[发明专利]用于恶意软件检测的可信操作环境

说明书

背景

计算机安全在当今技术驱动的文化中是一个严重的问题。计算机安全违背 可在该计算机感染病毒和其他形式的恶意软件时发生。这些感染可例如在下载 和打开感染恶意软件的文件(例如，电子邮件)时发生，或者感染可在恶意软 件在没有任何直接用户干预的情况下通过网络来访问计算机时发生。在任一种 情况下，这些安全威胁的流行已导致产生各种各样的可用于计算机的安全相关 工具。这些工具的示例包括反病毒程序、广告软件扫描程序、防火墙等。尽管 这些工具可用，但计算机继续感染恶意软件。

恶意软件感染持久性的一个原因是某些恶意软件对安全工具的隐藏能力。 恶意软件可通过使用rootkit来对许多安全工具隐藏，该rootkit一般而言是旨 在对计算机的操作系统隐藏运行进程、文件或系统数据的一组软件工具。rootkit 可将其本身挂钩在计算机的系统中的非常低的地方(例如，在内核层)并截取 计算机的操作系统和其他应用程序当在该计算机上运行时利用的主要系统服 务。在一个示例中，驻留在计算机上的反病毒工具扫描计算机的硬盘以查找病 毒。作为扫描过程的一部分，计算机的操作系统作出一个或多个功能调用，诸 如对特定文件的“打开文件”调用。然而，驻留在计算机上的恶意软件可使用 rootkit来截取该“打开文件”功能调用并返回“文件丢失”错误或返回错误的 文件。由此，反病毒工具无法访问所请求的文件并检查该文件以查找病毒感染。 如果所请求的文件感染病毒，则该感染将持续不被检测到。

概述

描述了用于扫描计算设备以查找恶意软件的技术和装置。在一个实现中， 包括可信操作系统和可信反病毒工具的可信操作环境被包含在可移动数据存 储介质上。计算设备然后使用可信操作系统来从该可移动数据存储介质引导。 可信反病毒工具在计算设备中搜索恶意软件定义更新(例如，病毒签名更新) 并与可信操作系统交互以扫描该计算设备以便查找恶意软件。另一实现使用诸 如具有微控制器的通用串行总线(USB)驱动器等可移动设备来存储可信操作 环境。计算设备使用可信操作系统来引导并且可信反病毒工具扫描该计算设备 以查找恶意软件。该可移动设备可通过在计算设备或远程资源中搜索更新并认 证所定位到的任何更新来更新其自己的内部组件(例如，病毒签名和反病毒工 具)。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征，也不 旨在用于帮助确定所要求保护的主题的范围。

附图简述

参考附图来描述该详细描述。在附图中，附图标记中的最左边的数字标识 该附图标记首次出现的附图。在不同附图中使用同一附图标记来指示相似或相 同的项目。

图1示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系 结构和可移动数据存储介质。

图2示出了用于实现扫描计算设备以查找恶意软件的技术的示例性体系 结构和可移动设备。

图3是用于搜索恶意软件更新并扫描计算设备以查找恶意软件的示例性 过程的流程图。

图4是用于扫描计算设备以查找恶意软件并更新可移动设备的组件的示 例性过程的流程图。

图5是用于认证可移动设备组件更新的示例性过程的流程图。

图6是用于安全文件存储的示例性过程的流程图。

详细描述

此处所描述的设备和技术提供了一种可用于扫描计算设备以查找病毒和 其他形式的恶意软件并消除任何这些实体对该计算设备的感染(disinfect)的 可信操作环境。术语“病毒”和“恶意软件”在此处可互换地使用，并且两者 一般都指的是被设计成在没有所有者告知的同意的情况下渗入和/或破坏计算 机系统的计算机代码的集合。恶意软件的其他示例包括特洛伊木马、蠕虫、间 谍软件等。可信操作环境由诸如软件或硬件制造商等可信授权机构创建，并且 然后被包含在可与计算设备接口的设备或计算机可读介质上。对可信操作环境 的非授权访问通过使用只准许可信数据访问可信操作环境的只读介质、认证协 议和微控制器来阻止。如此处所使用的，术语认证指的是可被实现来验证通信 或数据文件所源自的实体的身份并确保该通信或数据文件未被非授权实体篡 改或不被允许地更改的任何合适的方法或协议。