本申請公開了對與電信網絡(尤其是互聯網等)的連接的使用進行環境敏感的選擇性控制的方法、系統、裝置和程序產品。提供措施來允許某些資源利用互聯網而不允許其它資源利用互聯網并且加強實施對攻擊或危害的抵御。示例性實施例允許反惡意軟件產品經由互聯網進行更新,同時防止惡意軟件干擾通信資源或使用同樣的通信資源。先前開發的實施具有可通過本發明專利技術克服的缺點。
【技術實現步驟摘要】
【國外來華專利技術】
本專利技術大體涉及共享類似體系結構的個人計算機和設備,更具體地涉及用于在特定但非必須的管理程序和OS (操作系統)環境下對與電信網絡(尤其是利用互聯網協議及類似協議的網絡)的連接的使用進行控制的系統和對應方法。
技術介紹
現在,PC (個人計算機)上的惡意軟件越來越復雜和有害。反惡意軟件產品迅速增加來對付該問題。作為響應,惡意軟件開始開發以反惡意軟件產品本身為目標的特征,以便損害反惡意軟件產品的效果。作為響應,已經開發出技術來加強反惡意軟件產品對攻擊的防御。一個特別的問題是反惡意軟件產品通常需要訪問最新信息(例如病毒碼的數據表格),這么做的有效方式是經由基于互聯網的下載。需要保證上述下載和類似行動不冒下載過程本身被惡意軟件攻擊損害的風險而發生。需要對通信(尤其是來往于互聯網的通信)的訪問的強健控制(特別地對可替代的準許和不允許的控制)。特別地,能夠拒絕普通OS (操作系統)和普通OS加載的任何即將完成反惡意軟件信息(例如病毒碼)下載(以及可能反惡意軟件信息的完整性驗證)的程序訪問互聯網,是受人期待的。前面開發出的解決方案僅部分地解決了這些問題,仍存在顯著的改進空間。
技術實現思路
除別的以外,所公開的專利技術包括一方面通過諸如反惡意軟件產品這樣的程序產品,另一方面通過包括惡意程序的普通OS (操作系統)應用程序和系統程序,對通信設施的使用進行控制的方法和技術。本專利技術提供一種對用于通信控制的計算機進行操作的方法,還提供體現該方法的裝置。此外,提供使用本專利技術的程序產品和其它模塊。根據本專利技術的方面,公開一種用于控制通信的方法。在本專利技術的實施例中,該方法可以包括檢測可操作的網絡設施,例如網絡設備或網路服務。接下來,可以拒絕、不允許或防止OS或另一 VM (虛擬機)訪問該網絡設施達一段時間,直到特定的事件可以發生為止/除非特定的事件可以發生。在拒絕訪問的時間期間,反惡意軟件信息的拼合或集合可以被下載或以別的方式被形成和/或被驗證、被證明等等。通常在以后,可能在已經保證反惡意軟件信息全體的完整性以后,可以準許前面拒絕的程序環境訪問通信(經常包括與互聯網的通信)。本專利技術公開多種用于準許和拒絕(等等)通信訪問的技術,尤其包括使用諸如VMM(包括管理程序的虛擬機監視器)和熱插技術(例如與PCIe (外設部件高速互聯)橋有關的那些技術)這樣的特征。根據本專利技術的又一方面,本專利技術的實施例可以提供使用上面描述的方法和/或類似方法的程序產品和電子設備。通過實施本專利技術提供的或從實施本專利技術中產生的進一步優勢和/或特征是本專利技術可以向反惡意軟件產品提供進一步加強對惡意軟件攻擊(和/或其它攻擊)的防御的機制。附圖說明當瀏覽結合下面的附圖做出的本專利技術的下面具體實施方式時,本專利技術的上述優勢和特征以及相關優勢和特征將變得更容易理解和領會,附圖包含在說明書中并且構成說明書的一部分,附示本專利技術的實施例并且在附圖中相同的附圖標記代表相同的元件,并且其中圖1是根據本專利技術實施例的被配置成實施安全功能的電子設備的示意框圖;圖2是根據本專利技術實施例中的使用的樣本ASL (ACPI源語言)條目;圖3A和圖3B示出在實施PCIe橋功能的示例總線控制器芯片中使用的典型寄存器;圖4是圖示在實施本專利技術實施例時執行的步驟的流程圖;圖5示出如何可以將本專利技術的示例性實施例編碼到計算機介質或媒體上;以及圖6示出如何可以使用電磁波對本專利技術的示例性實施例進行編碼、傳輸、接收和解碼。具體實施例方式提供附圖中示出的多個部件來向本領域的技術人員提供全面的能夠實現的本專利技術公開內容。在本說明書中不包含對眾所周知的部件的描述,以便不使本公開模糊或者帶走或以別的方式降低本專利技術的新穎性和由此提供的主要益處。圖1是根據本專利技術的被配置成實施安全功能的電子設備的示意框圖。在示例性實施例中,電子設備10可以被實施為個人計算機、例如臺式計算機、膝上型計算機、平板PC或其它適合的計算設備。雖然本說明書概述了個人計算機的操作,但是本領域的技術人員將領會,電子設備10可以被實施為PDA、上網本、無線通信設備(例如移動電話)、內嵌的控制器或設備(例如機頂盒)、打印設備或其它適合的設備或者這些設備的組合,并且可以適合于與本專利技術一起工作或協同工作。電子設備10可以包括被配置成對電子設備10的整體操作進行控制的至少一個處理器或CPU (中央處理單元)12。類似的控制器或MPU (微處理器單元)是常見的。處理器12通常可以通過諸如FSB (前端總線)這樣的總線13與諸如北橋芯片這樣的總線控制器14聯接。總線控制器14通常可以為諸如RAM (隨機存取存儲器)這樣的讀寫系統存儲器16提供接口。總線控制器14還可以聯接至系統總線18,例如在常見的Intel 型實施例中的DMI(直接媒體接口)。與DMI18聯接的可以是所謂的南橋控制器芯片24。此外,南橋芯片24通常還可以與NVRAM (非易失性隨機存取存儲器33)聯接。在實施例中,總線控制器14可以包含PCIe(外設部件高速互聯)根集線器20。PCIe根集線器20接著可以連接至PCIe橋22。PCIe橋可以包含在總線控制器14內或者PCIe橋可以與總線控制器14分離。PCIe橋22通常連接至一個或多個PCIe外設。在本專利技術的實施例中,PCIe橋22連接至NIC (網絡接口控制器)66,NIC66可以是對無線收發器71進行驅動的無線NIC。無線收發器71可以依從IEEE802.11或其它適合標準來工作。無線收發器71通常將包括與某一形式的輻射天線72聯接的RF (射頻)電路。依據本專利技術的實施例,在易遭受有企圖的惡意軟件攻擊的通用計算環境中可能需要的特征可能是,密切控制通信設施。通信設施可以部分地由NIC (圖1的附圖標記66)體現或者可替代地體現為使用通信器具(例如NIC或其它器具)的軟件服務或系統服務(圖中未示出)。具體地,可能想要準許反惡意軟件應用程序訪問通信設施,而有效地拒絕OS (操作系統)和在OS控制下裝載和運行的應用程序的相同訪問(或者可能任何通信訪問)。一種先前開發的解決方案向有線互聯網通信連接(和廣義的等同連接)提供這種能力,并且基于對有線NIC設備的PCI (外設部件互聯)配置空間和關聯ΜΜΙ0/ΡΙ0 (存儲器映射的輸入/輸出和可編程的輸入/輸出)區域進行操作。一種這樣的實施是基于管理程序的,并且向位于DomU (非特權域)的程序告知(虛擬)網絡設備不可用。(在管理程序的領域中,DomU和相關術語DomO (特權域)的意義和使用是眾所周知的。)在本專利技術的示例性實施例中,在管理程序環境中,DomU主管主OS (和附屬于該主OS的應用程序)可能是受人期望的。同時,當正將病毒碼文件(或其它反惡意軟件信息)下載到DomOVM (虛擬機)中并且可靠地存儲在存儲器內時,必須允許DomO具有互聯網連接。隨后,通常可以將這種反病毒碼文件傳送至DomU,并且使用被設計為在DomU環境下運行的反惡意軟件應用程序的一部分來應用這種反病毒碼文件。示例可以是眾所周知的反病毒應用程序之一,例如由趨勢科技公司(Trend Micro Incorporated)提供的反病毒應用程序。先前開發的基于管理程序的實施關于某些類型的有線網絡連接而存在,但是本專利技術的實施例具有更普遍的適用性。將類似配本文檔來自技高網...
【技術保護點】
【技術特征摘要】
【國外來華專利技術】1.一種操作計算機的方法,包括: 在從由第一 VM (虛擬機)和第一 VMM (虛擬機監視器)構成的第一列表中選擇的第一環境內,執行對從由網絡設備和網絡服務組成的列表中選擇的可操作的網絡設施的可操作狀態進行檢測的第一指令;以及 當所述可操作狀態持續時,在所述第一環境內執行進一步的指令來不允許所述網絡設施的使用,其中所述使用是通過在從由第二 VM和主OS (操作系統)組成的第二列表中選擇的第二環境內執行更進一步的指令而請求的。2.根據權利要求1所述的方法,其中: 所述第二環境是DomU (無特權域);并且 所述第一 VM是DomO (零域或特權域)或者所述VMM包括管理程序。3.根據權利要求1所述的方法,進一步包括: 響應于狀態變化的檢測,在所述第一環境內執行指令來對在所述第二環境內執行的更進一步的指令做出所述網 絡設施的使用的第一準許。4.根據權利要求3所述的方法,更進一步包括: 當所述網絡設施的使用的第一準許持續時,執行指令來對在所述第一環境內執行的指令拒絕所述網絡設施的使用。5.根據權利要求3所述的方法,其中: 所述狀態變化響應于有關于反惡意軟件信息的獲取而執行的指令。6.根據權利要求5所述的方法,其中: 所述獲取是基于互聯網的下載行為。7.根據權利要求1所述的方法,其中: 所述網絡設施是NIC (網絡接口控制器)或者兼容NDIS (網絡驅動器接口服務)的服務例程。8.根據權利要求1所述的方法,其中: 所述網絡設施是無線網絡控制器。9.根據權利要求8所述的方法,其中: 所述無線網絡控制器與PICe (外設部件高速互聯)橋連接。10.根據權利要求1所述的方法,其中: 在所述第一環境內執行進一步的指令進一步包括:向虛擬PCIe (外設部件高速互聯)橋提供替代插槽狀態寄存器的行動。11.根據權利要求1所述的方法,其中: 在所述第一環境內執行進一步的指令進一步包括:提供從由roc (存在檢測變化)、ros(存在檢測狀態)、ABP (注意按鍵按下)或LASC (鏈路活躍狀態變化)組成的列表中選擇的替代信號的行動。12.根據權利要求1所述的方法,其中: 在所述第一環境內執行進一步的指令進一步包括:提供DLLA (數據鏈路層活躍)事件的行動。13.根據權利要求1所述的方法,其中: 在第二環境內執行更進一步的指令包括:響應于虛擬化的熱插事件執行ISR(中斷服務例程)。14.根據權利要求13所述的方法,其中: 所述ISR (中斷服務例程)進一步包括:執行指令來掃描PCIe (外設部件高速互聯)橋。15.根據權利要求3所述的方法,進一步包括: 在對所述第二環境內執行的更進一步的指令做出所述網絡設施的使用的第一準許以前,在所述第一 VM (虛擬機)內接收反惡意軟件信息的集合。16.根據權利要求1所述的方法,進一步...
【專利技術屬性】
技術研發人員:理查德·布拉姆利,賈亞納特·曼加拉姆帕利,
申請(專利權)人:惠普發展公司,有限責任合伙企業,
類型:
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。