[发明专利]用于将软件组件列入白名单的方法和系统

说明书

技术领域

本发明涉及用于将软件组件列入白名单的方法和系统。

背景技术

根工具包(root-kit)和恶意软件可避开在软件平台上进行操作 的安全软件的检测。一旦被建立，根工具包可观测用户活动，屏蔽用 户动作，并执行其它恶意或非期望的活动。测量个别软件实体可针对 那个软件实体的完整性和存在校验，但是不可给出该软件实体未被屏 蔽的保证。

发明内容

本发明提供一种方法，包括：运行在第一操作环境中加载的第一 软件组件；收集所述第一操作环境中与所述第一软件组件有关的运行 时信息；将所收集的运行时信息传递给第二操作环境中的第二软件组 件，所述第二操作环境与所述第一操作环境分离；将所述所收集的运 行时信息与有关所述第一软件组件的已验证信息集进行比较；以及如 果所述所收集的运行时信息不匹配所述已验证信息集，则发送告警。

本发明还提供一种系统，包括：在第一操作环境中运行的第一软 件组件；在所述第一操作环境中运行的第二软件组件，收集与所述第 一软件组件有关的运行时信息，并传递所收集的运行时信息；以及在 第二操作环境中运行的第三软件组件，所述第二操作环境与所述第一 操作环境分离，所述第三组件接收所述所收集的运行时信息，并将所 述所收集的运行时信息与有关所述第一软件组件的已验证信息集进 行比较。

附图说明

在本说明书的结束部分特别指出作为本发明的主题并清楚地要 求其权利。但是，通过结合附图参照以下详细描述，可透彻地了解关 于本发明的操作的组织和方法及其目的、特征、优点，附图包括：

图1是根据本发明的实施例的计算平台的示意图示。

图2是根据本发明的实施例的计算平台上的白名单架构的代表 图示。

图3是根据本发明的实施例、通过白名单服务所捕获的样本组件 映像的数据结构的代表图示。

图4是根据本发明的实施例、用于将软件组件列入白名单的方法 的流程图。

将理解，为了说明的简洁和清楚起见，图中所示的元件不一定精 确地或者按比例绘制。例如，为了清楚起见，某些元件的尺寸可能相 对于其它元件经过放大，或者若干物理组件包含在一个功能块或元件 中。另外，在认为适当的情况下，参考标号可在附图中重复，以便指 明对应或相似的元件。另外，可将附图所示的某些块组合成单个功能。

具体实施方式

在以下详细描述中，阐明大量具体细节，以便提供对本发明的透 彻理解。但是，本领域的技术人员会理解，即使没有这些具体细节也 可实施本发明。在其它情况下，没有详细描述众所周知的方法、过程、 组件、和电路，以免影响使本发明不明确。

除非明确说明，否则从以下论述中，大家清楚地知道，在整个说 明中，采用诸如“处理”、“计算”、“确定”或诸如此类的术语的 论述表示计算机或计算系统或者类似的电子计算设备的动作和/或过 程，其设备操纵表示为计算系统的寄存器和/或存储器中的例如电的 物理量的数据和/或将其转换为类似地表示为计算系统的存储器、寄 存器或者其它这种信息存储设备、传送或显示设备中的物理量的其它 数据。另外，术语“多个”可在整个说明中用来描述两个或更多组件、 设备、元件、参数和诸如此类。

本文所使用的术语“组件”可指可用于获得预期结果的编程逻辑 及关联数据。术语“组件”可与“模块”或“代理”同义，并且可指 可通过硬件或固件、或者通过可能具有入口和出口点、以例如C++、 Intel架构64位(IA-64)可执行代码等编程语言编写的软件指令的集 合来体现的编程逻辑。此外，组件可以是从其它组件或者从其本身可 调用的，和/或可响应检测事件或中断而被调用。例如，组件可以是 由一个或多个处理器运行的软件包、模块或代理。

本发明的实施例可提供用于将操作系统环境中的软件组件列入 白名单的方法和系统。在一个实施例中，在第一操作环境下，可收集 与第一加载和运行软件组件有关的运行时信息。可将所收集的信息传 递给在与第一操作环境分离的第二操作环境中进行操作的第二软件 组件。所收集的运行时信息可与有关第一软件组件的已验证信息集进 行比较。