规定待扫描的地址,以便于减少冗余,并且便于对边界进行高效的扫描,而不必扫描整个相邻地址。具体地,示例邻接映射器220确定(例如,客户机物理地址空间122的)哪个物理地址对应于地址列表210中的每个线性地址。每个物理地址对应于物理存储器的区域。图3示出了当第一进程P1和第二进程P2要被扫描时,由图2的示例邻接映射器220做出的示例映射确定300。在图3的示例中,对于第一进程P1,示例邻接映射器220确定线性地址LA1映射到物理地址PA 1,线性地址LA2映射到物理地址PA1,线性地址LA3映射到物理地址PA2,以及线性地址LA4映射到物理地址PA3。此外,对于第二进程P2,示例邻接映射器220确定线性地址LA1映射到物理地址PA2,线性地址LA2映射到物理地址PA4,以及线性地址LA3映射到物理地址PA5。
图2的示例邻接映射器220使用映射确定300从线性地址的角度来识别物理地址之间的邻接。图3中示出了如由邻接映射器220确定的这些物理邻接302。例如,由于物理地址PA2在进程P1中由物理地址PA3跟随以及在进程P2中由物理地址PA4跟随,如映射确定300所指示的,所以邻接映射器220确定位于物理地址PA3处的存储器的(多个)区域应当结合位于物理地址PA2处的存储器的(多个)区域被扫描,并且位于物理地址PA4处的存储器的(多个)区域应当结合位于物理地址PA2处的存储器的(多个)区域被扫描。因此,将扫描物理地址PA2与物理地址PA3之间的边界,从而检测跨越该边界的恶意软件指示的模式。此外,将扫描物理地址PA2与物理地址PA4之间的边界。在图3的示例中,由于物理地址PA1在进程P1中由物理地址PA1跟随以及在进程P1中由物理地址PA2跟随,如映射确定300所指示的,所以邻接映射器220确定位于物理地址PA1处的存储器的(多个)区域应当结合位于物理地址PA1处的存储器的(多个)区域被扫描,并且位于物理地址PA2处的存储器的(多个)区域应当结合位于物理地址PA1处的存储器的(多个)区域被扫描。下面结合图4公开了冗余的消除。此外,在图3的示例中,由于物理地址PA4在进程P2中由物理地址PA5跟随,如映射确定300所指示的,所以邻接映射器220确定位于物理地址PA5处的存储器的(多个)区域应当结合位于物理地址PA4处的存储器的(多个)区域被扫描。
在所示的示例中,定序器222基于由示例邻接映射器220生成和/或获得的信息来生成待提供给扫描器104的一个或多个序列。在图2所示的示例中,定序器222根据对应的邻接信息来排列待提供给扫描器104的地址。在一些示例中,在不调节潜在的冗余度的情况下将序列提供给扫描器104。
可替代地,与整个地址区域相反,图2的示例定序器222能够通过指定将地址区域的某些部分用于扫描来减少冗余扫描的实例。图4示出了由图2的示例定序器222基于图3所示的邻接信息生成的示例序列。在图4的示例中,定序器222的任务在于生成一个或多个序列,以使得对与线性地址LA1-LA5对应的存储器的(多个)区域连同任何对应的边界进行扫描。图2的示例定序器222使用由邻接映射器220获得的信息(例如,图3的物理邻接302)来生成序列。
在所示的示例中,定序器222基于图3的物理邻接302来生成第一序列400。在所示的示例中,定序器222包括第一序列400中的物理地址PA2,连同物理地址PA3,这是由于图3的物理邻接302中指示物理地址PA3跟随物理地址PA2,如进程P1中指示的。此外,在所示的示例中,定序器222生成以物理地址PA2开始的第二序列402,跟随其的是物理地址PA4,这是由于图3的物理邻接302中指示物理地址PA4跟随物理地址PA2,如进程P2中指示的。此外,图2的示例定序器222包括第二序列402中的物理地址PA5,其跟随物理地址PA4,这是由于图3的物理邻接302中指示物理地址PA5跟随物理地址PA4,如进程P2中指示的。为了减少致力于扫描边界的存储器扫描的量,图2的示例定序器222指定在对应的扫描中仅包括位于物理地址PA2处的存储器的区域的第一部分404。特别地,图2的示例定序器222确定物理地址PA2已经存在于第一序列400中,并且因此,定序器404仅指定物理地址PA2的第一部分404,以使得物理地址PA2与物理地址PA4之间的边界被扫描用于潜在地重叠恶意软件指示的模式。在一些示例中,第一部分404的大小是基于页大小的。然而,图2的示例定序器222能够针对第一部分404利用任何合适的大小和/或调整大小策略。
在所示的示例中,定序器222生成以物理地址PA1开始的第三序列406,该物理地址PA1由物理地址PA1(其由物理地址PA2跟随)跟随。在一些示例中,定序器222消除物理地址PA1处的存储器的区域的实例中的一个实例的某些部分以避免冗余,同时仍然检查所有必要的恶意软件指示的模式,该必要的恶意软件指示的模式跨越物理地址PA1处的存储器的区域的两个实例之间的边界。例如,可以忽略PA1的存储器的区域的第一实例的第一部分,或者可以忽略物理地址PA1处的存储器的区域的第二实例的第二部分。在后一种情况下,新的序列将以物理地址PA1处的存储器的区域的另一第二部分开始,其足以检测所有必要的恶意软件指示的模式,该必要的恶意软件指示的模式跨越物理地址PA1处的存储器的区域与物理地址PA2处的存储器的区域之间的边界。此外,图2的示例定序器222确定物理地址PA2已经存在于第一序列400中,并且因此指定仅物理地址PA2处的存储器的区域的第二部分408用于扫描。在所示的示例中,待扫描的物理地址处的存储器的(多个)区域以及对应的邻接由第一序列400、第二序列402、以及第三序列406覆盖。因此,图2的示例定序器222不针对进程P1和进程P2生成更多的序列。在图2所示的示例中,当示例定序器222已经生成上面公开的序列时,定序器222将序列提供给扫描目标输出器218,扫描目标输出器218将对应的信息提供给扫描器(例如,顺序地)。
图2的示例扫描管理器106包括保护分配器224,其用于将一个或多个保护方案分配给示例扫描管理器106和/或示例扫描器104的一个或多个操作和/或任务。在一些示例中,图2的保护分配器224指定扫描管理器106的操作用于第一保护域以及扫描器104的操作用于不同于第一保护域的第二保护域。例如,保护分配器224可以将扫描器104的签名匹配操作分配给环3(ring 3)保护,而扫描管理器106的存储器识别操作在VMX根保护中进行。对于保护域的附加或替代分配是可能的。
当图2的示例保护分配器224已经将扫描器104的存储器扫描操作分配给与扫描管理器106的存储器识别操作不同的保护域时,示例保护分配器224有助于通过复制存储器或者通过重映射例如虚拟地址来在不同的工作负载之间传递数据存取。例如,示例保护分配器224可以利用虚拟机监测器(VMM)来直接修改客户机页表条目以指向要从环3扫描进程进行扫描的页。可替代地,示例保护分配器224(例如,经由VMM)可以修改EPT 126以将在环3进程中支持缓冲器的客户机物理地址转换为指向待扫描的物理地址(例如,在物理存储器110中的)。在一些示例中,例如,当将一个或多个操作卸载到例如协处理器(例如,GPU 115)时,可以执行相似的操作,例如通过修改用于GPU 115的图形转换表(GTT)或共享虚拟存储器(SVM)条目、或者用于任何支持的设备的VT-d表。
在图2所示的示例中,扫描管理器106包括工作负载卸载器226,其用于将与安全应用102相关联的一个或多个工作负载或任务分配给例如协处理器(例如,图1的GPU 115)。将CPU 112用于安全任务(例如,与恶意软件检测相关联的存储器扫描)经常消耗显著量的CPU周期,这可能在例如用户可见的性能、电池寿命、吞吐量等方面不利地影响计算平台。将一个或多个计算任务(例如,安全任务)卸载到诸如GPU 115的协处理器可以减轻、缓解、和/或消除在CPU 112上执行计算任务(例如,安全任务和/或任何其它类型的(多个)计算任务)的不利影响。卸载到协处理器的(多个)计算任务不消耗CPU周期,从而减少CPU 112的计算负担和CPU 112所消耗的功率的量。由于应用消耗的CPU周期的数量和/或应用消耗的CPU相关的功率的量经常用于测量应用的性能,所以本文公开的示例对于例如被要求满足施加于CPU周期和/或功耗上的约束或限制(例如,基准)的独立软件供应商(ISV)和其它类型的开发人员而言尤其有吸引力。此外,通过利用不同的处理资源(例如,CPU 112和/或GPU 115),相对于仅利用CPU 112来执行安全任务且使CPU 112负担安全任务的执行的系统,图1的示例扫描管理器106实现更高效且更积极的扫描(例如,更频繁的扫描、在所测试的模式的数量方面更全面的扫描、和/或在所扫描的存储器的量方面更广泛的扫描)。
在一些示例中,图2的工作负载卸载器226指定在GPU 115上执行由示例走行器202执行的分页结构(例如,客户机页表120和/或EPT 126)的一个或多个走行。图2的示例工作负载卸载器226授权对地址转换系统108的分页结构的存取,例如,通过促进调整诸如GPU115的协处理器的转换表和/或页表的配置。在其中使用多级分页结构的图1所示的示例中,示例工作负载卸载器226有助于授权GPU 115存取分页结构级别(例如,客户机页表120和EPT 126)中的每一个。
在一些示例中,当GPU 115支持的虚拟地址空间不足以从GPU 115同时映射例如客户机页表120和/或EPT 126中的全部时,对工作负载卸载器226进行扩展以减少由工作负载卸载器226施加的CPU使用。附加地或替代地,当在连续的虚拟地址范围中映射不连续的物理存储器(例如,图2的物理存储器110)时,对图2的示例工作负载卸载器226进行扩展减少CPU使用。例如,对图2的工作负载卸载器226进行扩展可能涉及授权诸如GPU115的协处理器存取以直接操纵存储器内的转换表或者页表,其授权诸如GPU 115的协处理器对CPU客户机页表和EPT以及其它数据和代码进行存取。在一些示例中,通过仅授权协处理器对较高级别的转换表(例如,与SVM一起使用以控制GPU存储器存取的客户机分页结构)进行存取(例如,GPU 115的存取)并将安全关键的结构标记为只读或利用较低级别的转换表(例如,VT-d分页结构)不可存取,示例工作负载卸载器226能够缓解与授权这种存取相关联的一个或多个风险。
在一些示例中,为了促进例如GPU 115的利用,示例工作负载卸载器226激活和/或管理协处理器定义的映射。在一些示例中,该激活涉及使旧的协处理器映射无效的、来自CPU 112的协助。附加地或替代地,诸如GPU 104的协处理器可以生成致使从映射逐出的存储器存取模式。
另一可能的扩展是协处理器针对格式化为类似页表结构的页对存储器中的全部进行扫描。例如,当前的处理器不支持允许完全装填页表条目中的地址字段的物理地址的足够大的物理地址空间。因此,64位页表条目中的可预测位置中的某些位将始终为零。针对这种模式进行扫描可以免除对于从CPU获得活动CR3的列表的需求。这种方法可能会导致许多误报(false positive)和漏报,这取决于使用的特定页表模式标准,但是可以通过检查可疑页表之间的连接来减少误报。
虽然在图2中示出了实现图1的扫描管理器106的示例方式,但是图2中所示的元件、进程、和/或设备中的一个或多个可以以任何其它方式来组合、分割、重新布置、省略、消除、和/或实现。此外,示例目标存储器识别器200、示例走行器202、示例A/D位分析器204、示例CR3跟踪器206、示例页表识别器207、示例地址识别器208、示例地址列表210、示例相邻地址识别器212、示例TLB活动跟踪器214、示例清零器216、示例扫描目标输出器218、示例邻接映射器220、示例定序器222、示例保护分配器224、示例工作负载卸载器226、和/或更一般地图2的示例扫描管理器106可以由硬件、软件、固件实现,和/或由硬件、软件、和/或固件的任何组合实现。因此,例如,以下中的任何都可以由一个或多个模拟或数字电路、逻辑电路、(多个)可编程处理器、(多个)专用集成电路(ASIC)、(多个)可编程逻辑器件(PLD)、和/或(多个)现场可编程逻辑器件(FPLD)实现:示例目标存储器识别器200、示例走行器202、示例A/D位分析器204、示例CR3跟踪器206、示例页表识别器207、示例地址识别器208、示例地址列表210、示例相邻地址识别器212、示例TLB活动跟踪器214、示例清零器216、示例扫描目标输出器218、示例邻接映射器220、示例定序器222、示例保护分配器224、示例工作负载卸载器226、和/或更一般地图2的示例扫描管理器106。当阅读覆盖纯软件和/或固件实现方式的本专利的装置权利要求或系统权利要求中的任何权利要求时,由此将以下中的至少一个明确地定义为包括有形计算机可读存储设备或存储盘(例如,存储软件和/或固件的存储器、数字通用盘(DVD)、光盘(CD)、蓝光盘等):示例目标存储器识别器200、示例走行器202、示例A/D位分析器204、示例CR3跟踪器206、示例页表识别器207、示例地址识别器208、示例地址列表210、示例相邻地址识别器212、示例TLB活动跟踪器214、示例清零器216、示例扫描目标输出器218、示例邻接映射器220、示例定序器222、示例保护分配器224、示例工作负载卸载器226、和/或更一般地图2的示例扫描管理器106。此外,图1的示例扫描管理器106可以包括除了图2所示的元件、进程、和/或设备之外或者代替图2所示的元件、进程、和/或设备的一个或多个元件、进程、和/或设备,和/或可以包括所示的元件、进程、和/或设备中的任何或全部中的多于一个元件、进程、和/或设备。
图5-8是表示用于实现图1和/或图2的示例扫描管理器106的示例机器可读指令的流程图。在图5-8的示例中,机器可读指令包括用于由处理器执行的一个或多个程序。程序可以以存储在有形计算机可读存储介质(例如,CD-ROM、软盘、硬盘驱动器、数字通用盘(DVD)、蓝光盘、或与处理器1012相关联的存储器)上的软件来体现,但是整个程序和/或其中的部分可以可替代地由除处理器1012之外的设备来执行,和/或程序可以以固件或专用硬件来体现。此外,虽然参照图5-8所示的流程图描述了示例程序,但是可以可替代地使用实现图1和/或图2的示例扫描管理器106的许多其它方法。例如,可以改变框的执行次序,和/或可以改变、消除、或组合所描述的框中的一些框。
如上面提及的,可以使用存储在以下有形计算机可读存储介质上的编码指令(例如,计算机和/或机器可读指令)来实现图5-8的示例过程:例如,硬盘驱动器、闪速存储器、只读存储器(ROM)、光盘(CD)、数字通用盘(DVD)、高速缓存、随机存取存储器(RAM)、和/或其中信息在任何持续时间内(例如,在延长的时间段内、永久地、用于简短的实例、用于暂时缓冲、和/或用于高速缓存信息)存储的任何其它存储设备或存储盘。如本文所使用的,将术语有形计算机可读存储介质明确地定义为包括任何类型的计算机可读存储设备和/或存储盘,并且排除传播信号并排除传输介质。如本文所使用的,“有形计算机可读存储介质”和“有形机器可读存储介质”互换地使用。附加地或替代地,可以使用存储在以下非暂时性计算机和/或机器可读介质上的编码指令(例如,计算机和/或机器可读指令)来实现图5-8的示例过程:例如,硬盘驱动器、闪速存储器、只读存储器、光盘、数字通用盘、高速缓存、随机存取存储器、和/或其中信息在任何持续时间内(例如,在延长的时间段内、永久地、用于简短的实例、用于暂时缓冲、和/或用于高速缓存信息)存储的任何其它存储设备或存储盘。如本文所使用的,将术语非暂时计算机可读介质明确地定义为包括任何类型的计算机可读存储设备和/或存储盘,并且排除传播信号并排除传输介质。如本文所使用的,当短语“至少”在权利要求的前序部分中用作过渡术语时,其为开放式的,以与术语“包括”是开放式的相同的方式。
图5的示例开始于图1和/或图2的示例扫描管理器106的初始化(框500)。响应于例如来自安全应用102的指令、调度、和/或一个或多个其它触发而初始化示例扫描管理器106。在图5所示的示例中,对扫描管理器106进行初始化包括确定操作要在哪个(哪些)保护域下执行以及哪个(哪些)处理组件要执行操作。在图5所示的示例中,保护分配器224指示图5的操作要在哪个保护域下执行。在一些示例中,保护分配器224使得图5的操作中的一个或多个操作在第一保护域(例如,环3保护级别)下执行,并且图5的操作中的一个或多个操作在第二、不同的保护域下执行(例如,经由管理程序)。附加地,在图5所示的示例中,示例工作负载卸载器226指示哪个处理组件(例如,CPU 112和/或GPU 115)执行操作。在一些示例中,工作负载卸载器226指示诸如CPU 112的第一处理组件执行图5的操作中的一个或多个操作,并且第二、不同的处理组件(例如,CPU 115)执行图5的操作中的一个或多个操作。
在图5的示例中,初始化扫描管理器500使得示例目标存储器识别器200识别由示例扫描器104扫描的存储器的一个或多个区域(例如,在物理存储器110中的)。在图5的示例中,目标存储器识别器200基于与示例地址转换系统108相关联的信息来识别最近被存取的存储器的(多个)区域。
在图5的示例中,目标存储器识别器200的走行器202走行包括EPT 126中的对应EPT的EPT层级(框502)。此外,A/D位分析器204分析对应的EPT A/D位132以确定客户机物理地址空间122的哪些地址与最近被存取的存储器相关联(框502)。在图5的示例中,A/D位分析器204基于所分析的EPT A/D位132来生成数据结构(框504)。数据结构基于例如A/D位分析器204识别具有经置位EPT A/D位132的分页层级的结束节点(例如,叶子节点)来指示客户机物理地址空间122的哪个(哪些)存储器区域最近被存取。
可替代地,目标存储器识别器200的示例TLB活动跟踪器214能够提供关于客户机物理地址空间122的哪些地址与最近被存取的存储器相关联的信息。如上面描述的,TLB活动跟踪器214记录进入TLB 134和从TLB 134逐出,并且因此包含指示哪些客户机物理地址最近被存取的数据。因此,TLB活动跟踪器214能够提供这样的数据:基于该数据来生成数据结构。
在图5的示例中,CR3跟踪器206根据例如由A/D位分析器204(和/或TLB活动跟踪器214)生成的数据结构来提供作为最近被存取的存储器的候选的客户机页表120的(多个)根页表的(多个)位置(框505)。也即,查询CR3跟踪器206以提供对例如客户机页表120的一个或多个走行的起始点。
在图5的示例中,走行器202走行候选客户机页表120,以确定是否应当将对应的线性地址添加到图2的地址列表210。在图5的示例中,走行器202分析之前生成的数据结构以确定是否要走行任何更多的根客户机页表(框506)。也即,走行器202确定数据结构的所有候选客户机页表120是否已经被走行。如果不存在更多要走行的根客户机页表120,则控制进行到图7,其在下面进行详细描述。否则,针对要走行并分析的下一客户机页表层级,示例A/D位分析器204确定EPT A/D位132中的对应EPT A/D位是否被置位(框508)。如果EPT A/D位132中的对应EPT A/D位是清零的(即,未置位)(框508),则跳过对应的客户机页表120和衍生客户机页表(如果有)(框510)。控制进行到框506。
然而,如果EPT A/D位132中的对应EPT A/D位被置位(例如,置位为‘1’)(框508),则示例走行器202走行客户机页表120的条目(框512)。如果条目引用客户机页表120中较深的客户机页表(框514),则走行器202递归地走行更深的页表(框516)。控制进行到框508。然而,如果走行器202遇到不引用较深的客户机页表120的条目(例如,对页进行映射而非引用另一个表的条目)(框514),则针对该条目检查一个或多个标准,并且如果满足标准,则将对应的线性地址添加到图2的示例地址列表210(框518)。在图5所示的示例中,所检查的标准由示例A/D位分析器204定义,并且包括对应的客户机A/D位130被置位以及对应的EPT A/D位132被置位。如上面公开的,这样的标准使得图1的示例扫描器104能够集中于和/或将其操作限定于最近被存取的存储器。在图5所示的示例中,为了将对应的线性地址添加到地址列表210,示例线性地址识别器208确定适当的线性地址并将所确定的线性地址提供给地址列表210(框518)。此外,在图5的示例中,相邻地址识别器212识别线性地址空间中的一个或多个相邻地址,并且将所识别的(多个)线性地址添加到地址列表210(框520)。控制进行到框506。
因此,在图5的示例中,扫描管理器200根据与图2的示例地址转换系统108相关联的信息利用对应于最近被存取的存储器的线性地址来填充图2的示例地址列表210。
图6示出了由图1和/或图2的示例扫描管理器106实现以识别最近被存取的存储器的示例过程。图6的示例开始于图1和/或图2的示例扫描管理器106的初始化(框600)。响应于例如来自安全应用102的指令、调度、和/或一个或多个其它触发而初始化示例扫描管理器106。在图6的示例中,不是如在图5的示例中存取EPT 126中的全部以确定哪些EPT A/D位132被置位并且开始时就生成数据结构,图6的示例针对由客户机页条目指向的特定客户机物理地址按需走行EPT 126。在图6的示例中,CR3跟踪器206提供对应于最近活动的线程、程序等的客户机页表120的(多个)根页表的(多个)位置(框602)。也即,查询CR3跟踪器206以提供对例如客户机页表120的一个或多个走行的起始点。
如果根据CR3跟踪器206存在待走行的根页表(框604),则检查由例如扫描器104维护的高速缓存以确定该高速缓存是否包括下一页表的EPT A/D位(框606)。例如,示例走行器202和/或A/D位分析器204引用高速缓存以确定高速缓存是否包括对应的条目。如果高速缓存确实包括对应的条目,则该条目能够用于确定EPT A/D位132的值。在图6的示例中,当高速缓存不包括用于下一页表的EPT A/D位132的条目时,对EPT A/D位132进行读取、高速缓存、以及清零(框607)。此外,逐出TLB 134中的对应,以便于在随后的扫描中对随后的页表存取进行检测和处理(框607)。
在图6的示例中,如果高速缓存不包括用于下一页表的EPT A/D位132的条目,则示例A/D位分析器204确定EPT A/D位132中的对应EPT A/D位是否被置位(框608)。在图6的示例中,框608-616的操作类似于图5的框508-516的操作。
因此,图6的示例识别地址转换系统108的特定页层级用于作为最近被存取的存储器的指示符的候选,并以按需的方式走行EPT 126。可替代地,图5的示例在开始时分析EPTA/D位132以生成在对页表层级进行一个或多个走行期间被引用要使用的数据结构。
从例如上面描述的图5和/或图6到达图7的示例。在所示的示例中,当到达图7时,图2的示例地址列表210包括对应于最近被存取的存储器的一个或多个线性地址和/或被确定为与对应于最近被存取的存储器的(多个)线性地址相邻的线性地址。在图7的示例中,邻接映射器220根据线性地址与物理地址之间的映射来确定对应于相邻线性地址的物理地址,如在图3中示出并且在上面公开的(框700)。因此,邻接映射器220生成指示应当依次扫描哪些物理地址以覆盖例如页边界的信息。
在图7的示例中,定序器222使用邻接信息来从地址列表210中生成一个或多个序列(框702)。例如,定序器222将特定地址识别为对应于邻接,并且针对这样的地址,指定对应存储器的一部分(例如,不是整个存储器区域)用于扫描。在一些示例中,指定的部分是基于页边界对应于先前的地址还是随后的地址来确定的。下面结合图8公开框702的示例实现方式。
在所示的示例中,定序器222将一个或多个序列提供给例如图1的扫描器104(框704)。在所示的示例中,清零器216确定是否设置了要由扫描器进行扫描的存储器的阈值量(框706)。例如,清零器216确定经由定序器222提供给扫描器104的序列是否包括多于阈值数量的地址和/或要扫描多于阈值量的存储器(例如,位)。如果已经超出阈值(框708),则示例清零器216针对要扫描和/或扫描过的存储器区域对A/D位(例如,图1的客户机A/D位130和/或EPT A/D位132)清零(框710)。此外,在图7的示例中,清零器216逐出对应于提供给扫描器104的地址的、TLB134的任何条目和/或由TLB活动跟踪器214维护的日志中的条目(框710)。如果没有超出阈值(框708),则图7的示例结束,而清零器216不清零A/D位和/或TLB信息(框712)。
响应于例如到达图7的框702的控制,图8开始(框800)。在图8所示的示例中,图2的定序器222被提供有线性地址与物理地址之间的映射,如在例如图3中示出的。图2的示例定序器222对映射进行处理以生成待提供给例如扫描器104的一个或多个序列。如果映射维持未处理(框802),则定序器222处理对应于当前未处理的映射的当前页。在一些示例中,通过对应的物理地址来识别正在处理的页。在图8的示例中,定序器222确定是否已经将先前页(例如,在当前页之前的页)添加到序列(例如,在序列生成的当前迭代期间)(框804)。如果先前页之前被添加到序列(框804),则示例定序器222将先前页的一部分添加到当前序列(框806)。先前页的该部分被称为重叠区域,因为添加该部分以覆盖页边界。否则,如果之前未将先前页添加到序列(框804),则定序器222将整个先前页添加到当前序列(框808)。控制进行到框810。
如果不存在与先前页相关联的更多未处理的邻接(框810),则控制进行到框802。否则,如果存在与例如后续页的一个或多个未处理的邻接(框810),则示例定序器222将从当前的先前页到当前的后续页的邻接标记为已处理(框812)。如果之前未将后续页添加到序列(框814),则示例定序器222将整个后续页添加到当前序列,并且指定当前的后续页作为序列的下一部分中的先前页(框816)。控制进行到框810。否则,如果之前已经将后续页添加到序列(框814),则示例定序器222将后续页的开头的部分(例如,重叠区域)添加到当前序列,并且将当前序列标记为完整的(框818)。控制进行到框802。如果没有剩余待处理的更多映射,则图8的示例结束(框820)。
因此,图8的示例提供了对应于待扫描的存储器的区域的物理地址的一个或多个序列,其中减少和/或消除了冗余,并且减少和/或最小化出于覆盖页边界目的而扫描的存储器的量。
图9是能够执行图5、图6、图7、和/或图8的指令以实现图1和/或图2的示例扫描管理器106的示例处理器平台900的框图。处理器平台900能够是例如服务器、个人计算机、移动设备(例如,蜂窝电话、智能电话、诸如iPadTM的平板电脑)、个人数字助理(PDA)、互联网设备、媒体播放器(例如,DVD播放器、CD播放器、数字视频记录器、蓝光播放器等)、游戏控制台、或任何其它类型的计算设备。
所示示例的处理器平台900包括处理器912(例如,图1的CPU 112)和协处理器934(例如,图1的GPU 115)。所示示例的处理器912和协处理器934是硬件。例如,处理器912和/或协处理器934能够由来自任何期望的系列或制造商的一个或多个集成电路、逻辑电路、微处理器、或控制器来实现。在一些示例中,处理器912和/或协处理器934实现图1和/或图2的示例扫描管理器106、图2的示例目标存储器识别器200、图2的示例走行器202、图2的示例A/D位分析器204、图2的示例CR3跟踪器206、图2的示例页表识别器207、图2的示例地址识别器208、图2的示例相邻地址识别器212、图2的示例TLB活动跟踪器214、图2的示例清零器216、图2的示例扫描目标输出器218、图2的示例邻接映射器220、图2的示例定序器222、图2的示例保护分配器224、和/或图2的示例工作负载卸载器226。
所示示例的处理器912包括本地存储器913(例如,高速缓存)。所示示例的处理器912经由总线918与包括易失性存储器914和非易失性存储器916的主存储器进行通信。易失性存储器914可以由同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、RAMBUS动态随机存取存储器(RDRAM)、和/或任何其它类型的随机存取存储器设备来实现。非易失性存储器916可以由闪速存储器和/或任何其它期望类型的存储器设备来实现。由存储器控制器控制对主存储器914、916的存取。
所示示例的处理器平台900还包括接口电路920。接口电路920可以通过任何类型的接口标准来实现,例如,以太网接口、通用串行总线(USB)、和/或PCI快速接口。
在所示的示例中,一个或多个输入设备922连接到接口电路920。(多个)输入设备922允许用户将数据和命令输入到处理器912中。(多个)输入设备能够由例如音频传感器、麦克风、照相机(静止的或视频)、键盘、按钮、鼠标、触摸屏、轨迹板、轨迹球、iso控制点(isopoint)、和/或语音识别系统来实现。
一个或多个输出设备924也连接到所示示例的接口电路920。例如,输出设备924能够由显示设备(例如,发光二极管(LED)、有机发光二极管(OLED)、液晶显示器、阴极射线管显示器(CRT)、触摸屏、触觉输出设备、打印机、和/或扬声器)来实现。因此,所示示例的接口电路920典型地包括图形驱动器卡、图形驱动器芯片、或图形驱动器处理器(例如,图1的示例GPU 115)。
所示示例的接口电路920还包括诸如发射机、接收机、收发机、调制解调器、和/或网络接口卡的通信设备,以有助于经由网络926(例如,以太网连接、数字用户线(DSL)、电话线、同轴电缆、蜂窝电话系统等)与外部机器交换数据。
所示示例的处理器平台900还包括用于存储软件和/或数据的一个或多个大容量存储设备928。这种大容量存储设备928的示例包括软盘驱动器、硬盘驱动器盘、光盘驱动器、蓝光盘驱动器、RAID系统、以及数字通用盘(DVD)驱动器。
图5-8的编码指令932可以存储在大容量存储设备928中、存储在易失性存储器914中、存储在非易失性存储器916中、和/或存储在可移除的有形计算机可读存储介质(例如,CD或DVD)上。
一种示例公开的装置,包括:走行器,其用于遍历地址转换系统的分页结构;位分析器,其用于确定与分页结构的条目相关联的位是否指示条目最近被存取;地址识别器,其用于当位分析器确定与分页结构的条目相关联的位指示条目最近被存取时确定与条目相关联的地址;以及输出器,其用于将所确定的地址提供给存储器扫描器,其中,以下中的至少一个是经由逻辑电路实现的:走行器、位分析器、地址识别器、或输出器。
在一些公开的示例中,存储器扫描器将存储器扫描限定于最近被存取的存储器。
在一些公开的示例中,该装置还包括用于确定指示分页结构的根部分的寄存器的最近值的寄存器值跟踪器。
在一些公开的示例中,走行器使用寄存器的最近值来选择要遍历的分页结构的层级。
在一些公开的示例中,与条目相关联的地址是第一地址,并且该装置还包括相邻地址识别器,其用于识别与第一地址相邻的第二地址。
在一些公开的示例中,输出器与第一地址相关联地将第二地址提供给存储器扫描器。
在一些公开的示例中,该装置还包括定序器,其用于定义第一地址与第二地址之间的关联,以指示第一地址与第二地址之间的序列。
在一些公开的示例中,该装置还包括清零器,其用于当位分析器确定位指示条目最近被存取时,对该位进行清零。
在一些公开的示例中,该装置还包括缓冲器活动跟踪器,其用于将缓冲器的映射识别为对应于最近被存取的存储器,其中,地址识别器根据映射的信息来确定第二地址,并且输出器将第二地址提供给存储器扫描器。
在一些公开的示例中,该装置还包括保护分配器,其用于确定第一保护域,以下中的第一个在第一保护域下操作:走行器、位分析器、地址识别器、输出器、或存储器扫描器;以及确定第二保护域,以下中的第二个在第二保护域下操作:走行器、位分析器、地址识别器、输出器、或存储器扫描器。
在一些公开的示例中,该装置还包括工作负载卸载器,其用于选择用于实现走行器、位分析器、输出器、或存储器扫描器中的第一个的第一处理组件;以及选择不同于第一处理组件的第二处理组件,第二处理组件用于实现走行器、位分析器、输出器、或存储器扫描器中的第二个。
在一些公开的示例中,保护分配器经由转换表来重新映射虚拟地址,以有助于第二处理组件在第二域下进行存取。
在一些公开的示例中,该装置还包括页表识别器,其用于:针对具有指示页表结构的格式的页对存储器进行扫描;以及当具有指示页表结构的格式的页被发现时,将与页相关联的识别信息提供给走行器。
在一些公开的示例中,包括该位的多个位在多个扩展页表层级中被维护,并且该装置还包括管理程序,其用于周期性地对多个位进行清零以使得客户机能够切换到具有清零位的扩展页表层级中的一个。
在一些公开的示例中,该装置还包括虚拟机监测器,其用于对分页结构建立影子,以按照由客户机修改的来生成分页结构的第一副本,其中,第一副本与分页结构的第二副本分离,第二副本由控制寄存器引用并且用于将条目插入到缓冲器中。
一种示例公开的方法,包括:遍历地址转换系统的分页结构;经由逻辑电路来确定与分页结构的条目相关联的位是否指示条目最近被存取;以及当与分页结构的条目相关联的位指示条目最近被存取时,经由逻辑电路来确定与该条目相关联的地址,并将所确定的地址提供给存储器扫描器。
在一些公开的示例中,存储器扫描器将存储器扫描限定于最近被存取的存储器。
在一些公开的示例中,该方法还包括确定指示分页结构的根部分的寄存器的最近值。
在一些公开的示例中,该方法还包括使用寄存器的最近值来选择要遍历的分页结构的层级。
在一些公开的示例中,与条目相关联的地址是第一地址,并且该方法还包括识别与第一地址相邻的第二地址。
在一些公开的示例中,该方法还包括与第一地址相关联地将第二地址提供给存储器扫描器。
在一些公开的示例中,该方法还包括定义第一地址与第二地址之间的关联,以指示第一地址与第二地址之间的序列。
在一些公开的示例中,该方法还包括当位指示条目最近被存取时对该位进行清零。
在一些公开的示例中,该方法还包括将缓冲器的映射识别为对应于最近被存取的存储器;根据映射的信息来确定第二地址;以及将第二地址提供给存储器扫描器。
在一些公开的示例中,该方法还包括确定用于以下中的第一个的第一保护域:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及确定不同于第一保护域的第二保护域,第二保护域用于以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,该方法还包括选择第一处理组件,第一处理组件用于实现以下中的第一个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及选择不同于第一处理组件的第二处理组件,第二处理组件用于实现以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,该方法还包括经由转换表来重新映射虚拟地址,以有助于第二处理组件在第二域下进行存取。
在一些公开的示例中,该方法还包括针对具有指示页表结构的格式的页对存储器进行扫描;以及当具有指示页表结构的格式的页被发现时,将与页相关联的识别信息提供给走行器。
在一些公开的示例中,包括该位的多个位在多个扩展页表层级中被维护,并且该装置还包括周期性地对多个位进行清零以使得客户机能够切换到具有清零位的扩展页表层级中的一个。
在一些公开的示例中,该方法还包括经由虚拟机监测器对分页结构建立影子,以按照由客户机修改的来生成分页结构的第一副本,其中,第一副本与分页结构的第二副本分离,第二副本由控制寄存器引用并且用于将条目插入到缓冲器中。
一种示例公开的有形计算机可读介质,包括指令,指令在被执行时使得机器至少进行以下操作:遍历地址转换系统的分页结构;确定与分页结构的条目相关联的位是否指示条目最近被存取;以及当与分页结构的条目相关联的位指示条目最近被存取时确定与该条目相关联的地址;并将所确定的地址提供给存储器扫描器。
在一些公开的示例中,存储器扫描器将存储器扫描限定于最近被存取的存储器。
在一些公开的示例中,指令在被执行时使得机器确定指示分页结构的根部分的寄存器的最近值。
在一些公开的示例中,指令在被执行时使得机器使用寄存器的最近值来选择要遍历的分页结构的层级。
在一些公开的示例中,与条目相关联的地址是第一地址,并且指令在被执行时使得机器识别与第一地址相邻的第二地址。
在一些公开的示例中,指令在被执行时使得机器与第一地址相关联地将第二地址提供给存储器扫描器。
在一些公开的示例中,指令在被执行时使得机器定义第一地址与第二地址之间的关联,以指示第一地址与第二地址之间的序列。
在一些公开的示例中,指令在被执行时使得机器当位指示条目最近被存取时对该位进行清零。
在一些公开的示例中,指令在被执行时使得机器将缓冲器的映射识别为对应于最近被存取的存储器;根据映射的信息来确定第二地址;以及将第二地址提供给存储器扫描器。
在一些公开的示例中,指令在被执行时使得机器确定用于以下中的第一个的第一保护域:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及确定不同于第一保护域的第二保护域,第二保护域用于以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,指令在被执行时使得机器选择第一处理组件,第一处理组件用于实现以下中的第一个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及选择不同于第一处理组件的第二处理组件,第二处理组件用于实现以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,指令在被执行时使得机器经由转换表来重新映射虚拟地址,以有助于第二处理组件在第二域下进行存取。
在一些公开的示例中,指令在被执行时使得机器:针对具有指示页表结构的格式的页对存储器进行扫描;以及当具有指示页表结构的格式的页被发现时,将与页相关联的识别信息提供给走行器。
在一些公开的示例中,包括该位的多个位在多个扩展页表层级中被维护,并且指令在被执行时使得机器周期性地对多个位进行清零以使得客户机能够切换到具有清零位的扩展页表层级中的一个。
在一些公开的示例中,指令在被执行时使得机器经由虚拟机监测器对分页结构建立影子,以按照由客户机修改的来生成分页结构的第一副本,其中,第一副本与分页结构的第二副本分离,第二副本由控制寄存器引用并且用于将条目插入到缓冲器中。
一种示例公开的扫描管理器,包括用于遍历地址转换系统的分页结构的模块;用于确定与分页结构的条目相关联的位是否指示条目最近被存取的模块;用于当与分页结构的条目相关联的位指示条目最近被存取时确定与该条目相关联的地址的模块;以及用于当与分页结构的条目相关联的位指示条目最近被存取时将所确定的地址提供给存储器扫描器的模块。
在一些公开的示例中,存储器扫描器将存储器扫描限定于最近被存取的存储器。
在一些公开的示例中,扫描管理器还包括用于确定指示分页结构的根部分的寄存器的最近值的模块。
在一些公开的示例中,用于遍历分页结构的模块使用寄存器的最近值来选择要遍历的分页结构的层级。
在一些公开的示例中,与条目相关联的地址是第一地址,并且扫描管理器还包括用于识别与第一地址相邻的第二地址的模块。
在一些公开的示例中,扫描管理器还包括用于与第一地址相关联地将第二地址提供给存储器扫描器的模块。
在一些公开的示例中,扫描管理器还包括用于定义第一地址与第二地址之间的关联以指示第一地址与第二地址之间的序列的模块。
在一些公开的示例中,扫描管理器还包括当位指示条目最近被存取时对该位进行清零的模块。
在一些公开的示例中,扫描管理器还包括用于将缓冲器的映射识别为对应于最近被存取的存储器的模块,其中,用于确定第一地址的模块根据映射的信息来确定第二地址,并且其中,用于将第二地址提供给存储器扫描器的模块将第二地址提供给存储器扫描器。
在一些公开的示例中,扫描管理器还包括用于以下操作的模块:确定用于以下中的第一个的第一保护域:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及确定不同于第一保护域的第二保护域,第二保护域用于以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,扫描管理器还包括用于以下操作的模块:选择第一处理组件,第一处理组件用于实现以下中的第一个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描;以及选择不同于第一处理组件的第二处理组件,第二处理组件用于实现以下中的第二个:遍历分页结构,确定与分页结构的条目相关联的位是否指示条目最近被存取,确定与条目相关联的地址,将所确定的地址提供给存储器扫描器,或者由存储器扫描器对存储器进行扫描。
在一些公开的示例中,用于确定第一保护域并确定第二保护域的模块经由转换表来重新映射虚拟地址,以有助于第二处理组件在第二域下进行存取。
在一些公开的示例中,扫描管理器还包括用于以下操作的模块:针对具有指示页表结构的格式的页对存储器进行扫描;以及当具有指示页表结构的格式的页被发现时,将与页相关联的识别信息提供给走行器。
在一些公开的示例中,其中,包括该位的多个位在多个扩展页表层级中被维护,并且扫描管理器还包括用于周期性地对多个位进行清零以使得客户机能够切换到具有清零位的扩展页表层级中的一个的模块。
在一些公开的示例中,扫描管理器还包括用于对分页结构建立影子以按照由客户机修改的来生成分页结构的第一副本的模块,其中,第一副本与分页结构的第二副本分离,第二副本由控制寄存器引用并且用于将条目插入到缓冲器中。
一种示例公开的装置,包括:邻接映射器,其用于识别线性地址与对应的物理地址之间的映射;以及定序器,其用于基于线性地址的次序来生成包括物理地址中的第一物理地址和第二物理地址的序列,其被排序以使得在与线性地址相关联的存储器扫描期间与物理地址中的第一物理地址和第二物理地址相对应的存储器的区域之间的边界被扫描,其中,邻接映射器或定序器中的至少一个是经由逻辑电路实现的。
在一些公开的示例中,定序器在序列中仅包括物理地址中的第二物理地址的第一部分。
在一些公开的示例中,序列是第一序列,并且定序器在第二序列中包括物理地址中的第二物理地址的第二部分。
在一些公开的示例中,部分的大小是基于页大小的。
在一些公开的示例中,序列是第一序列,并且定序器基于物理地址中的第二物理地址在第一序列中而从第二序列中排除物理地址中的第二物理地址。
一种示例公开的方法,包括经由逻辑电路来识别线性地址与对应的物理地址之间的映射;以及经由逻辑电路基于线性地址的次序来生成包括物理地址中的第一物理地址和第二物理地址的序列,其被排序以使得在与线性地址相关联的存储器扫描期间与物理地址中的第一物理地址和第二物理地址相对应的存储器的区域之间的边界被扫描。
在一些公开的示例中,生成序列还包括在序列中仅并入物理地址中的第二物理地址的第一部分。
在一些公开的示例中,序列是第一序列,并且该方法还包括在第二序列中并入物理地址中的第二物理地址的第二部分。
在一些公开的示例中,部分的大小是基于页大小的。
在一些公开的示例中,序列是第一序列,并且该方法还包括基于物理地址中的第二物理地址在第一序列中而从第二序列中排除物理地址中的第二物理地址。
一种示例公开的有形计算机可读介质,包括指令,指令在被执行时使得机器至少进行以下操作:识别线性地址与对应的物理地址之间的映射;以及基于线性地址的次序来生成包括物理地址中的第一物理地址和第二物理地址的序列,其被排序以使得在与线性地址相关联的存储器扫描期间与物理地址中的第一物理地址和第二物理地址相对应的存储器的区域之间的边界被扫描。
在一些公开的示例中,指令在被执行时使得机器在序列中仅包括物理地址中的第二物理地址的第一部分。
在一些公开的示例中,序列是第一序列,并且指令在被执行时使得机器在第二序列中包括物理地址中的第二物理地址的第二部分。
在一些公开的示例中,部分的大小是基于页大小的。
在一些公开的示例中,序列是第一序列,并且指令在被执行时使得机器基于物理地址中的第二物理地址在第一序列中而从第二序列中排除物理地址中的第二物理地址。
一种示例公开的扫描管理器,包括用于识别线性地址与对应的物理地址之间的映射的模块;以及用于基于线性地址的次序来生成包括物理地址中的第一物理地址和第二物理地址的序列的模块,第一物理地址和第二物理地址被排序以使得在与线性地址相关联的存储器扫描期间与物理地址中的第一物理地址和第二物理地址相对应的存储器的区域之间的边界被扫描。
在一些公开的示例中,用于生成序列的模块在序列中仅包括物理地址中的第二物理地址的第一部分。
在一些公开的示例中,序列是第一序列,并且用于生成第一序列的模块在第二序列中包括物理地址中的第二物理地址的第二部分。
在一些公开的示例中,部分的大小是基于页大小的。
在一些公开的示例中,序列是第一序列,并且用于生成第一序列的模块基于物理地址中的第二物理地址在第一序列中而从第二序列中排除物理地址中的第二物理地址。
虽然本文已经公开了某些示例方法、装置、以及制品,但是本专利的覆盖范围不限于此。相反,本专利覆盖完全落入本专利的权利要求的范围内的所有方法、装置、以及制品。
Claims (37)
1.一种装置,包括:
扫描管理器,用于:
标识最近被存取的物理存储器地址,当存取发生在当前时间的阈值时间周期内时,将所述物理存储器地址标识为最近被存取;以及
扫描器,用于:
当所述物理存储器地址已被标识为最近被存取时,扫描从所述物理存储器地址开始的存储器阈值量,所述存储器阈值量跨越页边界;以及
确定所述存储器阈值量的签名是否指示了恶意软件,所述扫描管理器或扫描器中的至少一个是由硬件或处理器中的至少一个实现的。
2.根据权利要求1所述的装置,其中所述扫描管理器进一步利用转换-后备缓冲器内的条目以及一组客户机存取与脏(A/D)位中的至少一个来跟踪所述物理存储器地址,所述装置还包括清除器,用于在所述扫描器已经扫描了所述存储器阈值量后清除所述转换-后备缓冲器内的条目以及所述一组客户机存取与脏(A/D)位中的至少一个。
3.一种装置,包括:
扫描管理器,包括:
走行器,用于遍历地址转换系统的分页结构;
位分析器,用于确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取;
地址识别器,用于当所述位分析器确定与所述分页结构的所述条目相关联的位指示所述条目最近被存取时,确定所述分页结构的所述条目是否映射了物理存储器的页,而不是映射到另一个分页结构,并且如果所述条目映射了物理存储器的页,确定对应于所述物理存储器的页的地址;以及
输出器,用于将所确定的地址作为所述物理存储器地址提供给扫描器;
所述扫描器,用于:
扫描从所述物理存储器地址开始的存储器阈值量;以及
确定所述存储器阈值量是否展现了指示恶意软件的模式。
4.根据权利要求3所述的装置,还包括寄存器值跟踪器,用于确定指示所述分页结构的根部分的寄存器的最近值。
5.根据权利要求4所述的装置,其中,所述走行器使用所述寄存器的最近值来选择要遍历的所述分页结构的层级。
6.根据权利要求3所述的装置,还包括缓冲器活动跟踪器,用于将缓冲器的映射识别为对应于最近被存取的存储器,其中,所述地址识别器根据所述映射来确定第二地址,并且所述输出器将所述第二地址提供给所述扫描器。
7.一种或多种有形计算机可读介质,包括指令,所述指令在被执行时使得一个或多个处理器至少进行以下操作:
标识最近被存取的物理存储器地址,当存取发生在当前时间的阈值时间周期内时,将所述物理存储器地址标识为最近被存取;
当所述物理存储器地址已被标识为最近被存取时,扫描从所述物理存储器地址开始的存储器阈值量,所述存储器阈值量跨越页边界;以及
确定所述存储器阈值量的签名是否指示了恶意软件。
8.根据权利要求7所述的一种或多种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器:
利用转换-后备缓冲器内的条目以及一组客户机存取与脏(A/D)位中的至少一个来跟踪所述物理存储器地址;以及
在已经扫描了所述存储器阈值量后清除所述转换-后备缓冲器内的条目以及所述一组客户机存取与脏(A/D)位中的至少一个。
9.一种或多种有形计算机可读介质,包括指令,所述指令在被执行时使得一个或多个处理器至少进行以下操作:
标识在当前时间的阈值时间周期内被存取的物理存储器地址;
遍历地址转换系统的分页结构;
确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取;
当与所述分页结构的所述条目相关联的位指示所述条目最近被存取时,确定所述分页结构的所述条目是否映射了物理存储器的页,而不是映射到另一个分页结构;
当所述条目映射了物理存储器的页时,确定对应于所述物理存储器的页的地址,对应于所述物理存储器的页的所述地址作为所述物理存储器地址;
扫描从所述物理存储器地址开始的存储器阈值量;以及
确定所述存储器阈值量是否展现了指示恶意软件的模式。
10.根据权利要求9所述的一种或多种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器:确定指示所述分页结构的根部分的寄存器的最近值。
11.根据权利要求10所述的一种或多种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器使用所述寄存器的最近值来选择要遍历的所述分页结构的层级。
12.一种识别恶意软件的方法,包括:
标识最近被存取的物理存储器地址,当存取发生在当前时间的阈值时间周期内时,将所述物理存储器地址标识为最近被存取;
当所述物理存储器地址已被标识为最近被存取时,扫描从所述物理存储器地址开始的存储器阈值量,所述存储器阈值量跨越页边界;以及
由逻辑电路确定所述存储器阈值量的签名是否指示了恶意软件。
13.根据权利要求12所述的方法,进一步包括:
利用转换-后备缓冲器内的条目以及一组客户机存取与脏(A/D)位中的至少一个来跟踪所述物理存储器地址;以及
在已经扫描了所述存储器阈值量后清除所述转换-后备缓冲器内的条目以及所述一组客户机存取与脏(A/D)位中的至少一个。
14.一种识别恶意软件的方法,包括:
标识在当前时间的阈值时间周期内被存取的物理存储器地址;
遍历地址转换系统的分页结构;
确定与所述分页结构的条目相关联的位是否指示所述条目最近被存取;
当与所述分页结构的所述条目相关联的位指示所述条目最近被存取时,确定所述分页结构的所述条目是否映射了物理存储器的页,而不是映射到另一个分页结构;
当所述条目映射了物理存储器的页时,确定对应于所述物理存储器的页的地址,对应于所述物理存储器的页的所述地址作为所述物理存储器地址;
扫描从所述物理存储器地址开始的存储器阈值量;以及
确定所述存储器阈值量是否展现了指示恶意软件的模式。
15.根据权利要求14所述的方法,进一步包括:确定指示所述分页结构的根部分的寄存器的最近值。
16.根据权利要求15所述的方法,进一步包括:使用所述寄存器的最近值来选择要遍历的所述分页结构的层级。
17.一种装置,包括:
地址识别器,用于当分页结构的条目被存取时,确定在所述分页结构的所述条目映射到物理存储器的页时与所述物理存储器的所述页对应的第一地址;
扫描管理器,用于确定对应于所述第一地址与第二地址的第一邻接以及对应于所述第一地址与第三地址的第二邻接,所述第二地址与第三地址对应于所述物理存储器的所述页,所述第一邻接与第二邻接包括要扫描的所述第一地址的一部分;以及
扫描器,用于:
扫描从对应于所述第一地址的所述一部分的物理存储器地址开始的第一存储器阈值量,所述第一存储器阈值量对应于所述第一邻接;
扫描从对应于所述第一地址的所述一部分的所述物理存储器地址开始的第二存储器阈值量,所述第二存储器阈值量对应于所述第二邻接;以及
确定所述第一存储器阈值量中的第一数据或所述第二存储器阈值量中的第二数据中的至少一个是否包含了指示恶意软件的模式,所述地址识别器、扫描管理器或扫描器中的至少一个由逻辑电路实现。
18.根据权利要求17所述的装置,还包括寄存器值跟踪器,用于确定指示所述分页结构的根部分的寄存器的值。
19.根据权利要求18所述的装置,还包括:
走行器,用于基于所述寄存器的值来选择要遍历的所述分页结构的层级;
位分析器,用于确定所述分页结构的所述条目已被存取。
20.根据权利要求17所述的装置,还包括活动跟踪器,用于确定缓冲器的映射对应于被存取的存储器,所述地址识别器根据所述映射来确定所述第二地址。
21.根据权利要求17所述的装置,其中所述分页结构是客户机页表或扩展页表中的至少一个。
22.根据权利要求17所述的装置,其中所述第一地址是虚拟地址。
23.根据权利要求17所述的装置,其中所述扫描器扫描跨越页边界的所述第一存储器阈值量。
24.至少一种有形计算机可读介质,包括指令,所述指令在被执行时使得一个或多个处理器至少进行以下操作:
当分页结构的条目被存取时,确定在所述分页结构的所述条目映射到物理存储器的页时与所述物理存储器的所述页对应的第一地址;
确定对应于所述第一地址与第二地址的第一邻接以及对应于所述第一地址与第三地址的第二邻接,所述第二地址与第三地址对应于所述物理存储器的所述页,所述第一邻接与第二邻接包括要扫描的所述第一地址的一部分;
扫描从对应于所述第一地址的所述一部分的物理存储器地址开始的第一存储器阈值量,所述第一存储器阈值量对应于所述第一邻接;
扫描从对应于所述第一地址的所述一部分的所述物理存储器地址开始的第二存储器阈值量,所述第二存储器阈值量对应于所述第二邻接;以及
确定所述第一存储器阈值量中的第一数据或所述第二存储器阈值量中的第二数据中的至少一个是否包含了指示恶意软件的模式。
25.根据权利要求24所述的至少一种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器确定指示所述分页结构的根部分的寄存器的值。
26.根据权利要求25所述的至少一种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器:
基于所述寄存器的值来选择要遍历的所述分页结构的层级;以及
确定所述分页结构的所述条目已被存取。
27.根据权利要求24所述的至少一种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器:
确定缓冲器的映射对应于被存取的存储器;以及
根据所述映射来确定所述第二地址。
28.根据权利要求24所述的至少一种有形计算机可读介质,其中所述分页结构是客户机页表或扩展页表中的至少一个。
29.根据权利要求24所述的至少一种有形计算机可读介质,其中所述第一地址是虚拟地址。
30.根据权利要求24所述的至少一种有形计算机可读介质,其中所述指令进一步使得所述一个或多个处理器扫描跨越页边界的所述第一存储器阈值量。
31.一种方法,包括:
当分页结构的条目被存取时,通过利用处理器执行指令来确定在所述分页结构的所述条目映射到物理存储器的页时与所述物理存储器的所述页对应的第一地址;
通过利用所述处理器执行指令来确定对应于所述第一地址与第二地址的第一邻接以及对应于所述第一地址与第三地址的第二邻接,所述第二地址与第三地址对应于所述物理存储器的所述页,所述第一邻接与第二邻接包括要扫描的所述第一地址的一部分;
通过利用所述处理器执行指令来扫描从对应于所述第一地址的所述一部分的物理存储器地址开始的第一存储器阈值量,所述第一存储器阈值量对应于所述第一邻接;
通过利用所述处理器执行指令来扫描从对应于所述第一地址的所述一部分的所述物理存储器地址开始的第二存储器阈值量,所述第二存储器阈值量对应于所述第二邻接;以及
通过利用所述处理器执行指令来确定所述第一存储器阈值量中的第一数据或所述第二存储器阈值量中的第二数据中的至少一个是否包含了指示恶意软件的模式。
32.根据权利要求31所述的方法,进一步包括:确定指示所述分页结构的根部分的寄存器的值。
33.根据权利要求32所述的方法,进一步包括:
基于所述寄存器的值来选择要遍历的所述分页结构的层级;以及
确定所述分页结构的所述条目已被访问。
34.根据权利要求31所述的方法,进一步包括:
确定缓冲器的映射对应于被存取的存储器;以及
根据所述映射来确定所述第二地址。
35.根据权利要求31所述的方法,其中所述分页结构是客户机页表或扩展页表中的至少一个。
36.根据权利要求31所述的方法,其中所述第一地址是虚拟地址。
37.根据权利要求31所述的方法,其中对所述第一存储器阈值量的扫描包括扫描跨越页边界的所述第一存储器阈值量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110924317.4A CN113486349B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/671,764 US9805194B2 (en) | 2015-03-27 | 2015-03-27 | Memory scanning methods and apparatus |
| US14/671,764 | 2015-03-27 | ||
| CN202110924317.4A CN113486349B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
| PCT/US2016/016355 WO2016160119A1 (en) | 2015-03-27 | 2016-02-03 | Memory scanning methods and apparatus |
| CN201680012464.1A CN107408077B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680012464.1A Division CN107408077B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113486349A CN113486349A (zh) | 2021-10-08 |
| CN113486349B true CN113486349B (zh) | 2024-04-09 |
Family
ID=56975598
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110924317.4A Active CN113486349B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
| CN201680012464.1A Active CN107408077B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680012464.1A Active CN107408077B (zh) | 2015-03-27 | 2016-02-03 | 存储器扫描方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US9805194B2 (zh) |
| EP (2) | EP3608820B1 (zh) |
| CN (2) | CN113486349B (zh) |
| WO (1) | WO2016160119A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9805194B2 (en) * | 2015-03-27 | 2017-10-31 | Intel Corporation | Memory scanning methods and apparatus |
| US10133867B1 (en) * | 2016-03-29 | 2018-11-20 | Amazon Technologies, Inc. | Trusted malware scanning |
| US10623438B2 (en) | 2016-12-28 | 2020-04-14 | Mcafee, Llc | Detecting execution of modified executable code |
| US11698964B2 (en) | 2017-12-13 | 2023-07-11 | Intel Corporation | Malware detection in memory |
| US10705976B2 (en) * | 2018-06-29 | 2020-07-07 | Intel Corporation | Scalable processor-assisted guest physical address translation |
| JP6678787B1 (ja) * | 2019-02-12 | 2020-04-08 | 株式会社東芝 | リモートi/oシステム |
| US20230367877A1 (en) * | 2022-05-12 | 2023-11-16 | Vmware, Inc. | In-memory scanning for fileless malware on a host device |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797747B1 (en) * | 2006-02-21 | 2010-09-14 | Symantec Corporation | Detection of malicious code in non-paged pool unused pages |
| CN102591675A (zh) * | 2010-12-14 | 2012-07-18 | 国际商业机器公司 | 使用共享存储块管理多软件镜像的方法和系统 |
| WO2014121737A1 (en) * | 2013-02-07 | 2014-08-14 | Shanghai Xinhao Microelectronics Co. Ltd. | Instruction processing system and method |
| CN107408077A (zh) * | 2015-03-27 | 2017-11-28 | 英特尔公司 | 存储器扫描方法和装置 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7506374B2 (en) * | 2001-10-31 | 2009-03-17 | Computer Associates Think, Inc. | Memory scanning system and method |
| US8291176B2 (en) | 2003-03-27 | 2012-10-16 | Hewlett-Packard Development Company, L.P. | Protection domain groups to isolate access to memory windows |
| US7310721B2 (en) * | 2003-10-30 | 2007-12-18 | Microsoft Corporation | Shadow page tables for address translation control |
| DE602004031719D1 (de) * | 2004-07-01 | 2011-04-21 | Texas Instruments Inc | Verfahren und System zur Überprüfung der Ausführung einer Eingabesequenz eines sicheren Modus |
| CN1740989A (zh) * | 2004-08-23 | 2006-03-01 | 中兴通讯股份有限公司 | 通用嵌入式系统虚拟页属性管理方法 |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| US7395405B2 (en) * | 2005-01-28 | 2008-07-01 | Intel Corporation | Method and apparatus for supporting address translation in a virtual machine environment |
| US7757290B2 (en) * | 2006-01-30 | 2010-07-13 | Microsoft Corporation | Bypassing software services to detect malware |
| US8888585B1 (en) * | 2006-05-10 | 2014-11-18 | Mcafee, Inc. | Game console system, method and computer program product with anti-malware/spyware and parental control capabilities |
| US8572738B2 (en) | 2006-12-07 | 2013-10-29 | International Business Machines Corporation | On demand virus scan |
| US8286246B2 (en) * | 2007-08-10 | 2012-10-09 | Fortinet, Inc. | Circuits and methods for efficient data transfer in a virus co-processing system |
| US8560806B2 (en) * | 2007-12-31 | 2013-10-15 | Intel Corporation | Using a multiple stage memory address translation structure to manage protected micro-contexts |
| US8352705B2 (en) * | 2008-01-15 | 2013-01-08 | Vmware, Inc. | Large-page optimization in virtual memory paging systems |
| US8417945B2 (en) * | 2008-06-30 | 2013-04-09 | Intel Corporation | Detection and reporting of virtualization malware in computer processor environments |
| US8060722B2 (en) * | 2009-03-27 | 2011-11-15 | Vmware, Inc. | Hardware assistance for shadow page table coherence with guest page mappings |
| US8918874B2 (en) | 2010-05-25 | 2014-12-23 | F-Secure Corporation | Malware scanning |
| US10395031B2 (en) | 2010-12-30 | 2019-08-27 | Verisign, Inc. | Systems and methods for malware detection and scanning |
| TWI432987B (zh) * | 2011-03-15 | 2014-04-01 | Phison Electronics Corp | 記憶體儲存裝置、其記憶體控制器與病毒掃描方法 |
| US20130152200A1 (en) * | 2011-12-09 | 2013-06-13 | Christoph Alme | Predictive Heap Overflow Protection |
| WO2013101208A1 (en) * | 2011-12-30 | 2013-07-04 | Intel Corporation | Hardware enforced memory access permissions |
| US20130326143A1 (en) | 2012-06-01 | 2013-12-05 | Broadcom Corporation | Caching Frequently Used Addresses of a Page Table Walk |
| US8935800B2 (en) * | 2012-12-31 | 2015-01-13 | Intel Corporation | Enhanced security for accessing virtual memory |
| US9015400B2 (en) * | 2013-03-05 | 2015-04-21 | Qualcomm Incorporated | Methods and systems for reducing the amount of time and computing resources that are required to perform a hardware table walk (HWTW) |
| US20140259169A1 (en) * | 2013-03-11 | 2014-09-11 | Hewlett-Packard Development Company, L.P. | Virtual machines |
| US10127379B2 (en) * | 2013-03-13 | 2018-11-13 | Mcafee, Llc | Profiling code execution |
| WO2014209269A1 (en) * | 2013-06-24 | 2014-12-31 | Intel Corporation | A protected memory view for nested page table access by virtual machine guests |
-
2015
- 2015-03-27 US US14/671,764 patent/US9805194B2/en active Active
-
2016
- 2016-02-03 EP EP19200996.7A patent/EP3608820B1/en active Active
- 2016-02-03 CN CN202110924317.4A patent/CN113486349B/zh active Active
- 2016-02-03 CN CN201680012464.1A patent/CN107408077B/zh active Active
- 2016-02-03 WO PCT/US2016/016355 patent/WO2016160119A1/en active Application Filing
- 2016-02-03 EP EP16773612.3A patent/EP3274900B1/en active Active
-
2017
- 2017-10-30 US US15/798,109 patent/US10452848B2/en not_active Expired - Fee Related
-
2019
- 2019-10-18 US US16/657,669 patent/US11080401B2/en active Active
-
2021
- 2021-07-23 US US17/384,279 patent/US11797678B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797747B1 (en) * | 2006-02-21 | 2010-09-14 | Symantec Corporation | Detection of malicious code in non-paged pool unused pages |
| CN102591675A (zh) * | 2010-12-14 | 2012-07-18 | 国际商业机器公司 | 使用共享存储块管理多软件镜像的方法和系统 |
| WO2014121737A1 (en) * | 2013-02-07 | 2014-08-14 | Shanghai Xinhao Microelectronics Co. Ltd. | Instruction processing system and method |
| CN107408077A (zh) * | 2015-03-27 | 2017-11-28 | 英特尔公司 | 存储器扫描方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3274900A1 (en) | 2018-01-31 |
| CN113486349A (zh) | 2021-10-08 |
| US20160283717A1 (en) | 2016-09-29 |
| EP3608820A1 (en) | 2020-02-12 |
| WO2016160119A1 (en) | 2016-10-06 |
| CN107408077B (zh) | 2021-09-03 |
| US11797678B2 (en) | 2023-10-24 |
| US10452848B2 (en) | 2019-10-22 |
| US9805194B2 (en) | 2017-10-31 |
| EP3274900B1 (en) | 2019-11-20 |
| US20210349999A1 (en) | 2021-11-11 |
| US20180046806A1 (en) | 2018-02-15 |
| US20200050764A1 (en) | 2020-02-13 |
| CN107408077A (zh) | 2017-11-28 |
| EP3274900A4 (en) | 2018-10-24 |
| US11080401B2 (en) | 2021-08-03 |
| EP3608820B1 (en) | 2021-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113486349B (zh) | 存储器扫描方法和装置 | |
| US7836275B2 (en) | Method and apparatus for supporting address translation in a virtual machine environment | |
| US9304915B2 (en) | Virtualization system using hardware assistance for page table coherence | |
| US7363463B2 (en) | Method and system for caching address translations from multiple address spaces in virtual machines | |
| US8762684B2 (en) | Hardware assistance for page table coherence with guest page mappings | |
| EP2812795B1 (en) | A method and apparatus for supporting address translation in a multiprocessor virtual machine environment using tracking data to eliminate interprocessor interrupts | |
| EP2278463A1 (en) | A method and apparatus for supporting address translation in a multiprocessor virtual machine environment | |
| US8479182B2 (en) | Program, apparatus, and method of optimizing a java object | |
| JP2011128787A (ja) | アドレス変換を高速化する方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |