[发明专利]使用固件确定恶意软件

权利要求书

1.一种计算系统，包括：

计算设备，所述计算设备包括：

至少一个处理元件；

存储器；

固件引擎，所述固件引擎包括：

与所述至少一个处理元件分离的基板管理控制器(BMC)，所述基板管理控制器(BMC)为所述计算设备提供至少一个带外服务；

在引导期间在所述至少一个处理元件上执行的固件，

其中所述固件引擎中的至少一个要：

确定所述计算设备上存在恶意软件的指示存在；以及

响应于所述计算设备上存在所述恶意软件的指示来实施安全动作。

2.如权利要求1所述的计算系统，其中，所述BMC进一步要：

监控在所述至少一个处理元件上执行的操作系统能访问的存储驱动器，以确定所述计算设备上存在恶意软件的所述指示存在。

3.如权利要求2所述的计算系统，其中所述存储驱动器是由所述BMC提供给所述操作系统的虚拟驱动器。

4.如权利要求2所述的计算系统，其中所述存储驱动器包括所述BMC和所述操作系统能访问的闪存存储器。

5.如权利要求1所述的计算系统，其中所述存储驱动器包括模拟主引导分区数据和指示操作系统的其它数据。

6.如权利要求5所述的计算系统，其中所述恶意软件包括勒索软件，并且其中根据模式在所述驱动器上检测到的活动导致所述计算设备上存在所述勒索软件的指示。

7.如权利要求6所述的计算系统，其中所述模式包括对所述引导分区数据的修改。

8.如权利要求7所述的计算系统，其中所述安全动作包括将所述计算设备与通信地耦合到所述计算设备的多个其他设备隔离。

9.如权利要求1所述的计算系统，进一步包括：

中央管理系统，

其中所述BMC经由认证的通信向所述中央管理系统(CMS)发送与所述恶意软件存在的指示相关联的日志信息，

其中所述CMS要：

验证所述日志信息指示所述恶意软件存在；并且

启动恢复过程，所述恢复过程包括恢复所述计算设备的配置设置以及在所述计算设备上安装新的操作系统。

10.如权利要求9所述的计算系统，其中所述安全动作包括所述BMC以提高的安全模式进行通信，所述提高的安全模式具有需要特定安全权限的受限功能，其中所述认证的通信使用所述特定安全权限。

11.如权利要求9所述的计算系统，其中在引导期间在所述至少一个处理元件上执行的所述固件进一步要：

从引导失败的模式确定所述恶意软件的指示存在；

发动恶意软件诊断以确定恶意软件诊断结果；并且

将所述恶意软件诊断结果发送给所述BMC，

其中所述BMC进一步经由所述认证的通信将所述恶意软件诊断结果发送到所述CMS，并且

其中所述日志信息的验证进一步基于所述恶意软件诊断结果。

12.一种存储指令的非暂时性机器可读存储介质，如果计算设备的基板管理控制器(BMC)执行所述指令，则所述指令导致所述BMC：

为所述计算设备提供至少一个带外服务；

向在与所述BMC分离的中央处理元件上执行的操作系统提供存储驱动器；

监控充当蜜罐的所述存储驱动器以基于在所述存储驱动器处检测到的活动来确定所述计算设备上存在恶意软件的指示；并且

响应于在所述计算设备上存在所述恶意软件的指示，实施安全动作。

13.如权利要求12所述的非暂时性机器可读存储介质，其中所述存储驱动器是由所述BMC提供给所述操作系统的虚拟驱动器。