TW201640404A - 便利受保護資源掃描的技術 - Google Patents

便利受保護資源掃描的技術 Download PDF

Info

Publication number
TW201640404A
TW201640404A TW105101891A TW105101891A TW201640404A TW 201640404 A TW201640404 A TW 201640404A TW 105101891 A TW105101891 A TW 105101891A TW 105101891 A TW105101891 A TW 105101891A TW 201640404 A TW201640404 A TW 201640404A
Authority
TW
Taiwan
Prior art keywords
data
protected
computing device
scanning
protected resource
Prior art date
Application number
TW105101891A
Other languages
English (en)
Other versions
TWI560570B (en
Inventor
強納森 葛瑞芬
理查 布朗
安迪 諾曼
Original Assignee
惠普發展公司有限責任合夥企業
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 惠普發展公司有限責任合夥企業 filed Critical 惠普發展公司有限責任合夥企業
Publication of TW201640404A publication Critical patent/TW201640404A/zh
Application granted granted Critical
Publication of TWI560570B publication Critical patent/TWI560570B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Memory System Of A Hierarchy Structure (AREA)

Abstract

具體實施例係有關於便利保護計算資源的掃描。於具體實施例中,一計算裝置接收一掃描指示器其指示一外部代理器準備用以掃描該計算裝置的受保護資源;識別可由該資料處理器執行的一受保護動作,該受保護動作便利由該外部代理器掃描該計算裝置的受保護資源,該受保護動作包含該受保護資源之一狀態的改變;執行該受保護動作;及給外部代理器提供以資料指示該受保護資源之一目前狀態。

Description

便利受保護資源掃描的技術
本發明係有關於便利受保護資源掃描的技術。
發明背景
計算裝置諸如個人電腦、伺服器電腦、智慧型電話、及平板電腦經常有問題,其可能來自於錯誤硬體及/或軟體。計算裝置的問題可能難以檢測及診斷。例如,惡意軟體(惡意軟體(malware))可經設計以隱藏本身在受感染系統上,使得其難以藉傳統手段檢測。
依據本發明之一實施例,係特地提出一種用於便利由一外部代理器掃描受保護資源之掃描的計算裝置,該計算裝置包含:一資料處理器;及一資料儲存裝置儲存指令,其當由該資料處理器執行時,使得該資料處理器用以:接收一掃描指示器其指示一外部代理器準備用以掃描該計算裝置的一受保護資源;識別可由該資料處理器執行的一受保護動作,該受保護動作便利由該外部代理器掃描該計算裝置的該受保護資源,該受保護動作包含該受保護資源之一狀態的一改變;執行該受保護動作;及給該外部代理 器提供以資料指示該受保護資源之一目前狀態。
100‧‧‧計算裝置
110、212‧‧‧資料處理器
120、214‧‧‧機器可讀取儲存媒體
122-128‧‧‧指令
130、320‧‧‧外部代理器
132‧‧‧掃描指示器
134‧‧‧資料
200‧‧‧虛擬機器環境
210、310‧‧‧主機器
216‧‧‧超管理器
220‧‧‧VM1
222、232、332‧‧‧內部代理器
224、234、334‧‧‧客作業系統(OS)
226、236‧‧‧虛擬資源
230‧‧‧VM2
240‧‧‧虛擬資料處理器
242‧‧‧儲存媒體
244‧‧‧儲存媒體快取記憶體
246‧‧‧RAM
300‧‧‧資料流程
322‧‧‧掃描請求
330‧‧‧虛擬機器
336‧‧‧虛擬硬體
338‧‧‧狀態資料
340‧‧‧內部掃描資料
350‧‧‧外部掃描資料
400‧‧‧方法
402-410‧‧‧方塊
後文詳細說明部分參考附圖,附圖中:圖1為用於便利受保護資源的掃描之計算裝置實例的方塊圖。
圖2為虛擬機器環境的實例之方塊圖,其中內部代理器便利受保護資源的掃描。
圖3為用以輔助受保護資源之掃描的資料流程實例。
圖4為便利受保護資源之掃描的方法實例之流程圖。
較佳實施例之詳細說明
涵括於計算裝置內的內部代理器係設計成由外部代理器便利受保護資源之掃描,使其能發現計算裝置的潛在問題。若干計算裝置問題諸如惡意軟體可能難以內部檢測。舉例言之,惡意軟體可經設計以隱藏本身不被其不被各種防毒軟體掃描,例如,於其上安裝及/或跑惡意軟體的計算裝置檢視。於某些情況下,外部代理器,例如在分開計算裝置上跑的外部代理器可檢測內部代理器無法檢測的問題。然而,惡意軟體可經設計以隱藏本身不被其不被外部代理器掃描,例如,藉由隱藏於非傳統上可接近外部代理器的區域,或藉由試圖變更計算裝置的狀態因而困惑或隱藏本身不被其不被外部代理器掃描。容後詳述,內部 代理器採行某些動作便利受保護資源之掃描,因而使得某些受保護資源可用於掃描及/或將計算裝置處於特定狀態下,僅舉出少數。
如此處使用,「受保護資源」大致上係指計算裝置資源、安全性及/或穩定性,通常並不保證被計算裝置外部的實體掃描及/或操控,及/或計算裝置資源其係在內部遮掩及/或通常可存取計算裝置外部的實體。此外,受保護資源當檢查時可能沒有最新近價值/資料,例如在持久性儲存碟片上檔案的外部掃描可能不反映最晚近寫入的檔案,除非碟片快取記憶體經掃除;及對應於定義域名稱的IP位址的內部值可能並非新式,除非DNS快取記憶體晚近經掃除,當裝置下次試圖解析定義域名稱時,迫使新DNS對網路作請求。
