JP2011096253A - 認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置 - Google Patents

認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置 Download PDF

Info

Publication number
JP2011096253A
JP2011096253A JP2010241803A JP2010241803A JP2011096253A JP 2011096253 A JP2011096253 A JP 2011096253A JP 2010241803 A JP2010241803 A JP 2010241803A JP 2010241803 A JP2010241803 A JP 2010241803A JP 2011096253 A JP2011096253 A JP 2011096253A
Authority
JP
Japan
Prior art keywords
engine
agent
scan
virus agent
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010241803A
Other languages
English (en)
Other versions
JP5095801B2 (ja
Inventor
Sunder Divya Naidu Kolar
ナイドゥ コーラー サンダー ディヴヤ
David M Durham
エム. ダラム デイヴィッド
Hormuzd M Khosravi
エム. コスラヴィ ホルムズド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2011096253A publication Critical patent/JP2011096253A/ja
Application granted granted Critical
Publication of JP5095801B2 publication Critical patent/JP5095801B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】
メモリを直接的にスキャンするためのアクセスをウィルス対策エージェントに提供し得るコンピュータ・プラットフォームを提供する。
【解決手段】
コンピュータ・プラットフォームは、マネージャビリティ・エンジン340及びバーチャライザ・エンジン350を有するプラットフォーム・コントローラ・ハブ330を有する。マネージャビリティ・エンジンは、オペレーティングシステム305から隔離されたプラットフォームハードウェア空間に、ウィルス対策エージェントがダウンロードされることを可能にする。マネージャビリティ・エンジンは、ウィルス対策エージェントを認証し、プラットフォームハードウェアに結合されたメモリ370又は記憶装置390を直接的にスキャンするためのアクセスをウィルス対策エージェントに提供する。
【選択図】 図3

Description

本発明の実施形態は、ウィルス対策エージェントにメモリをスキャンするためのアクセスを提供する技術に関する。
最近のマルウェア攻撃は、セキュリティ・ソフトウェア(セキュリティソフト)を標的とし、ひいては、ホストオペレーティングシステムを危険にさらす。残念ながら、例えば“コンフリッカー”などのコンピュータ・ウィルスは、セキュリティソフトを損ねることに成功し、ひいては、ダウンロード用にウィルス対策ソフトを提供するウェブサイトへのアクセスを妨げることがある。独立系ソフトベンダー(ISV)は、ウィルス対策ソフトをダウンロードで入手可能にするウェブサイトを提供することがある。その他のマルウェア攻撃は、ローカルのウィルス対策エージェントをシムあるいはルートキットし、それらエージェントが、例えばウィルスのシグナチャを調べるためにディスク又はメモリをスキャンするなどの機能を実行することを妨げるものもある。
本発明の実施形態は、認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置を提供する。
一態様によれば、コンピュータ・プラットフォームにおける方法は、コンピュータ・プラットフォームに結合されたオペレーティングシステムから隔離されたプラットフォームハードウェア空間にウィルス対策エージェントがダウンロードされることを可能にするステップと、ウィルス対策エージェントを認証するステップと、コンピュータ・プラットフォームに結合されたメモリを直接的にスキャンするためのアクセスをウィルス対策エージェントに提供するステップとを含む。
他の一態様によれば、マネージャビリティ・エンジンを有するプラットフォーム・コントローラ・ハブを有する装置が提供される。マネージャビリティ・エンジンは、コンピュータ・プラットフォームに結合されたオペレーティングシステムから隔離されたプラットフォームハードウェア空間に、ダウンロードされたウィルス対策エージェントを格納し、ウィルス対策エージェントを認証し、且つプラットフォームハードウェアに結合されたメモリを直接的にスキャンするためのアクセスをウィルス対策エージェントに提供する。
ここに記載される発明は、例示であり、添付の図面に限定されるものではない。説明の簡便性及び明瞭性のため、図示される要素は必ずしも縮尺通りに描かれていない。例えば、一部の要素の寸法は、明瞭性のために、その他の要素より誇張されていることがある。また、適切であると考えられる場合、参照符号は、複数の図の間で対応する要素又は類似の要素を指し示すために繰り返されている。
一実施形態に従って、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術をサポートし得るコンピュータ・プラットフォームを例示する図である。 一実施形態に従って、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供することを例示するフローチャートである。 一実施形態に従って、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供することをサポートし得るプラットフォームに基づくアーキテクチャを例示する図である。 一実施形態に従って、図3の構成要素群があわさって、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術を例示するフローチャートである。 一実施形態に従って、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供するシステム500を例示する図である。
以下の説明は、一実施形態に従って、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供するコンピュータ・プラットフォームの実施形態を説明するものである。以下の記載において、本発明の一層完全なる理解を提供するために、例えばロジック実装、リソースの区分け/共有/重複実装、システムコンポーネントの種類及び相互関係、並びにロジックの区分け/統合選択などの数多くの具体的細部を説明する。しかしながら、当業者に認識されるように、本発明はそのような具体的細部を用いずに実施されることも可能である。また、発明を不明瞭にしないよう、制御構造、ゲートレベル回路、及び完全なソフトウェア命令シーケンスについては詳細に示していない。当業者は、ここに含まれる説明を用いることにより、過度の実験を行うことなく適切な機能を実現することができるであろう。
明細書中での“一実施形態”、“一実施形態例”などへの言及は、そこで説明される実施形態が特定の特徴、構造又は特性を含み得ることを指し示すものであるが、必ずしも、全ての実施形態がその特定の特徴、構造又は特性を含むことを指し示すものではない。また、そのような言い回しは必ずしも同一の実施形態に言及するものではない。さらに、特定の特徴、構造又は特性が1つの実施形態との関連で説明されるとき、明示されているか否かにかかわらず、その特徴、構造又は特性を他の実施形態との関連で実現することは当業者の知識の範囲内であろう。
本発明の実施形態は、ハードウェア、ファームウェア、ソフトウェア、又はそれらの組み合わせにて実現され得る。本発明の実施形態はまた、1つ以上のプロセッサによって読み出されて実行され得る機械読み取り可能媒体に格納された命令として実現され得る。機械読み取り可能媒体は、機械(例えば、コンピューティング装置)によって読み取り可能な形態で情報の記憶又は伝送を行う如何なる機構を含んでいてもよい。
例えば、機械読み取り可能媒体は、読み出し専用メモリ(ROM);ランダムアクセスメモリ(RAM);磁気ディスク記憶媒体;光記憶媒体;フラッシュメモリデバイス;電気的、光学的、音響的あるいはその他同様の信号;を含み得る。また、ここでは、ファームウェア、ソフトウェア、ルーチン、及び命令は或る特定の動作を実行するものとして記述される。しかしながら、認識されるように、それらの説明は単に便宜上のものであり、それらの動作は実際には、ファームウェア、ソフトウェア、ルーチン及び命令を実行するコンピューティング装置、プロセッサ、コントローラ及びその他の装置によるものである。
一実施形態において、コンピュータ・プラットフォームのハードウェアロジックは、認証されたウィルス対策エージェントを安全に実行しながら、該認証されたウィルス対策エージェントに、メモリ及び記憶装置をスキャンするための直接アクセスを提供するように用いられ得る。このような手法は、認証されたウィルス対策エージェントがホストオペレーティングシステムをスキャンすることを可能にし得る。一実施形態において、プラットフォームハードウェアに付随するサードパーティデータストレージ(3pds)又は拡張(extended)サードパーティデータストレージス(e3pds)に、1つ以上のウィルス対策エージェントがダウンロードされ得る。一実施形態において、ウィルス対策エージェントは、オペレーティングシステム上で作動しているマルウェアによってインストールが妨害されないことを確保するように、HECIを通じてローカルに、あるいは帯域外(アウト・オブ・バンド)機構上でリモートにダウンロードされ得る。
ウィルス対策エージェントをダウンロードした後、プラットフォームハードウェアのファームウェアは、例えばウィルス対策エージェントのバイトコードをインタープリタにロードして実行する前に、そのウィルス対策エージェントを認証し、そのウィルス対策エージェントが信用できるベンダーからのものであるかを検証し得る。ウィルス対策エージェントが検証されると、プラットフォームハードウェアは、ウィルス対策エージェントがアプリケーション・プログラマブル・インタフェース(API)及びMECIにアクセスすることを可能にし得る。一実施形態において、APIへのアクセスは、DMAエンジンによるメモリの直接スキャンを可能にし、HECIへのアクセスは、ウィルス対策エージェントが仮想エンジン(VE)を介して記憶装置をスキャンすることを可能にし得る。
結果として、一実施形態において、認証されたウィルス対策エージェントは、不正使用できないプラットフォームハードウェアによって支援されながら、コンピュータシステムにローカルな記憶装置及びメモリへのアクセスを許可され得る。また、ウィルス対策ソリューションを提供するISVが、ウィルスを有するデータファイル及びホワイトリストのウィルスシグナチャを直接的にダウンロードすることが可能にされ得るとともに、ウィルス対策エージェントが、特定されたウィルス及び/又は駆除されたウィルスの事例のログを生成することが可能にされ得る。
認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術をサポートし得るコンピュータ・プラットフォーム100の一実施形態を図1に示す。一実施形態において、コンピュータ・プラットフォーム100は、アプリケーション110、ホストオペレーティングシステム(OS)120、プラットフォームハードウェア150、及びI/Oデバイス190を有し得る。一実施形態において、アプリケーション110は、ホストOS120及びプラットフォームハードウェア150によってサポートされる1つ以上のアプリケーションを有し得る。
一実施形態において、プラットフォームハードウェア150は、1つ以上の処理コア、チップセット、メモリ、及びその他同様のハードウェアコンポーネントを有し得る。一実施形態において、プラットフォームハードウェア150は、例えばファームウェア、マネージャビリティ・エンジン(ME)及びバーチャライザ・エンジン(VE)などのコンポーネントをサポートし得る。一実施形態において、プラットフォームハードウェア150は、ローカルあるいはリモートにダウンロードされたウィルス対策エージェントを認証した後に、認証されたウィルス対策エージェントを安全に実行しながら、認証されたウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供し得る。
このような手法は、認証されたウィルス対策エージェントがホストオペレーティングシステムをスキャンすることを可能にし得る。一実施形態において、I/Oデバイス190−A乃至190−Nのうちの1つは、例えばハードディスクやユニバーサル・シリアル・バス(USB)ベースのデバイスなどの記憶装置を含み得る。また、例えばネットワークインタフェースカード(NIC)など、I/Oデバイス190−A乃至190−Nのうちの1つは、帯域外通信機構をサポートし得る。
ウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術をサポートし得るコンピュータ・プラットフォーム100の動作の一実施形態を図2のフローチャートに示す。
ブロック210において、プラットフォームハードウェア150が、当該プラットフォームハードウェア150にダウンロードされるウィルス対策エージェントを認証し得る。一実施形態において、コンピュータ・プラットフォーム150は、署名照合又は挙動に基づく照合に基づいて、ウィルス対策エージェントを認証し得る。
ブロック250において、プラットフォームハードウェア150は、認証されたウィルス対策エージェントを安全に実行しながら、ホストメモリ及び記憶装置をスキャンするための直接アクセスを該ウィルス対策エージェントに提供し得る。一実施形態において、ウィルス対策エージェントが当該ウィルス対策エージェントのバイトコードの実行に先立って認証されているとき、プラットフォームハードウェア150は、ウィルス対策エージェントがホストメモリ及び記憶装置を直接的にスキャンすることを可能にし得る。
ウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術をサポートするハードウェアコンポーネント及びファームウェアコンポーネントを有するプラットフォームアーキテクチャ300の一実施形態を図3に示す。一実施形態において、プラットフォームハードウェア150は、中央演算処理ユニット(CPU)320と、プラットフォーム・コントローラ・ハブ(PCH)330をサポートし得るチップセット325とを含み得る。一実施形態において、CPU320は、プラットフォームハードウェア150内で利用可能な資源を管理するホストOS305をサポートし得る。
一実施形態において、プラットフォーム・コントローラ・ハブ(PCH)330は、マネージャビリティ・エンジン(ME)340、バーチャライザ・エンジン(VE)350、I/Oコントローラ360、DMAエンジン365、及びメモリ370を有し得る。一実施形態において、プラットフォームハードウェア150に、記憶装置390及び遠隔サーバ392が結合され得る。一実施形態において、マネージャビリティ・エンジン(ME)340は、MEインタフェース341、MEコントローラ342、データ記憶ブロック343、認証エンジン345、インタープリタ346、スキャン−DMAインタフェース347、及び帯域外(out-of-band;OOB)通信ブロック348を有し得る。
一実施形態において、バーチャライザ・エンジン(VE)350は、バーチャライザ・エンジン(VE)コントローラ354及びVEインタフェース355を有し得る。一実施形態において、VEインタフェース355は、VE350とME340及びI/Oコントローラ360との間での情報の交換を支援し得る。一実施形態において、VEインタフェース355はウィルス対策エージェントのダウンロードを支援し、VEコントローラ354は、マネージャビリティ・エンジン制御インタフェース(MECI)上で、ウィルス対策エージェントを表すバイトコードをME340に送信し得る。一実施形態において、VEコントローラ354及びVEインタフェース355は、例えばUSB記憶装置などの装置にローカルに格納されたウィルス対策エージェントが、ホスト組込制御インタフェース(host embedded control interface;HECI)上でダウンロードされることを可能にしてもよい。他の実施形態においては、遠隔サーバ392によってサポートされるウィルス対策エージェントが、OOBブロック348によってサポートされる帯域外通信チャネル上で、ME340に遠隔ダウンロードされてもよい。
一実施形態において、MEインタフェース341は、ウィルス対策エージェントを表すバイトコードを受信し、該バイトコードをデータ記憶ブロック343に格納し得る。一実施形態において、MEインタフェース341は、ウィルス対策エージェントのバイトコードを、VE350又はOOBブロック348の何れかから受信してもよい。一実施形態において、MEインタフェース341は、上記バイトコードをデータ記憶ブロック343に格納した後、MEコントローラ342に第1の信号を与え得る。一実施形態において、MEインタフェース341は、遠隔サーバ392によって生成されてOOBブロック348上で送られ得るホストOS305のスキャン要求を受信し得る。一実施形態において、MEインタフェース341は、遠隔サーバ392からの要求を受信したことに応答して、MEコントローラ342に第2の信号を与え得る。
一実施形態において、データ記憶ブロック343は、サードパーティデータストレージ(3pds)又は拡張サードパーティデータストレージを表し得る。一実施形態において、データ記憶ブロック343に格納されたバイトコードは、ウィルス対策エージェントを認証するために使用され得る。一実施形態において、独立系ソフトベンダー(ISV)は、データ記憶ブロック343及びOOB通信ブロック348を用いて、ウィルスを有するデータファイル及びホワイトリストのシグナチャを直接的にダウンロードし得る。これらは、データファイルをスキャンし、特定された、あるいは駆除された事例のログを提供するためにウィルス対策エージェントによって使用され得る。一実施形態において、ウィルス対策エージェントは、バーチャライザ・エンジン350によって私的に使用され得るストールン(stolen)ハードディスク空間にダウンロードされ得る。
一実施形態において、認証エンジン345は、1つ以上の認証基準を用いることによってウィルス対策エージェントを認証し、例えばMEコントローラ342によってサポートされるスクリプト記述エンジン334などのスクリプト記述エンジンを有効にし得る。一実施形態において、認証エンジン345は、スクリプト記述エンジン334を有効にした後に、例えばSRAMなどのマネージャビリティ・エンジン340のメモリに格納されたスクリプト記述エンジン334を実行し得る。一実施形態において、認証エンジン345は、スクリプト記述エンジン334のシグナチャを、製造中に結合されるマネージャビリティ・エンジンのフラッシュメモリ349に格納され得る、あるいはホストドライバによってオプションROMにロードされ得るキーと比較し得る。一実施形態において、スクリプト記述エンジン334を有効にすることは、悪質なコードがマネージャビリティ・エンジン340の隔離環境内で実行されることを阻止し得る。一実施形態において、スクリプト記述エンジン334の有効化が成功した後、認証エンジン345は、ネットワークOOB上で送られる身元不明あるいは悪意のシグナチャを検出するため、ウィルス対策エージェントによって指示されるスキャン処理を実行し得る。
一実施形態において、ウィルス対策エージェントを認証するために認証エンジン345によって用いられる認証基準は、ウィルス対策エージェントがライセンスされたエージェントであるかと、そのウィルス対策エージェントのソース(出所)とを検査することを含み得る。一実施形態において、認証エンジン345はファームウェアスタックを有し、一実施形態において、そのファームウェアスタックは、ダウンロードされたウィルス対策エージェントが信用できる独立系ソフトベンダーからのものであるか、そして、そのウィルス対策エージェントが有効なライセンスを伴っているか、ウィルス対策エージェントを検査し得る。一実施形態において、認証エンジン345は、ウィルス対策エージェントが認証基準に合格した場合に、そのウィルス対策エージェントを認証し得る。一実施形態において、認証エンジン345は、ウィルス対策エージェントが認証されたことを決定した後に第1のインジケーションを生成し、ウィルス対策エージェントが認証されなかった場合には第2のインジケーションを生成し得る。
一実施形態において、インタープリタ346は、ウィルス対策エージェントを表す認証されたバイトコードを解釈し、そのウィルス対策エージェントを実行し得る。一実施形態において、インタープリタ346は、ウィルス対策エージェントを表すバイトコードの実行を完了した後、MEコントローラ342に信号を送り得る。
一実施形態において、MEコントローラ342は、スクリプト記述エンジン334、制御ロジック335、及びプロセッサ状態提供部344を有し得る。一実施形態において、スクリプト記述エンジン334は、オペレーティングシステムの状態に関係なく処理されるべきウィルス対策エージェントのために隔離環境を提供し得る。一実施形態において、スクリプト記述エンジン334は、認証エンジン345によって検証され得るものであるJava(登録商標)アプレットを用いて実装され得る。一実施形態において、制御ロジック335は、認証エンジン345によって行われる認証にスクリプト記述エンジン334が合格しなかった場合に、SRAMからスクリプト記述エンジン334を消去し得る。
一実施形態において、ウィルス対策エージェントの認証を開始するため、制御ロジック335は認証エンジン345に信号を送信し得る。一実施形態において、制御ロジック335は、MEインタフェース341から第1の信号を受信したことに応答して、データ記憶ブロック343にウィルス対策エージェントを格納し得る。一実施形態において、制御ロジック335は、認証エンジン345によって生成されたインジケーションを使用し、インタープリタ346によって生成された、解釈されたバージョンのバイトコードを処理し得る。一実施形態において、制御ロジック335は、第1のインジケーションを受信したことに応答して、インタープリタ346にバイトコードを与え得る。
第1のインジケーションを受信し、且つインタープリタ346にバイトコードを与えた後、一実施形態において、制御ロジック335は、インタープリタ346によって解釈されたバイトコードを処理し得る。一実施形態において、制御ロジック335は、ウィルス対策エージェントの認証されたバイトコードを処理し、ウィルス対策エージェントがスキャン−DMAエンジンインタフェース347にアクセスすることを可能にし得る。一実施形態において、制御ロジック335は、認証エンジン345から第2のインジケーションを受信したことに応答して、インタープリタ346にバイトコードを与えることを禁止し得る。
一実施形態において、制御ロジック335は、MEインタフェース341から第2の信号を受信したことに応答して、プロセッサ状態提供部344を起動し得る。一実施形態において、上記第2の信号は、遠隔サーバ392からのホストOS305のスキャン要求を受信したことに応答して生成され得る。一実施形態において、ホストOS305のスキャン要求は、ME340の計算能力が制限されている場合に遠隔サーバ392によって生成され得る。しかしながら、他の実施形態において、ローカルスキャンエンジンをサポートするのに十分な計算リソースをME340が含んでいる場合、ローカルスキャンエンジンは、CPU320のプロセッサ状態を用いてホストOS305のスキャンを実行してもよい。一実施形態において、スキャンエンジンは、ME340内でローカルにサポートされていようと、遠隔サーバ392によってサポートされていようと、ホストOS305のスキャンを実行するためにプロセッサ状態を必要とし得る。
一実施形態において、プロセッサ状態提供部344は、CPUレジスタ322に直接的にアクセスすることによってプロセッサ状態を収集し得る。他の実施形態において、プロセッサ状態提供部344は、プロセッサ状態が格納されるメモリ位置にアクセスすることによってプロセッサ状態を収集してもよく、プロセッサ状態情報はスキャン−DMAインタフェース347を介して取り出され得る。一実施形態において、プロセッサ状態は、例えば、CPU制御レジスタCR0−CR4、インタラプト・デスクリプタ・テーブル・レジスタ(IDTR)、グローバル・デスクリプタ・テーブル・レジスタ(GDTR)、及びエクステンディド・ページ・テーブル・ポインタ(EPTP)を含み得る。一実施形態において、制御レジスタは仮想/線形メモリ・マップ/ページ・ディレクトリのゲスト物理アドレスを指し示し、IDTRはインタラプト・デスクリプタ・テーブルの線形アドレスを指し示し、GDTR及びEPTPはゲスト物理−物理メモリマップのルートディレクトリを保持する物理アドレスを指し示す。一実施形態において、プロセッサ状態提供部344はプロセッサ状態を制御ロジック335に提供し、制御ロジック335が、ME340によってトーカルにサポートされるか遠隔サーバ392によってサポートされるかの何れかであり得るスキャンエンジンに提供し、それにより、スキャンエンジンがホストOS305をスキャンすることが可能にされ得る。
一実施形態において、スキャン−DMAエンジンインタフェース347は、ウィルス対策エージェントが直接メモリアクセス(direct memory access;DMA)チャネル365を用いてメモリ370をスキャンすることを可能にし得る。一実施形態において、スキャン−DMAエンジンインタフェース347は、ウィルス対策エージェントがメモリ370の妨げのない眺めを取得することを可能にし得る。一実施形態において、スキャン−DMAエンジンインタフェース347は、所与のアドレスにある物理メモリを読み取り、シグナチャパターンを与えられた物理メモリページの直接スキャンを可能にし得る。一実施形態において、スキャン−DMAエンジンインタフェース347は、Java(登録商標)仮想マシン(JVM)環境内のベースクラスとして実装され得る。一実施形態において、スキャン−DMAエンジンインタフェース347はまた、ウィルス対策エージェントがバーチャライザ・エンジン350を用いて記憶装置390をスキャンすることを可能にし得る。一実施形態において、スキャン−DMAエンジンインタフェース347は、DMAチャネル365又はバーチャライザ・エンジン350にアクセスするためのインタフェースを提供し得る。
一実施形態において、DMAエンジン365は、メモリ370への直接的且つ妨げのないアクセスを提供し得る。一実施形態において、DMAエンジン365はMEカーネル内のドライバを表し得る。一実施形態において、DMAエンジン365は、PCI−e要求トランザクションの‘トランスレイティド・ビット’を設定してメモリ370にアクセスし、VT−d(virtualization technology for directed I/O)によって妨げを取り除かれ得る。
一実施形態において、遠隔サーバ392は、ウィルス対策サービス395及びブラックリストウィルスデータベース396を有し得る。一実施形態において、ウィルス対策サービス395は、複雑なスキャンアルゴリズム及び複数のスキャンエンジンがウィルス対策エージェントを認証することを支援し得る。そのような複雑なスキャンアルゴリズムは、存在するかもしれない悪意のコードの存在を検出するために実行される。一実施形態において、ブラックリストウィルスデータベース396は、スキャンエンジンを認証するためにウィルス対策サービス395によって使用され得るウィルスのシグナチャを有し得る。一実施形態において、遠隔サーバ392は、当該遠隔サーバ392上でスキャンエンジンがサポートされている場合に、ホストOS305をスキャンする要求をME340に送信したことに応答して、プロセッサ状態を受信し得る。一実施形態において、遠隔サーバ392はプロセッサ状態を使用してホストOS305をスキャンし得る。
ウィルス対策エージェントにメモリ及び記憶装置をスキャンするための直接アクセスを提供する技術をサポートする図3のプラットフォーム・コンポーネント群の動作を例示するフローチャートを図4に示す。
ブロック410において、プラットフォームハードウェア150は、サードパーティデータ記憶部若しくは拡張サードパーティデータ記憶部、又はストールン・ハードディスク空間への解釈可能なウィルス対策エージェントのダウンロードを可能にし得る。一実施形態において、プラットフォームハードウェア150は、VE350を介しての、あるいはOOB通信チャネル348上での、ローカル装置からのウィルス対策エージェントのダウンロードをサポートし得る。
ブロック420において、プラットフォームハードウェア150は、OS305内で作動中のマルウェアによってウィルス対策エージェントのダウンロードが妨げられることがないことを確実にし得る。一実施形態において、プラットフォームハードウェア150は、OS305内で作動中のマルウェアによって影響を及ぼされることのない隔離されたME環境でウィルス対策エージェントが格納されることを可能にし得る。
ブロック430において、プラットフォームハードウェア150は、解釈可能なウィルス対策エージェント及びスキャンエンジンを認証し得る。一実施形態において、マネージャビリティ・エンジン340の認証エンジン345が、ウィルス対策エージェント及びスキャンエンジンを認証する前に、出所、ライセンス及びその他同様の認証基準を検証あるいは検査し得る。
ブロック440において、プラットフォームハードウェア150は、ウィルス対策エージェント及びスキャンエンジンが認証されたかを確認し、ウィルス対策エージェント及びスキャンエンジンが認証テストに合格している場合、制御はブロック450へと進む。
ブロック450において、プラットフォームハードウェア150は、ウィルス対策エージェントがインタープリタ346にロードされることを可能にし得る。ブロック460において、プラットフォームハードウェア150はウィルス対策エージェントを実行し得る。一実施形態において、MEコントローラ342が、解釈されたウィルス対策エージェントを処理し得る。一実施形態において、MEコントローラ342は、ウィルス対策エージェントがメモリ370及び記憶装置390を直接的にスキャンすることを可能にし得るスキャン−DMAインタフェース347のAPIにウィルス対策エージェントがアクセスすることを可能にし得る。
図5を参照するに、コンピュータシステム500は、単一命令複数データ(SIMD)プロセッサを含む汎用プロセッサ502と、グラフィックス・プロセッサ・ユニット(GPU)505とを含み得る。プロセッサ502は、一実施形態において、様々なその他のタスクを実行することに加えて増強処理を実行したり、あるいは、機械読み取り可能記憶媒体525にて増強処理を提供する命令シーケンスを格納したりすることができる。しかしながら、そのような命令シーケンスはメモリ520又はその他の好適な記憶媒体に格納されてもよい。
図5には別個のグラフィックス・プロセッサ・ユニット505が描かれているが、一部の実施形態においては、他の一例として、グラフィックス・プロセッサ・ユニット505は増強処理を実行するために用いられてもよい。コンピュータシステム500を操作するプロセッサ502は、ロジック530に結合された1つ以上のプロセッサコアとし得る。ロジック530は、コンピュータシステム500にインタフェースを提供し得る1つ以上のI/Oデバイス560に結合され得る。ロジック530は、例えば、一実施形態においてチップセットロジックとし得る。ロジック530は、光記憶装置、磁気記憶装置又は半導体記憶装置を含む如何なる種類の記憶装置であってもよいメモリ520に結合されている。グラフィックス・プロセッサ・ユニット505は、フレームバッファ510を介してディスプレイ540に結合される。
ロジック530は、マネージャビリティ・エンジン(ME)532及びバーチャライザ・エンジン(VE)535をサポートし得る。一実施形態において、ME532は、図3を参照して説明したME340と同様のものとすることができ、VE535は、図3を参照して説明したVE350と同様のものとすることができる。一実施形態において、ロジック530は、独立系ソフトベンダーからウィルス対策エージェントを受信し、ウィルス対策エージェントがメモリ又は記憶装置を直接的にスキャンすることを可能にする前に、ウィルス対策エージェントを認証し得る。一実施形態において、ロジック530は、ウィルス対策エージェントのダウンロードを支援し、ダウンロードされたウィルス対策エージェントを認証し、ホストオペレーティングシステム503から独立したME532内の隔離環境内でウィルス対策エージェントがメモリ及び記憶装置を直接的にスキャンすることを可能にし得る。一実施形態において、ウィルス対策エージェントは、例えばUSBデバイスなどの装置からローカルに、あるいは帯域外通信チャネル上で遠隔サーバからリモートにダウンロードされ得る。
一実施形態において、遠隔コンソール580が、ホストOS503をスキャンする要求を送信してもよく、ロジック530上のME532は、CPU制御レジスタ504のプロセッサ状態情報を収集した後、遠隔コンソール580にプロセッサ状態情報を提供し得る。一実施形態において、遠隔コンソール580はプロセッサ状態情報を用いてホストOS503をスキャンし得る。
以上、本発明の特定の特徴を、実施形態例を参照しながら説明した。しかしながら、ここでの説明は限定的な意味で解釈されるべきものではない。当業者に明らかなこれらの実施形態例の様々な変形例及び本発明のその他の実施形態も、本発明の精神及び範囲内にあるものと見なされる。
100 コンピュータ・プラットフォーム
110 アプリケーション
120 オペレーティングシステム(OS)
150 プラットフォームハードウェア
190、550 I/Oデバイス
300 プラットフォームアーキテクチャ
305 ホストOS
320 中央演算処理ユニット(CPU)
322、504 CPU制御レジスタ
330 プラットフォーム・コントローラ・ハブ(PCH)
334 スクリプト記述エンジン
335 制御ロジック
340、532 マネージャビリティ・エンジン(ME)
341 MEインタフェース
342 MEコントローラ
343 データ記憶ブロック
344 プロセッサ状態提供部
345 認証エンジン
346 インタープリタ
347 スキャンエンジン−DMAエンジンインタフェース
348 帯域外(OOB)通信ブロック
350、535 バーチャライザ・エンジン(VE)
354 VEコントローラ
355 VEインタフェース
360 I/Oコントローラ
365 直接メモリアクセス(DMA)エンジン
370 メモリ
390 記憶装置
392 遠隔サーバ
395 ウィルス対策サービス
500 コンピュータシステム
502 プロセッサ
503 ホストOS
505 グラフィックス・プロセッサ・ユニット(GPU)
520 メモリ
525 機械読み取り可能媒体
530 ロジック
560 ネットワークインタフェース
570 ネットワーク
580 遠隔コンソール

Claims (20)

  1. コンピュータ・プラットフォームにおける方法であって:
    前記コンピュータ・プラットフォームに結合されたオペレーティングシステムから隔離されたプラットフォームハードウェア空間にウィルス対策エージェントがダウンロードされることを可能にするステップと、
    前記ウィルス対策エージェントを認証するステップと、
    前記ウィルス対策エージェントに、前記コンピュータ・プラットフォームに結合されたメモリを直接的にスキャンするためのアクセスを提供するステップと、
    を有する方法。
  2. 前記ウィルス対策エージェントは、前記ウィルス対策エージェントがダウンロードされる出所を検証することによって認証され、前記ウィルス対策エージェントは、前記プラットフォームハードウェア内に設けられたサードパーティデータ記憶部にダウンロードされる、請求項1に記載の方法。
  3. 前記ウィルス対策エージェントの認証が失敗した場合、前記ウィルス対策エージェントは処理を行うことを禁止される、請求項2に記載の方法。
  4. 前記ウィルス対策エージェントの認証が成功した場合、前記ウィルス対策エージェントは、前記プラットフォームハードウェアに結合された記憶装置をスキャンするための直接アクセスを提供される、請求項2に記載の方法。
  5. 前記ウィルス対策エージェントの認証が成功した場合、前記ウィルス対策エージェントは、直接メモリアクセスエンジンを介して前記メモリをスキャンする直接アクセスを提供される、請求項4に記載の方法。
  6. スクリプト記述エンジンを認証した後に、前記ウィルス対策エージェントが前記直接メモリアクセスエンジンを介して前記メモリをスキャンすることを支援するために該スクリプト記述エンジンを用いること、を有する請求項5に記載の方法。
  7. フラッシュデバイスに格納されたキーを用いて前記スクリプト記述エンジンのシグナチャを検証することによって、前記スクリプト記述エンジンを認証すること、を有する請求項6に記載の方法。
  8. 前記スクリプト記述エンジンの前記シグナチャが、前記フラッシュデバイスに格納された前記キーと合致しなかった場合、前記スクリプト記述エンジンはスタティックランダムアクセスメモリから消去される、請求項7に記載の方法。
  9. 前記ウィルス対策エージェントは、バーチャライザ・エンジンを介して記憶装置をスキャンする直接アクセスを提供される、請求項2に記載の方法。
  10. プロセッサ状態情報を用いて前記オペレーティングシステムをスキャンするステップを更に有し、該スキャンは、前記プロセッサ状態情報を受信したことに応答して遠隔サーバによって実行される、請求項1に記載の方法。
  11. マネージャビリティ・エンジンを有するプラットフォーム・コントローラ・ハブを有する装置であって:
    前記マネージャビリティ・エンジンは、
    コンピュータ・プラットフォームに結合されたオペレーティングシステムから隔離されたプラットフォームハードウェア空間に、ダウンロードされたウィルス対策エージェントを格納し、
    前記ウィルス対策エージェントを認証し、且つ
    前記ウィルス対策エージェントに、プラットフォームハードウェアに結合されたメモリを直接的にスキャンするためのアクセスを提供する、
    装置。
  12. 前記マネージャビリティ・エンジンは認証エンジンを有し、該認証エンジンは、前記ウィルス対策エージェントがダウンロードされた出所を検証することによって前記ウィルス対策エージェントを認証し、前記ウィルス対策エージェントは、前記プラットフォームハードウェア内に設けられたサードパーティデータ記憶部にダウンロードされる、請求項11に記載の装置。
  13. 前記マネージャビリティ・エンジンは更にコントローラブロックを有し、該コントローラブロックは、前記ウィルス対策エージェントの認証が失敗した場合、前記ウィルス対策エージェントが処理を行うことを禁止する、請求項12に記載の装置。
  14. 前記コントローラは、前記ウィルス対策エージェントの認証が成功した場合、前記ウィルス対策エージェントに、前記コンピュータ・プラットフォームに結合された記憶装置をスキャンするための直接アクセスを提供する、請求項12に記載の装置。
  15. 前記マネージャビリティ・エンジンは更に直接メモリアクセスエンジンを有し、該直接メモリアクセスエンジンは、前記ウィルス対策エージェントの認証が成功した場合、前記ウィルス対策エージェントが前記メモリをスキャンすることを支援する、請求項14に記載の装置。
  16. 前記コントローラはスクリプト記述エンジンを有し、前記ウィルス対策エージェントが前記直接メモリアクセスエンジンを介して前記メモリをスキャンすることを支援するために該スクリプト記述エンジンを用いる前に、前記認証エンジンが該スクリプト記述エンジンを認証する、請求項15に記載の装置。
  17. 前記認証エンジンは、フラッシュデバイスに格納されたキーを用いて前記スクリプト記述エンジンのシグナチャを検証することによって、前記スクリプト記述エンジンを認証する、請求項16に記載の装置。
  18. 前記スクリプト記述エンジンの前記シグナチャが、前記フラッシュデバイスに格納された前記キーと合致しなかった場合、前記コントローラは前記スクリプト記述エンジンをスタティックランダムアクセスメモリから消去する、請求項17に記載の装置。
  19. バーチャライザ・エンジンを更に有し、該バーチャライザ・エンジンは、前記ウィルス対策エージェントに、該バーチャライザ・エンジンを介して記憶装置をスキャンする直接アクセスを提供する、請求項12に記載の装置。
  20. 前記マネージャビリティ・エンジンは、前記オペレーティングシステムをスキャンするために用いられるプロセッサ状態情報を遠隔サーバに提供する、請求項11に記載の装置。
JP2010241803A 2009-10-30 2010-10-28 認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置 Expired - Fee Related JP5095801B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/609,961 US9087188B2 (en) 2009-10-30 2009-10-30 Providing authenticated anti-virus agents a direct access to scan memory
US12/609,961 2009-10-30

Publications (2)

Publication Number Publication Date
JP2011096253A true JP2011096253A (ja) 2011-05-12
JP5095801B2 JP5095801B2 (ja) 2012-12-12

Family

ID=43466398

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010241803A Expired - Fee Related JP5095801B2 (ja) 2009-10-30 2010-10-28 認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置

Country Status (5)

Country Link
US (1) US9087188B2 (ja)
EP (1) EP2317454A3 (ja)
JP (1) JP5095801B2 (ja)
KR (1) KR101434102B1 (ja)
CN (1) CN102054138B (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100011442A1 (en) * 2008-07-09 2010-01-14 Sumwintek Corp. Data security device for preventing the spreading of malware
US8955131B2 (en) * 2010-01-27 2015-02-10 Mcafee Inc. Method and system for proactive detection of malicious shared libraries via a remote reputation system
US8819826B2 (en) 2010-01-27 2014-08-26 Mcafee, Inc. Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation
US20110185428A1 (en) * 2010-01-27 2011-07-28 Mcafee, Inc. Method and system for protection against unknown malicious activities observed by applications downloaded from pre-classified domains
US8474039B2 (en) * 2010-01-27 2013-06-25 Mcafee, Inc. System and method for proactive detection and repair of malware memory infection via a remote memory reputation system
US9147071B2 (en) * 2010-07-20 2015-09-29 Mcafee, Inc. System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system
EP2418828A1 (en) * 2010-08-09 2012-02-15 Eltam Ein Hashofet Process and system for loading firmware
US9536089B2 (en) 2010-09-02 2017-01-03 Mcafee, Inc. Atomic detection and repair of kernel memory
RU2444056C1 (ru) * 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
US8863283B2 (en) 2011-03-31 2014-10-14 Mcafee, Inc. System and method for securing access to system calls
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US8966629B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for below-operating system trapping of driver loading and unloading
US8925089B2 (en) 2011-03-29 2014-12-30 Mcafee, Inc. System and method for below-operating system modification of malicious code on an electronic device
US9032525B2 (en) 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US8959638B2 (en) 2011-03-29 2015-02-17 Mcafee, Inc. System and method for below-operating system trapping and securing of interdriver communication
US9317690B2 (en) 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US8966624B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for securing an input/output path of an application against malware with a below-operating system security agent
US9262246B2 (en) 2011-03-31 2016-02-16 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US20130276123A1 (en) * 2011-09-30 2013-10-17 Paul J. Thadikaran Mechanism for providing a secure environment for acceleration of software applications at computing devices
WO2013095573A1 (en) 2011-12-22 2013-06-27 Intel Corporation Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure
US9081960B2 (en) * 2012-04-27 2015-07-14 Ut-Battelle, Llc Architecture for removable media USB-ARM
US10255089B2 (en) * 2012-07-31 2019-04-09 Ca, Inc. Self-deleting virtual machines
US9560014B2 (en) 2013-01-23 2017-01-31 Mcafee, Inc. System and method for an endpoint hardware assisted network firewall in a security environment
US20150047044A1 (en) * 2013-08-06 2015-02-12 Medknex Software, Llc System and methods for protecting and using digital data
CN103413092A (zh) * 2013-09-10 2013-11-27 深圳市共进电子股份有限公司 一种网络终端禁止恶意代码注入的方法
RU2571721C2 (ru) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения мошеннических онлайн-транзакций
CN104142842B (zh) * 2014-08-04 2017-09-22 青岛海信智能商用系统股份有限公司 CedarTrail平台支持UCDOS的方法
US10044744B1 (en) 2016-04-26 2018-08-07 EMC IP Holding Company LLC Covert storage channel communication between computer security agent and security system
US20180063179A1 (en) * 2016-08-26 2018-03-01 Qualcomm Incorporated System and Method Of Performing Online Memory Data Collection For Memory Forensics In A Computing Device
CN107463832A (zh) * 2016-10-09 2017-12-12 哈尔滨广播电视台 一种移动介质安全认证查杀系统
EP3646220B1 (en) * 2017-06-29 2023-06-07 Hewlett-Packard Development Company, L.P. Computing device monitorings via agent applications
US11916930B2 (en) 2021-06-29 2024-02-27 Acronis International Gmbh Non-invasive virus scanning using remote access

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002226822A (ja) * 2001-01-30 2002-08-14 Three M Innovative Properties Co 光線活性化型接着フィルムを用いた基材接着方法
JP2003208325A (ja) * 2002-01-11 2003-07-25 Akinori Yonezawa ネットワーク免疫システムおよびネットワーク免疫プログラム
WO2008005067A1 (en) * 2006-06-30 2008-01-10 Microsoft Corporation Identifying malware in a boot environment
WO2008140977A1 (en) * 2007-05-11 2008-11-20 Microsoft Corporation Trusted operating environment for malware detection

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5826012A (en) * 1995-04-21 1998-10-20 Lettvin; Jonathan D. Boot-time anti-virus and maintenance facility
US6094731A (en) * 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair
US6728886B1 (en) * 1999-12-01 2004-04-27 Trend Micro Incorporated Distributed virus scanning arrangements and methods therefor
GB2366693B (en) * 2000-08-31 2002-08-14 F Secure Oyj Software virus protection
US7310817B2 (en) * 2001-07-26 2007-12-18 Mcafee, Inc. Centrally managed malware scanning
US7673343B1 (en) * 2001-07-26 2010-03-02 Mcafee, Inc. Anti-virus scanning co-processor
US7401359B2 (en) * 2001-12-21 2008-07-15 Mcafee, Inc. Generating malware definition data for mobile computing devices
AU2003901454A0 (en) * 2003-03-28 2003-04-10 Secure Systems Limited Security system and method for computer operating systems
US20050071668A1 (en) 2003-09-30 2005-03-31 Yoon Jeonghee M. Method, apparatus and system for monitoring and verifying software during runtime
US7685640B2 (en) * 2004-09-21 2010-03-23 Agere Systems Inc. Methods and apparatus for interface adapter integrated virus protection
US20060143600A1 (en) * 2004-12-29 2006-06-29 Andrew Cottrell Secure firmware update
US7743417B2 (en) * 2005-02-28 2010-06-22 Hitachi Global Storage Technologies Netherlands B.V. Data storage device with code scanning capability
US20070174910A1 (en) * 2005-12-13 2007-07-26 Zachman Frederick J Computer memory security platform
US7975304B2 (en) * 2006-04-28 2011-07-05 Trend Micro Incorporated Portable storage device with stand-alone antivirus capability
WO2007131105A2 (en) * 2006-05-03 2007-11-15 Anchiva Systems, Inc. A method and system for spam, virus, and spyware scanning in a data network
US20080098478A1 (en) * 2006-10-20 2008-04-24 Redcannon, Inc. System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device
US8356361B2 (en) * 2006-11-07 2013-01-15 Spansion Llc Secure co-processing memory controller integrated into an embedded memory subsystem
US20080134321A1 (en) * 2006-12-05 2008-06-05 Priya Rajagopal Tamper-resistant method and apparatus for verification and measurement of host agent dynamic data updates
US8099786B2 (en) * 2006-12-29 2012-01-17 Intel Corporation Embedded mechanism for platform vulnerability assessment
US20080320423A1 (en) * 2007-06-25 2008-12-25 International Business Machines Corporation System and method to protect computing systems
US8375449B1 (en) * 2007-08-10 2013-02-12 Fortinet, Inc. Circuits and methods for operating a virus co-processor
US20090138969A1 (en) * 2007-11-26 2009-05-28 Kim Yun Ju Device and method for blocking autorun of malicious code
US8839431B2 (en) * 2008-05-12 2014-09-16 Enpulz, L.L.C. Network browser based virus detection
US8954897B2 (en) * 2008-08-28 2015-02-10 Microsoft Corporation Protecting a virtual guest machine from attacks by an infected host
US8566571B2 (en) * 2008-12-12 2013-10-22 Novell, Inc. Pre-boot securing of operating system (OS) for endpoint evaluation
US20100154062A1 (en) * 2008-12-16 2010-06-17 Elad Baram Virus Scanning Executed Within a Storage Device to Reduce Demand on Host Resources
US8214653B1 (en) * 2009-09-04 2012-07-03 Amazon Technologies, Inc. Secured firmware updates
US9552478B2 (en) * 2010-05-18 2017-01-24 AO Kaspersky Lab Team security for portable information devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002226822A (ja) * 2001-01-30 2002-08-14 Three M Innovative Properties Co 光線活性化型接着フィルムを用いた基材接着方法
JP2003208325A (ja) * 2002-01-11 2003-07-25 Akinori Yonezawa ネットワーク免疫システムおよびネットワーク免疫プログラム
WO2008005067A1 (en) * 2006-06-30 2008-01-10 Microsoft Corporation Identifying malware in a boot environment
WO2008140977A1 (en) * 2007-05-11 2008-11-20 Microsoft Corporation Trusted operating environment for malware detection

Also Published As

Publication number Publication date
CN102054138A (zh) 2011-05-11
US20110107423A1 (en) 2011-05-05
KR20130079460A (ko) 2013-07-10
US9087188B2 (en) 2015-07-21
CN102054138B (zh) 2015-08-12
KR101434102B1 (ko) 2014-08-26
EP2317454A2 (en) 2011-05-04
JP5095801B2 (ja) 2012-12-12
EP2317454A3 (en) 2012-08-01

Similar Documents

Publication Publication Date Title
JP5095801B2 (ja) 認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置
US9747443B2 (en) System and method for firmware based anti-malware security
US9565214B2 (en) Real-time module protection
US9530001B2 (en) System and method for below-operating system trapping and securing loading of code into memory
US9202046B2 (en) Systems and methods for executing arbitrary applications in secure environments
US9087199B2 (en) System and method for providing a secured operating system execution environment
EP2156357B1 (en) Trusted operating environment for malware detection
KR101359841B1 (ko) 신뢰성 있는 부트 최적화를 위한 방법 및 장치
US8549644B2 (en) Systems and method for regulating software access to security-sensitive processor resources
JP5512610B2 (ja) 非ファームウェアエージェントからメモリへのアクセスを許可または阻止する方法、システム、および機械可読記憶媒体
US9262246B2 (en) System and method for securing memory and storage of an electronic device with a below-operating system security agent
Heasman Implementing and detecting a pci rootkit
US20130312099A1 (en) Realtime Kernel Object Table and Type Protection
US20120254993A1 (en) System and method for virtual machine monitor based anti-malware security
US20120255003A1 (en) System and method for securing access to the objects of an operating system
US20120255031A1 (en) System and method for securing memory using below-operating system trapping
US20120255000A1 (en) System and method for below-operating system trapping and securing of interdriver communication
JP2017091497A (ja) ハイパーバイザモードにおけるコードの安全な実行システムおよび方法
JP2010527074A (ja) マルウェア検出のための信頼できる動作環境
US20120254994A1 (en) System and method for microcode based anti-malware security
JP2010182196A (ja) 情報処理装置およびファイル検証システム
CN110390201A (zh) 计算机系统以及初始化计算机系统的方法
US9251350B2 (en) Trusted operating environment for malware detection
Schiffman et al. The smm rootkit revisited: Fun with usb
US20190163905A1 (en) System, Method, and Apparatus for Preventing Execution of Malicious Scripts

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120919

R150 Certificate of patent or registration of utility model

Ref document number: 5095801

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees