RU2005135472A

RU2005135472A - Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе

Info

Publication number: RU2005135472A
Application number: RU2005135472/09A
Authority: RU
Inventors: Бенджамин АРМСТРОНГ (US); Бенджамин АРМСТРОНГ; Джейсон ГАРМЗ (US); Джейсон ГАРМЗ; Кеннет Д. РЭЙ (US); Кеннет Д. РЭЙ; Майкл КРАМЕР (US); Майкл КРАМЕР; Пол ИНГЛЭНД (US); Пол ИНГЛЭНД; Скотт А. ФИЛД (US); Скотт А. ФИЛД
Original assignee: Майкрософт Корпорейшн (Us); Майкрософт Корпорейшн
Priority date: 2004-12-21
Filing date: 2005-11-15
Publication date: 2007-05-27
Also published as: EP1674965A3; BRPI0505780A; KR101034415B1; CA2527526A1; CN1794131B; MY151284A; KR20060071308A; TW200627275A; CN1794131A; US20060136720A1; EP1674965B1; CA2527526C; ZA200509349B; AU2005237120A1; EP1674965A2; JP4406627B2; TWI387923B; AU2005237120B2; US7409719B2; RU2397537C2

Claims

1. Реализуемый в компьютере способ мониторинга и защиты множества экземпляров ограниченной среды выполнения процессов, причем каждый из упомянутого множества экземпляров осуществляет доступ к эмулированным ресурсам компьютера, при этом способ содержит этапы, на которых

выполняют, на компьютере, по меньшей мере, одно приложение безопасности, которое отслеживает каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов для обнаружения вредоносных процессов, причем упомянутое, по меньшей мере, одно приложение безопасности выполняется внешним образом по отношению к упомянутому множеству экземпляров ограниченной среды выполнения процессов, и

обеспечивают сканирование виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, причем виртуальные ресурсы включают в себя эмулированные ресурсы компьютера, и, при упомянутом обеспечении, конфигурируют упомянутый набор приложений безопасности так, чтобы он знал о ресурсах, воспринимаемых основной операционной системой компьютера.

2. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности осуществляет доступ к каждому из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством связи с соответствующими агентскими процессами безопасности, которые выполняются в каждом из упомянутого множества экземпляров ограниченной среды выполнения процессов во взаимно-однозначном соответствии.

3. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности осуществляет доступ к каждому из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством объектного интерфейса виртуальной машины, который обеспечивает универсальный интерфейс, через который упомянутое, по меньшей мере, одно приложение безопасности может осуществлять доступ к эмулированным ресурсам.

4. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности выполняется в главной системе, обеспечиваемой компьютером, при этом каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов также выполняется в этой главной системе.

5. Способ по п.1, в котором упомянутое, по меньшей мере, одно приложение безопасности выполняется в главной системе, обеспеченной компьютером, при этом каждый из упомянутого множества экземпляров ограниченной среды выполнения процессов также выполняется в этой главной системе, и при этом управление упомянутым, по меньшей мере, одним приложением безопасности осуществляется, по меньшей мере частично, надзирающим процессом, выполняющимся в главной системе.

6. Способ по п.1, в котором, при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, обеспечивают доступ к структуре виртуальной памяти, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.

7. Способ по п.1, в котором, при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, обеспечивают доступ к структуре виртуального жесткого диска, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.

8. Способ по п.1, в котором, при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, обеспечивают доступ к структуре виртуального сетевого адаптера, ассоциированный с одним из упомянутого множества экземпляров ограниченной среды выполнения процессов.

9. Способ по п.1, в котором, при обеспечении сканирования виртуальных ресурсов каждого из упомянутого множества экземпляров ограниченной среды выполнения процессов посредством единого набора приложений безопасности, обеспечивают доступ к структуре виртуального драйвера, ассоциированной с одним из упомянутого множества экземпляров ограниченной среды выполнения процесса.

10. Способ по п.1, дополнительно содержащий этапы, на которых

при обнаружении вредоносного процесса в одном из упомянутого множества экземпляров ограниченной среды выполнения процессов,

деактивируют этот экземпляр, если он еще не был деактивирован,

исправляют данный экземпляр и

загружают исправленный экземпляр в основную среду компьютера, чтобы он стал активным.

11. Реализуемый в компьютерной системе способ защиты операционной системы от повреждений, вызванных нежелательными действиями процесса, содержащий этапы, на которых

приостанавливают ядро, выполняющееся на операционной системе, причем операционная система, по меньшей мере частично, изолирована от базовых аспектов инфраструктуры компьютерной системы,

проверяют ядро для определения наличия признаков нежелательного действия процесса, причем проверка осуществляется, по меньшей мере частично, надзирающим процессом, который отделен от по меньшей мере частично изолированной операционной системы, и

при наличии признаков нежелательного действия процесса в по меньшей мере частично изолированной операционной системе предпринимают шаги для ограничения нежелательного действия процесса.

12. Способ по п.11, в котором упомянутые шаги для ограничения нежелательного действия процесса включают в себя этап, на котором временно приостанавливают по меньшей мере частично изолированную операционную систему и осуществляют дополнительный мониторинг.

13. Способ по п.11, в котором упомянутые шаги для ограничения нежелательного действия процесса включают в себя этап, на котором временно приостанавливают процессы выбора, выполняющиеся на по меньшей мере частично изолированной операционной системе.

14. Способ по п.11, в котором упомянутые шаги для ограничения нежелательного действия процесса включают в себя этап, на котором прекращают работу процесса, ассоциированного с нежелательным действием процесса.

15. Компьютерная система для обеспечения безопасного доступа к привилегированным операциям, ассоциированным с базовыми компонентами компьютерной системы, при этом система содержит

процессор,

первичное запоминающее устройство, связанное с процессором,

вторичное запоминающее устройство,

операционную систему и

главную систему, причем главная система включает в себя

одну или несколько виртуальных машин, причем каждая из этих одной или нескольких виртуальных машин изолирована от базовых компонентов компьютерной системы, что не позволяет вредоносным процессам осуществлять непосредственный доступ к базовым компонентам при выполнении в среде, ассоциированной с виртуальной машиной, и каждая из упомянутых одной или нескольких виртуальных машин включает в себя экземпляр виртуальной операционной системы, доступ к виртуальной памяти и, по меньшей мере, один виртуальный драйвер, и

по меньшей мере, один надзирающий процесс, используемый для мониторинга упомянутых одной или нескольких виртуальных машин совместно с приложением безопасности, причем мониторинг включает в себя возможное обнаружение вредоносного процесса, и упомянутые, по меньшей мере, один надзирающий процесс и приложение безопасности изолированы от виртуальной машины.

16. Система по п.15, в которой мониторинг дополнительно включает в себя мониторинг адресных пространств виртуальной памяти.

17. Система по п.15, в которой виртуальная машина дополнительно включает в себя доступ к одному или нескольким эмулированным устройствам, при этом мониторинг дополнительно включает в себя мониторинг эмулированных устройств.

18. Система по п.15, в которой виртуальная машина дополнительно включает в себя доступ к эмулированному жесткому диску, при этом мониторинг дополнительно включает в себя мониторинг эмулированного жесткого диска.

19. Система по п.15, в которой мониторинг дополнительно включает в себя осуществление проверок целостности на входе или выходе процессов, выполняющихся на виртуальной машине.

20. Система по п.15, в которой виртуальная машина дополнительно включает в себя доступ к эмулированному жесткому диску, при этом мониторинг дополнительно включает в себя осуществление проверок целостности файлов, находящихся в виртуальной памяти или на эмулированном жестком диске.