[发明专利]基于储存驱动器的防恶意软件方法和装置

说明书

背景技术

恶意软件（或恶意代码）是用于涉及能引起问题或损害计算机的各种类型的软件的统称。其包括病毒、蠕虫、特洛伊木马、宏病毒、隐匿程序和后门。恶意软件已经演化为越来越隐秘和有针对性。

恶意软件已经变得更隐秘，在某些情况下，通过感染内核模块（例如，隐匿程序）而深深地隐藏于核心操作系统内部。隐匿程序，尤其是以环0权限执行的隐匿程序，是由当前防病毒方案（AVS）非常难以或者不可能检测到的。例如，环0隐匿程序可以将不正确的信息输入到防病毒方案，并由此扰乱其正常功能。

因此，期望能有保护平台免受恶意软件的新方法。

附图说明

通过例子而非限制来阐明本发明的实施例，在附图的图中相似的附图标记表示相似的元件。

图1是根据一些实施例的具有防恶意软件锁定能力的储存驱动器的框图。

图2是示出根据一些实施例的具有基于锁定能力储存驱动器的防恶意软件方案的平台的图。

图3是根据一些实施例的用于计算平台的锁定能力储存驱动器防恶意软件方法的更详细实施例的部分的图。

图4是示出根据一些实施例的用于实现用于计算平台的防恶意软件方案的不同阶段的图。

具体实施方式

恶意软件可以攻击储存子系统，包括储存驱动器单元，其存储有核心操作系统模块，例如，注册表单元、动态链接库（DLL）模块、内核模块、主引导记录模块等。在一些实施例中，包含这种模块的某些储存驱动器单元（例如，扇区、块，和/或相同范围）由其储存驱动器控制逻辑保护，从而禁止未授权的更新。

图1是示出根据一些实施例的储存驱动器设备102的框图。其可以是任意适合的非易失性可写入技术，例如固态驱动器（SSD）、磁性硬盘驱动器（HDD），或者指状驱动器，等等。储存驱动器102一般包括读取/可写存储器单元（块或扇区）110，以及在储存器和主机之间耦合的储存驱动器控制器105以从主机向存储块写入数据并从存储块将数据读取回主机。主机典型地对应于平台操作系统，不管其是用于具有一个或多个处理器的计算机还是用于具有片上系统处理器的便携式设备。

储存驱动器控制器105具有锁定逻辑106（例如，实现在具有可用的可写存储器的固件中），用于提供锁定存储块112，其仅能以锁定逻辑106所评估的适当密钥或密码进行修改。当前可用的储存驱动器可以提供这种能力，以用于以这种方式选择性地“锁定”部分存储器。例如，Opal是可信计算组所定义的标准，用于提供具有各种安全特征的储存驱动器，所述特征包括刚描述的存储器锁定能力。对于根据一些实施例的防恶意软件方案，至少一些OS模块存储于锁定存储块中并不允许被修改，除非是例如具有适当密码的授权的可信第三方实体的合法用户。

图2是具有储存驱动器的示例性平台的框图，所述储存驱动器具有锁定的存储块用于保存OS部件并防止它们被未授权的实体修改。平台具有CPU芯片202和平台I/O芯片222，其通过直接介质互连（DMI）链路经由DMI接口213/223耦合在一起。平台还包括储存驱动器102（例如，与图1的驱动器一致的固态驱动器），其耦合到储存驱动器主机控制器225。

CPU芯片311包括一个或多个处理器核心203、图形处理器204、低级高速缓存（LLC）205、储存控制器207、显示接口控制器209以及PCI高速接口控制器211。（出于简便，未描述例如储存器、显示器、网络接口和在操作时是所描述平台的一部分的其它外围设备的合作设备，但其可以是各种不同实施例的部分。）一个或多个核心203执行操作系统软件（OS空间）240。OS软件包括储存驱动程序模块242，以便于数据在平台和储存驱动器102之间传输。储存驱动程序模块242包括防恶意软件块锁定模块244，用于实现防恶意软件方案。其与锁定逻辑106合作工作，以使能锁定储存驱动器块的配置和实现来保护OS资产，并且与此同时允许系统没有可观的负担而运行。