掃描受保護資源的能力可輔助識別系統受各種軟體及/或硬體問題威脅。計算裝置例如可能受惡意軟體感染,其操控計算裝置註冊的內部掃描,因而使得惡意軟體掛入用以檢查註冊資料的計算裝置之API。於某些情況下,由外部代理器執行的註冊掃描也無法探索註冊資料,例如由惡意軟體插入的註冊資料目前並非載入至計算裝置的隨機存取記憶體(RAM)上。然而,當使用內部代理器以便利掃描註冊資料時,在外部掃描之前,內部代理器可將一或多個註冊蜂巢載入計算裝置的RAM,因而使得外部代理器掃描註冊部分,其可能並非可存取及允許探索經掃描的計算裝置註冊的潛在問題。
現在參考附圖,圖1為用於便利受保護資源的掃描之計算裝置100實例的方塊圖。計算裝置100例如可以是伺服器電腦、筆記型電腦、桌上型電腦、一體機系統、工作站、平板計算裝置、或適用以執行後文描述的功能之任何其它計算裝置,包括周邊裝置,諸如列印器或網路交換器其包括資料處理器。於圖1之實例中,計算裝置100包括資料處理器110及機器可讀取儲存媒體120。
資料處理器110可以是一或多個中央處理單元(CPU)、微處理器、及/或適用以取回與執行儲存於機器可讀取儲存媒體120的指令的其它硬體裝置。處理器110可提取、解碼、及執行指令122、124、126、128用以執行便利受保護資源掃描的程序,容後詳述。作為取回及執行指令的替代方案或除外,資料處理器110可包括一或多個電子電路,其包括多個電子組件用以執行指令122、124、126、128中之一或多者的功能。
機器可讀取儲存媒體120可以是含有或儲存可執行指令的任何電子、磁學、光學、或其它實體儲存裝置。如此,機器可讀取儲存媒體120例如可以是隨機存取記憶體(RAM)、可電氣抹除可規劃唯讀記憶體(EEPROM)、儲存驅動裝置、光碟等。容後詳述,機器可讀取儲存媒體120可以可執行指令編碼用以便利受保護資源的掃描。
如圖1顯示,計算裝置100接收掃描指示器132,其指示外部代理器130準備掃描計算裝置100(122)的受保護資源。外部代理器130可以是硬體、軟體、或其組合,其係 於與計算裝置100實例分開的計算裝置執行。如圖1之實例指示,掃描指示器132可由外部代理器130提供,或可由第三方提供,或於內部預先組配,例如,於進行計算裝置的常規排程掃描的情況下,外部代理器130無需給計算裝置提供掃描指示器130。
於若干實施例中,欲由外部代理器130掃描的受保護資源係例如於掃描指示器132中由外部代理器130載明。舉例言之,外部代理器130可給計算裝置100提供資料指示外部代理器係準備掃描註冊資料、RAM資料、處理資料、網路資料、及/或持久性儲存資料。於若干實施例中,掃描指示器132並不指示外部代理器130準備掃描哪個受保護資源。於此種情況下,計算裝置100可決定哪個受保護資源(若有)可供用於由外部代理器130檢視/掃描。
計算裝置100識別受保護動作,其可由資料處理器110執行,受保護動作便利由外部代理器130(124)掃描計算裝置100的受保護資源。由資料處理器110可執行的受保護動作可各異,可取決於可用於掃描的受保護資源。可對應各種受保護資源的受保護動作之若干實例提供如下。
於受保護資源為註冊資料的情況下,受保護動作可包括將註冊資料載入RAM。於受保護資源為RAM資料的情況下,受保護動作可包括將掉換出的記憶體載入RAM。於受保護資源為處理資料的情況下,受保護動作可包括一或多個掉換出的處理載入RAM。於受保護資源為網路資料的情況下,諸如位址解析協定(ARP)及/或域名服務(DNS) 快取,受保護動作可包括清除計算裝置的網路快取,諸如ARP及/或DNS快取。於受保護資源為持久儲存資料之情況下,諸如硬碟驅動裝置資料,受保護動作可包括持久儲存資料掃除快取記憶體。
計算裝置100執行受保護動作(126)。舉例言之,外部代理器130準備掃描計算裝置100的本地持久性儲存裝置,例如硬碟驅動裝置,計算裝置100可掃除持久性儲存快取記憶體。於本實例中,掃除持久性儲存快取記憶體係經設計以推動尚未執行的任何改變,例如寫入操作。藉由確保持久性儲存快取記憶體係經掃除,外部代理器130可具有合理擔保,其檢視持久性儲存裝置的最為迄今狀態,例如,並無任何操作等候在快取記憶體有待寫入。其它受保護動作及/或與受保護資源不相關的動作也可由計算裝置100執行。
計算裝置100可給外部代理器130提供資料134,指示受保護資源(128)的目前狀態。於持久性儲存快取記憶體掃除實例中,計算裝置100可通報外部代理器130持久性儲存快取記憶體已被掃除,例如,指示硬碟驅動裝置快取記憶體為空白,快取記憶體中先前的全部改變被寫入硬碟驅動裝置。於若干實施例中,計算裝置100可進行例如硬碟驅動裝置的本身內部掃描,及提供內部掃描結果以指示受保護資源之狀態。
當接受資料指示受保護資源之狀態時,外部代理器130可掃描受保護資源及/或計算裝置100的任何其它資 源進行。如前文討論,受保護資源的掃描可使得外部代理器130決定計算裝置是否可能例如受惡意軟體、訛誤資料、及/或軟體缺陷危害。
雖然於圖1中描述於兩個實體分開獨立的計算裝置中執行,但於若干實施例中,外部代理器130與計算裝置100分開可以是邏輯分開。舉例言之,於某些情況下,計算裝置可以是虛擬機器,外部代理器130可以是在主持虛擬機器的主機器上跑的軟體。在虛擬機器脈絡中便利受保護資源的掃描容後詳述,參考圖2及圖3。
圖2為虛擬機器環境200的實例之方塊圖,其中內部代理器,例如222及/或232便利受保護資源的掃描。主機器210包括計算裝置,諸如前文參考圖1描述的計算裝置。如同圖1之計算裝置的實例,主機器210實例包括資料處理器212及機器可讀取儲存媒體214。其它組件雖然未描繪於環境200的實例中,但也可涵括於主機器,諸如RAM、活動式儲存裝置、通訊埠等。
超管理器216,又稱虛擬機器監視器,在主機器上跑,及提供環境其允許一或多個客作業系統(OS)在主機器210上執行。舉例言之,超管理器可提供作業平台,其允許各個請求由超管理器虛擬化的虛擬硬體資源。然後,超管理器配置主機器的硬體資源到各個請求客OS。各個客OS係在其本身的虛擬機器執行,其本身的虛擬硬體係與主機器的其它虛擬機器的虛擬硬體。
據此,各個虛擬機器模擬分開計算裝置,其組態 各異,包括處理器架構的變異、處理器的數目、儲存空間量、記憶體量、啟動性質等。於若干實施例中,額外屬性可載明於一或多個組態檔案的集合,例如儲存於主機器210的儲存媒體214。涵括於虛擬機器的客OS可以是任何作業系統,其可架設於虛擬機器且由計算裝置執行。舉例言之,於若干實施例中,客OS可包括預先組配的作業系統,有多個應用程式其可於OS內部執行。
如於環境200實例中描繪,主機器210實例主持兩個虛擬機器VM1 220及VM2 230,各自有其本身的客OS 224及234,及虛擬資源226及236。各個虛擬機器也可跑一或多個應用程式,諸如內部代理器222及232。環境200實例也描繪虛擬硬體236,其包括虛擬資料處理器240、儲存媒體242、儲存媒體快取記憶體244、及RAM 246。虛擬硬體236係藉客OS 234處理,彷彿其為傳統計算裝置的傳統硬體,但其使用由超管理器216配置給他的主機器硬體資源的部分。
於本環境200中,內部代理器222及232輔助其個別虛擬機器的受保護資源之掃描。舉例言之,內部代理器222輔助VM1 220的客OS 224及虛擬硬體226的受保護資源之掃描,同時內部代理器232輔助VM2 230的客OS 234及虛擬硬體236的受保護資源之掃描。於此一脈絡中,外部代理器例如可以在主機器210、第三方機器、或在也由主機器210主持的分開虛擬機器上跑的應用程式。
虛擬機器環境200實例為虛擬機器的一個實例其 可從使用內部代理器輔助受保護資源之掃描獲益。其它類型的環境,包括虛擬機器及傳統兩者,也可利用內部代理器以輔助受保護資源之掃描。
圖3為用以輔助受保護資源之掃描的資料流程300實例。資料流程300實例描繪於虛擬機器環境中輔助受保護資源之掃描的方法實例。主機器310,諸如參考如上圖2討論的主機器210,包括外部代理器320,其發送掃描請求322給在虛擬機器330上跑的內部代理器332,例如,由主機器310主持的虛擬機器。如同前文討論的虛擬機器,虛擬機器330包括一客OS 334及虛擬硬體336,其各自可包括受保護的資源。
舉例言之,掃描請求322可包括一請求用以掃描虛擬機器330的網路資源;更明確言之,例如,ARP及DNS快取記憶體。其它資源無論受保護與否的掃描也可載明於掃描請求322。於若干實施例中,掃描請求322並非自外部代理器320發送到內部代理器332的明確請求,但可以是觸發請求,例如每24小時,內部代理器332可將虛擬機器置於特定狀態讓外部代理器320掃描。
在將受保護資源置於特定狀態之後,內部代理器332可給外部代理器320提供狀態資料338,其指示受保護資源係在準備被掃描的狀態。舉例言之,回應於接收到掃描網路資源的請求,內部代理器332可清除ARP及DNS快取記憶體,及例如藉由針對各個經清除的快取分錄做詢查請求而以已更新資料重新移駐快取記憶體,例如藉由針對各個 經清除的快取分錄而做詢查請求。資料指出ARP及DNS快取記憶體晚近已被清除及重新移駐,然後可供給外部代理器320。
藉掃描受保護資源之掃描,外部代理器320可產生外部掃描資料350。外部掃描資料350載明受保護資源的狀態,例如由外部代理器320觀察。舉例言之,於其中網路資源,例如ARP及DNS快取記憶體,經清除及以已更新資料重新移駐之情況下,外部代理器可掃描ARP及DNS快取記憶體,及進行詢查請求,例如查詢各個快取記憶體的分錄內載明的實體,用以當由外部代理器320查詢時,確保已更新快取記憶體分錄如所期望的解析。
於若干實施例中,內部代理器332可給外部代理器提供內部掃描資料340。內部掃描資料340載明受保護資源之狀態,例如,如由內部代理器332觀察者。於網路資源之實例中,內部掃描資料340可包括資料指示使用已更新的ARP及DNS快取記憶體分錄進行內部代理器的詢查請求結果。於前述實施例中,內部掃描資料340的提供係在外部掃描資料350之後描述,但無需為此種情況。於若干實施例中,例如,內部代理器332可給內部掃描資料340提供以狀態資料338。
於資料流程300實例中,外部代理器32)比較外部掃描資料350與內部掃描資料340用以識別任何差異。比較由內部代理器332提供的ARP及DNS快取記憶體分錄之內部查詢結果與ARP及DNS快取記憶體分錄之外部查詢結 果,於非受損系統中,將可能導致沒有差異。然而,若虛擬機器330已經受損,例如被錯誤或惡意硬體及/或軟體損害,則掃描資料的差異可能提示外部代理器使用虛擬機器330的可能問題。舉例言之,若由內部代理器332執行的DNS查詢回送結果與藉外部代理器320執行的相同DNS查詢的不同結果,則虛擬機器330可能受損。
圖4為便利受保護資源之掃描的方法400實例之流程圖。方法400可藉計算裝置,諸如圖1描述的計算裝置進行。其它計算裝置也可用以執行方法400。方法400可以儲存機器可讀取儲存媒體諸如儲存媒體120上的可執行指令形式,及/或以電子電路形式實施。
資料處理器接收掃描指示器,其指示外部代理器準備掃描計算裝置的受保護資源(402)。掃描指示器例如可以是時鐘信號,指示外部代理器準備掃描受保護資源的一特定預定時間。
資料處理器識別可由資料處理器執行的受保護動作,該受保護動作便利外部代理器掃描計算裝置的受保護資源(404)。受保護動作包括受保護資源之狀態的改變。舉例言之,為了協助外部代理器掃描由計算裝置執行的或正在執行的方法,資料處理器可識別將被掉換出的處理載入RAM的動作為受保護動作。
資料處理器進行受保護動作(406)。舉例言之,資料處理器可使得任何被掉換出的處理載入RAM。如前記,其它動作,無論受保護與否,也可由資料處理器執行 用以便利掃描計算裝置的資源,無論其受保護與否。
資料處理器藉由掃描受保護資源而產生內部掃描資料,內部掃描資料載明受保護資源之內部掃描狀態(408)。舉例言之,於受保護資源為處理資料之情況下,資料處理器可掃描處理資料,包括啟用處理及掉換出處理,用以產生掃描資料,其載明計算裝置的處理狀態,如於內部觀察。
資料處理器給外部代理器提供內部掃描資料及指示受保護資源之內部掃描狀態的資料(410)。舉例言之,計算裝置的內部代理器可給外部代理器提供以i)掃描資料,其載明如由內部代理器觀察得的計算系統處理的狀態,及ii)指示計算系統被掉換出的處理已經載入RAM的資料。
如前文討論,提供給外部代理器的資訊可由外部代理器使用來檢測與診斷一目標系統的潛在問題,諸如惡意軟體或錯誤軟體。前文描述之處理於多種環境工作,包括具有分開計算裝置的環境、利用虛擬機器的環境、或其組合。
前文揭示描述用於便利受保護資源之掃描的多個具體實施例。如前文詳細說明,實施例提供使用內部代理器執行動作使得受保護資源可供用於藉外部代理器掃描的機制。
100‧‧‧計算裝置
110‧‧‧資料處理器
120‧‧‧機器可讀取儲存媒體
122、124、126、128‧‧‧指令
130‧‧‧外部代理器
132‧‧‧掃描指標
134‧‧‧狀態資料

Claims (15)

  1. 一種用於便利由一外部代理器掃描受保護資源之掃描的計算裝置,該計算裝置包含:一資料處理器;及一資料儲存裝置儲存指令,其當由該資料處理器執行時,使得該資料處理器用以:接收一掃描指示器其指示一外部代理器準備用以掃描該計算裝置的一受保護資源;識別可由該資料處理器執行的一受保護動作,該受保護動作便利由該外部代理器掃描該計算裝置的該受保護資源,該受保護動作包含該受保護資源之一狀態的一改變;執行該受保護動作;及給該外部代理器提供以資料指示該受保護資源之一目前狀態。
  2. 如請求項1之計算裝置,其中該外部代理器係涵括於一外部計算裝置其係與該計算裝置分開。
  3. 如請求項1之計算裝置,其中該計算裝置包含由一主機器計算裝置執行的一虛擬機器,及其中該外部代理器係由該虛擬機器外部的該主機器計算裝置執行。
  4. 如請求項1之計算裝置,其中該受保護資源包含下列中之一者:註冊資料; 隨機存取記憶體(RAM)資料;處理資料;網路資料;或持久性儲存資料。
  5. 如請求項4之計算裝置,其中:受保護動作包含回應於受保護資源包含註冊資料而將註冊資料載入RAM內;受保護動作包含回應於受保護資源包含RAM資料而將掉換出的記憶體頁面載入RAM內;受保護動作包含回應於受保護資源包含處理資料而將一或多個掉換出處理載入RAM內;受保護動作包含回應於受保護資源包含網路資料而清除計算裝置的一網路快取記憶體;及受保護動作包含回應於受保護資源包含持久性儲存資料而掃除一快取記憶體的持久性儲存資料。
  6. 一種用於便利由涵括於一計算裝置的一資料處理器執行的受保護資源之掃描的方法,該方法包含:由該資料處理器,接收一掃描指示器其指示一外部代理器準備用以掃描該計算裝置的一受保護資源;由該資料處理器,識別可由該資料處理器執行的一受保護動作,該受保護動作便利該外部代理器掃描該計算裝置的該受保護資源及包含於該受保護資源之一狀態的一改變;由該資料處理器,執行該受保護動作; 由該資料處理器,藉由掃描該受保護資源而產生內部掃描資料,該內部掃描資料載明該受保護資源的一內部掃描狀態;及對該外部代理器提供該內部掃描資料及指示該受保護資源之該內部掃描狀態的資料。
  7. 如請求項6之方法,其中該計算裝置包含由一主機器計算裝置執行的一虛擬機器,及其中該外部代理器係由該虛擬機器外部的該主機器計算裝置執行。
  8. 如請求項6之方法,其中該外部代理器係涵括於一外部計算裝置其係與該計算裝置分開。
  9. 如請求項6之方法,其中該受保護資源包含下列中之一者:註冊資料;隨機存取記憶體(RAM)資料;處理資料;網路資料;或持久性儲存資料。
  10. 如請求項9之方法,其中:受保護動作包含回應於該受保護資源包含註冊資料而將註冊資料載入RAM內;受保護動作包含回應於該受保護資源包含RAM資料而將掉換出的記憶體頁面載入RAM內;受保護動作包含回應於該受保護資源包含處理資料而將一或多個掉換出處理載入RAM內; 受保護動作包含回應於該受保護資源包含網路資料而清除計算裝置的一網路快取記憶體;及受保護動作包含回應於該受保護資源包含持久性儲存資料而掃除一快取記憶體的持久性儲存資料。
  11. 一種以由一計算裝置的一硬體處理器可執行用以便利受保護資源之掃描的指令編碼的非暫態機器可讀取儲存媒體,該機器可讀取儲存媒體包含指令用以使得該硬體處理器用以:以一請求提供一內部代理器用以將其中執行該內部代理器的一目標計算裝置的一受保護資源置於一特定掃描狀態;從該內部代理器,接收資料指示該受保護資源係在用於掃描的特定狀態;由掃描該受保護資源產生外部掃描資料,該外部掃描資料載明該受保護資源的一外部掃描資料;從該內部代理器獲得內部掃描資料,該內部掃描資料載明該受保護資源的一內部掃描狀態;及比較該外部掃描資料與該內部掃描資料用以識別一差異。
  12. 如請求項11之儲存媒體,其中該等指令進一步使得該硬體處理器用以:回應於識別該外部掃描資料與該內部掃描資料的差異,決定該目標計算裝置為受損。
  13. 如請求項11之儲存媒體,其中該目標計算裝置包含由該 計算裝置執行的一虛擬機器。
  14. 如請求項11之儲存媒體,其中該受保護資源包含下列中之一者:註冊資料;隨機存取記憶體(RAM)資料;處理資料;網路資料;或持久性儲存資料。
  15. 如請求項14之儲存媒體,其中:該用於掃描的特定狀態包含一狀態其中回應於該受保護資源包含註冊資料而將註冊資料載入該目標計算裝置的RAM內;該用於掃描的特定狀態包含一狀態其中回應於該受保護資源包含RAM資料而將掉換出的記憶體頁面載入該目標計算裝置的RAM內;該用於掃描的特定狀態包含一狀態其中回應於該受保護資源包含處理資料而將一或多個掉換出處理載入該目標計算裝置的RAM內;該用於掃描的特定狀態包含一狀態其中回應於該受保護資源包含網路資料而該目標計算裝置的一網路快取記憶體係被清除;及該用於掃描的特定狀態包含一狀態其中回應於該受保護資源包含持久性儲存資料而用於該目標計算裝置的持久性儲存的一快取記憶體經掃除。
TW105101891A 2015-02-27 2016-01-21 Facilitating scanning of protected resources TWI560570B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2015/018073 WO2016137505A1 (en) 2015-02-27 2015-02-27 Facilitating scanning of protected resources

Publications (2)

Publication Number Publication Date
TW201640404A true TW201640404A (zh) 2016-11-16
TWI560570B TWI560570B (en) 2016-12-01

Family

ID=56789559

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105101891A TWI560570B (en) 2015-02-27 2016-01-21 Facilitating scanning of protected resources

Country Status (5)

Country Link
US (1) US10389747B2 (zh)
EP (1) EP3262554A4 (zh)
CN (1) CN107209684B (zh)
TW (1) TWI560570B (zh)
WO (1) WO2016137505A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI773874B (zh) * 2018-01-26 2022-08-11 美商惠普發展公司有限責任合夥企業 位址解析請求控制技術

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10530684B2 (en) * 2015-05-19 2020-01-07 International Business Machines Corporation Management of unreachable OpenFlow rules

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
US8539582B1 (en) * 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US20080016339A1 (en) 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
WO2008048665A2 (en) 2006-10-18 2008-04-24 University Of Virginia Patent Foundation Method, system, and computer program product for malware detection analysis, and response
US20080320594A1 (en) 2007-03-19 2008-12-25 Xuxian Jiang Malware Detector
US7797748B2 (en) 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture
US20100138829A1 (en) * 2008-12-01 2010-06-03 Vincent Hanquez Systems and Methods for Optimizing Configuration of a Virtual Machine Running At Least One Process
TWI412950B (zh) 2009-06-29 2013-10-21 Hon Hai Prec Ind Co Ltd 文檔保護系統及方法
US8549322B2 (en) 2010-03-25 2013-10-01 International Business Machines Corporation Secure data scanning method and system
ES2526981T3 (es) 2010-07-12 2015-01-19 Pfizer Limited N-sulfonilbenzamidas como inhibidores de canales de sodio dependientes de voltaje
US8767828B2 (en) * 2010-07-16 2014-07-01 Sharp Laboratories Of America, Inc. System for low resolution power reduction with compressed image
US20120144489A1 (en) * 2010-12-07 2012-06-07 Microsoft Corporation Antimalware Protection of Virtual Machines
CN102682229B (zh) * 2011-03-11 2015-04-01 北京市国路安信息技术有限公司 一种基于虚拟化技术的恶意代码行为检测方法
US8555388B1 (en) * 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9323928B2 (en) 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
EP2537553B1 (fr) * 2011-06-21 2013-08-28 Sorin CRM SAS Sonde pour prothèse cardiaque implantable, comprenant des moyens intégrés de protection contre les effets des champs IRM
US9497224B2 (en) * 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
WO2013134206A1 (en) 2012-03-05 2013-09-12 The Board Of Regents, The University Of Texas System Automatically bridging the semantic gap in machine introspection
US8732791B2 (en) 2012-06-20 2014-05-20 Sophos Limited Multi-part internal-external process system for providing virtualization security protection
US20140053272A1 (en) 2012-08-20 2014-02-20 Sandor Lukacs Multilevel Introspection of Nested Virtual Machines

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI773874B (zh) * 2018-01-26 2022-08-11 美商惠普發展公司有限責任合夥企業 位址解析請求控制技術

Also Published As

Publication number Publication date
EP3262554A1 (en) 2018-01-03
US20170353485A1 (en) 2017-12-07
TWI560570B (en) 2016-12-01
CN107209684B (zh) 2020-11-20
CN107209684A (zh) 2017-09-26
WO2016137505A1 (en) 2016-09-01
EP3262554A4 (en) 2018-10-17
US10389747B2 (en) 2019-08-20

Similar Documents

Publication Publication Date Title
CN105393255B (zh) 用于虚拟机中的恶意软件检测的过程评估
US20130179971A1 (en) Virtual Machines
US9195542B2 (en) Selectively persisting application program data from system memory to non-volatile data storage
RU2510074C2 (ru) Система и способ проверки исполняемого кода перед его выполнением
US20140372717A1 (en) Fast and Secure Virtual Machine Memory Checkpointing
US20110225458A1 (en) Generating a debuggable dump file for an operating system kernel and hypervisor
US9612976B2 (en) Management of memory pages
US9116621B1 (en) System and method of transfer of control between memory locations
US9886577B2 (en) Detection and mitigation of malicious invocation of sensitive code
JPWO2016203759A1 (ja) 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体
CN107533602B (zh) 计算设备及其方法,以及计算系统
US8424017B2 (en) Embedding process identification information in a pathname to indicate process status
US9069677B2 (en) Input/output de-duplication based on variable-size chunks
US8751724B2 (en) Dynamic memory reconfiguration to delay performance overhead
US9904567B2 (en) Limited hardware assisted dirty page logging
US9785492B1 (en) Technique for hypervisor-based firmware acquisition and analysis
TW201640404A (zh) 便利受保護資源掃描的技術
US9619168B2 (en) Memory deduplication masking
JP2017220196A (ja) メモリロケーション間で制御を転送するシステム及び方法
US9535713B2 (en) Manipulating rules for adding new devices
US9952984B2 (en) Erasing a storage block before writing partial data
US10635811B2 (en) System and method for automation of malware unpacking and analysis
US10394596B2 (en) Tracking of memory pages by a hypervisor
RU2585978C2 (ru) Способ вызова системных функций в условиях использования средств защиты ядра операционной системы
US20240095363A1 (en) Method, device, and electronic apparatus for securely passing data

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees