CN111480160B - 用于过程验证的***、方法和介质 - Google Patents
用于过程验证的***、方法和介质 Download PDFInfo
- Publication number
- CN111480160B CN111480160B CN201880079713.8A CN201880079713A CN111480160B CN 111480160 B CN111480160 B CN 111480160B CN 201880079713 A CN201880079713 A CN 201880079713A CN 111480160 B CN111480160 B CN 111480160B
- Authority
- CN
- China
- Prior art keywords
- security
- behavior
- environment
- executable instructions
- protection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 238
- 230000008569 process Effects 0.000 title claims abstract description 181
- 238000012795 verification Methods 0.000 title claims abstract description 24
- 230000001010 compromised effect Effects 0.000 claims abstract description 15
- 238000002955 isolation Methods 0.000 claims abstract description 15
- 230000000246 remedial effect Effects 0.000 claims abstract description 12
- 230000004048 modification Effects 0.000 claims abstract description 9
- 238000012986 modification Methods 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 44
- 230000006870 function Effects 0.000 claims description 27
- 230000008859 change Effects 0.000 claims description 26
- 230000002155 anti-virotic effect Effects 0.000 claims description 10
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 2
- 230000002265 prevention Effects 0.000 claims description 2
- 230000004044 response Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 4
- 230000009977 dual effect Effects 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
描述了与过程验证相关联的示例。一个示例包括在***的通用操作环境中操作的过程。保护模块通过在所述过程处于操作时修改与所述过程相关联的数据来从隔离环境修改所述过程的行为。保护模块验证所述过程的行为是否根据修改已经改变。所述保护模块在确定所述过程已被危害时采取补救动作。
Description
技术领域
本公开涉及计算机安全。
背景技术
计算机安全是当今技术中的主要关注点。为此,许多设备采用各种技术和过程以确保恶意攻击不能危害(compromise)设备。一种技术可以涉及操作防病毒应用程序,所述防病毒应用程序试图防止恶意应用程序被下载到设备上,并且/或者在发生破坏的情况下检测、隔离以及以其他方式减轻恶意攻击对该设备的影响。
发明内容
根据本公开的一方面,涉及一种用于过程验证的***,包括:在所述***的通用操作环境中操作的过程;以及隔离环境,包括:保护模块,所述保护模块用于:通过在所述过程处于操作时修改与所述过程相关联的数据来修改所述过程的行为以触发所述过程中的行为的预先确定的期望改变,确定在所述过程的操作期间行为的所述预先确定的期望改变是否发生,在确定所述过程的行为的所述预先确定的期望改变没有发生时确定所述过程被危害,并且在确定所述过程被危害时采取补救动作。
根据本公开的一方面,涉及一种存储可执行指令的非暂态计算机可读介质,所述可执行指令当被执行时,控制设备进行以下操作:在安全过程在所述设备的第二环境处的执行期间,从所述设备的第一环境修改与所述安全过程相关联的数据以引起所述安全过程中的预先确定的期望行为改变;监测所述安全过程的执行以检测所述预先确定的期望行为改变;以及响应于没有检测到所述预先确定的期望行为改变,确定所述安全过程被危害并且对所述安全过程执行补救动作。
根据本公开的一方面,涉及一种用于过程验证的方法,包括:从设备的受保护的环境更改与由所述设备的通用操作环境执行的安全过程相关联的可执行指令,其中更改所述可执行指令触发所述安全过程中的预先确定的期望行为改变;监测所述安全过程的执行以检测所述安全过程是否表现出所述预先确定的期望行为改变;并且当所述安全过程不能表现出所述预先确定的期望行为改变时,确定所述安全过程被危害并且将所述安全过程恢复至已知的有效的状态。
附图说明
结合以下配合附图进行的详细描述可以更充分地理解本申请。
图1示出了与过程验证相关联的示例***。
图2示出了与过程验证相关联的示例操作的流程图。
图3示出了与过程验证相关联的示例操作的另一流程图。
图4示出了与过程验证相关联的示例操作的另一流程图。
图5示出了示例计算设备,其中示例***和方法以及等同物可以在所述示例计算设备中操作。
具体实施方式
描述了与过程验证相关联的***、方法及等同物。如上所讨论,存在许多用于提供设备安全的技术。尽管防病毒应用程序可能是常用的技术,但恶意攻击通常是通过尝试关闭或以其他方式阻止防病毒应用程序本身开始的。为了保护防病毒应用程序,可以在与操作防病毒的通用环境隔离的环境中嵌入保护过程。尽管防病毒本身在理论上可以从隔离环境操作,但这可能使得更新防病毒以抵御未来的威胁更加困难,并可能增加与同设备一起传递(deliver)隔离环境相关联的成本。这是因为向隔离环境添加的功能点(functionality)越多,维护和保护隔离环境就变得越贵。此外,可能很难解释数据结构的语义和来自文件***外部的存储器布局。因此,从隔离环境操作的过程可以设计为轻量、安全并且使用有限的资源。
如本文所公开的,嵌入到隔离环境中的保护过程可以被配置为利用在设备的通用操作环境(或设备的其他操作环境)上操作的过程来防止恶意干扰。尽管受保护的过程可以与安全有关(例如,防病毒应用程序、防火墙应用程序、数字版权管理应用程序),但其他过程也可以被保护(例如,操作***、生产力应用程序、游戏等)。该保护可以通过保护过程在受保护的过程操作时直接操纵由受保护的过程使用的数据(例如,可执行指令)来实现,以便在受保护的过程的操作期间改变受保护的过程的行为。然后保护过程可以验证行为改变已经发生,并且在未表现出行为改变的情况下触发对受保护的过程的修复。
应当理解,在下面的描述中,阐述了许多具体细节以提供对示例的深入理解。然而,应当理解,所述示例可以不限于这些具体细节来实践。在其他实例中,可以不详细描述方法和结构,以避免不必要地使示例的描述含糊不清。这些示例也可以彼此组合使用。
如本文所使用的“模块”包括但不限于硬件、固件、存储在计算机可读介质上或在机器上执行的软件和/或以上每个的组合,以执行(一个或多个)功能或(一个或多个)动作,和/或引起来自另一模块、方法和/或***的功能或动作。模块可以包括软件控制的微处理器、分立(discrete)模块、模拟电路、数字电路、编程模块设备、包含指令的存储器设备等。模块可以包括门、门的组合或其他电路组件。在描述多个逻辑模块的场景下,可以将多个逻辑模块合并到一个物理模块中。类似地,在描述单个逻辑模块的场景下,可以在多个物理模块之间分配该单个模块。
图1示出了与过程验证相关联的示例***100。***100包括过程110。过程110可以在***100的通用操作环境内操作。如本文所使用的,通用操作环境可以是针对***或设备执行通用目的处理功能的***或设备的环境。因此,通用操作环境可以为设备或***的操作***、***或设备的用户界面应用程序等提供处理(例如,由中央处理单元)、存储器(例如,由随机存取存储器)等。在各种示例中,过程110可以针对***100、针对连接到***100的设备、针对连接到***100的网络等执行安全功能。因此,过程110可以是例如防病毒过程、防火墙过程、认证过程、加密过程、入侵防御过程、数字版权管理过程、入侵检测过程等。在其他示例中,过程110可以是另一种类型的过程,其保证不主要与***100或***100所连接到的另一设备的安全有关的保护。以说明性的方式,过程110可以是例如操作***、游戏、网络服务等。
图1还包括隔离环境120。隔离环境120可以是***的与所述***的通用操作环境分隔的环境。这种分隔可以限制对存储在隔离环境上或从隔离环境操作的数据和/或过程的访问。因此,可能需要特定的访问特权以访问在隔离环境120上的数据,以将数据传输至隔离环境120等。在其他示例中,从隔离环境120操作的过程可以影响***100的通用操作环境,而来自通用操作环境的过程可以在影响隔离环境120上受到限制。隔离环境120可以是例如芯片上的信任区(TrustZone)***、管理程序(hypervisor)、***管理模式模块、嵌入式控制器等。
隔离环境120包括保护模块130。保护模块130可以执行与确保过程110的持续、正确操作相关联的各种任务。为了实现这一功能,保护模块130可以通过在过程110处于操作时修改与过程110相关联的数据来修改过程110的行为。可以应用包括多种不同技术在内的各种技术来修改过程110的行为,并且可以在不同的测试期间把与过程110相关联的数据的不同部分作为目标,以便利于验证过程110的各个部分正常操作。以说明性的方式,保护模块130可以通过更改过程110的在存储器中的可执行指令来更改过程110。以说明性的方式,可以修改可执行指令以调整存储器访问或写入的目标,以改变由过程110操纵的值。在另一示例中,保护模块130可以更改存储器中的布尔值以触发过程110的功能是否操作。在另一示例中,保护模块130可以在与过程110相关联的可执行指令中用替换指令来覆写空操作指令。替换指令可以例如调用过程110的特定功能,否则该特定功能可能不会被调用。在一些示例中,空操作指令可以由专门配置的编译器在编译时间已经***到过程110中。在另一示例中,保护模块130可以在过程110的可执行指令中覆写功能调用以调用替换功能调用。在另一示例中,保护模块130可以更改存储器中的功能指针以使得过程110调用替换功能。当例如功能影响存储器的预先确定的部分、功能将信号传输到***100的其他组件(例如,保护模块130)等时,改变调用哪个功能可以以能够观察到的方式改变过程110的行为。
保护模块130也可以验证过程110的行为是否根据修改已经改变。对过程的行为的验证也可以采用许多形式。例如,保护模块130可以验证从过程110接收的值。该值可以基于由保护模块130修改的行为而生成,并且由过程110传输到保护模块130。在另一示例中,保护模块130可以验证由过程110提供给保护模块130的安全报告包括作为行为修改的结果所收集的数据。在该示例中,保护模块130可以控制过程110以提供在特定的存储器位置处的特定段数据或直接向保护模块130提供特定段数据,并且验证特定段数据是预期的格式。在另一示例中,保护模块130可以验证在过程110的操作期间由过程110修改的存储器中的值的状态。由保护模块130寻求的状态可取决于保护模块130如何修改过程110。例如,保护模块130可以将功能调用添加到过程110的可执行指令中,使得过程110将存储器中的值增加一定次数。然后,保护模块130可以验证存储器中的值在一定时间段之后、在已经达到过程110中的执行点之后等表现出预期的值。
在确定过程110已被危害时,保护模块130可以采取补救动作。补救动作可以是例如警告实体(例如,用户、能够将过程110恢复至先前的状态的过程、投资于过程110的安全的公司)过程110已被危害、禁用***100的功能(例如,对***100上受限的数据和/或过程的访问)、将过程110恢复至已知的有效的状态(例如,通过从已知的安全位置检索过程110的备份并且在存储器中覆写过程110)、关闭***100等。这些功能点的组合也可以是合适的。
在一些示例中,保护模块130可以结合例如远程服务器(未示出)的远程设备来操作。这可以例如通过防止隔离环境120和/或保护模块130自身被恶意实体危害来为***100提供附加的安全层。因此,保护模块130可以从远程设备接收用于修改过程110的行为的指令。在该示例中,保护模块130可以将验证过程110的结果报告给远程设备。如果远程设备从所报告的结果确定过程110和/或保护模块130已被危害,则远程设备可以发起补救动作(例如,将***100的组件恢复至先前的状态、警告管理员)。
图2示出了示例方法200。方法200可以在存储处理器可执行指令的非暂态处理器可读介质上实施。所述指令当由处理器执行时,可以使得处理器执行方法200。在其他示例中,方法200可以存在于专用集成电路(ASIC)的逻辑门和/或RAM中。
方法200可以执行与过程验证相关联的各种任务。方法200包括在220处修改与安全过程相关联的数据。可以修改数据以引起安全过程中的行为改变。该数据修改可以从设备的第一环境执行。第一环境可以是例如隔离环境。因此,隔离环境可以是芯片上的信任区***、管理程序、***管理模式模块和嵌入式控制器。经修改的数据可以留存在设备的第二环境中。第二环境可以是设备的主处理环境。在一些示例中,与安全模块相关联的数据可以通过更改安全过程的在存储器中的可执行指令来修改。
方法200还包括在230处验证安全过程的正确操作。安全过程的正确操作可以基于行为改变来验证。以说明性的方式,安全过程的正确操作可以通过验证基于改变的行为而生成并且从安全过程接收的值来验证。在另一示例中,可以验证由安全过程提供的安全报告包括作为改变的行为的结果所收集的数据。在另一示例中,可以验证存储器中的值的状态以确定存储器中的值是否在安全过程的操作期间被安全过程所修改。
方法200还包括在260处执行补救动作。当安全过程不能表现出希望在动作220处被触发的行为改变时,可以执行补救动作。补救动作可以是例如警告实体安全过程可能被危害、将安全过程恢复至先前的状态、停用操作安全过程的设备的功能点等。
图3示出了方法300。方法300包括在320处更改与安全过程相关联的可执行指令。可执行指令可以从设备的受保护的环境更改。安全过程可以由设备的通用操作环境执行。更改可执行指令可以触发安全过程中的行为改变。方法300还可以包括在330处验证安全过程是否表现出行为更改。方法300还包括在360处将安全过程恢复至已知的有效的状态。当安全过程不能表现出行为更改时,安全过程可以被恢复至有效的状态。
图4示出了与过程验证相关联的方法400。方法400包括与上文参照方法300所描述的动作类似的多个动作。例如,方法400包括在420处更改与安全过程相关联的可执行指令、在430处验证安全过程是否表现出通过更改可执行指令引起的行为更改以及在460处将安全过程恢复至已知的有效的状态。
方法400还包括在410处从远程设备接收指示。所述指示可以描述如何在动作420处修改安全过程的行为。方法400还包括在440处将验证的结果报告给远程设备。方法400还包括在460处从远程设备接收指示安全过程的恢复的信号。
图5示出了示例计算设备,其中示例***和方法以及等同物可以在所述示例计算设备中操作。示例计算设备可以是包括通过总线530连接的处理器510和存储器520的计算机500。计算机500包括过程验证模块540。过程验证模块540可以单独或组合地执行上文参照示例***、方法等所描述的各种功能。在不同的示例中,过程验证模块540可以作为存储处理器可执行指令的非暂态计算机可读介质在硬件、软件、固件、专用集成电路和/或其组合中实施。
暂时存储在存储器520并且然后由处理器510执行的指令可以作为数据550和/或过程560呈现给计算机500。处理器510可以是包括双微处理器和其他多处理器架构的各种处理器。存储器520可以包括非易失性存储器(例如,只读存储器、闪速存储器、忆阻器)和/或易失性存储器(例如,随机存取存储器)。存储器520还可以是例如磁盘驱动器、固态盘驱动器、软盘驱动器、磁带驱动器、闪存卡、光盘等。因此,存储器520可以存储过程560和/或数据550。计算机500还可以与具有多种配置(未示出)的包括其他计算机、设备、***设备等的其他设备相关联。
应当理解,提供了所公开示例的在前描述以使任何本领域技术人员能够利用或使用本公开。对这些示例的各种修改对于本领域技术人员是显而易见的,并且本文所定义的通用原则可以被应用于其他示例,而不脱离本公开的精神或范围。因此,本公开不旨在限于本文所示的示例,而是与符合本文所公开的原则和新颖特征的最大范围一致。
Claims (15)
1.一种用于过程验证的***,包括:
在所述***的通用操作环境中操作的过程;以及
隔离环境,包括:
保护模块,所述保护模块用于:通过在所述过程处于操作时修改与所述过程相关联的数据来修改所述过程的行为以触发所述过程中的行为的预先确定的期望改变,确定在所述过程的操作期间行为的所述预先确定的期望改变是否发生,在确定所述过程的行为的所述预先确定的期望改变没有发生时确定所述过程被危害,并且在确定所述过程被危害时采取补救动作。
2.根据权利要求1所述的***,其中所述隔离环境是芯片上的信任区***、管理程序、***管理模式模块以及嵌入式控制器中的一个。
3.根据权利要求1所述的***,其中所述过程是防病毒过程、防火墙过程、认证过程、加密过程、入侵防御过程、数字版权管理过程以及入侵检测过程中的至少一个。
4.根据权利要求1所述的***,其中所述补救动作是警告实体所述过程已被危害、禁用所述***的功能、将所述过程恢复至已知的有效的状态以及关闭所述***中的一个。
5.根据权利要求1所述的***,其中所述保护模块通过以下各项中的至少一项来修改所述过程的所述行为:
更改所述过程的可执行指令,
更改存储器中的布尔值以触发所述过程的功能是否执行,
用调用特定功能的指令在与所述过程相关联的所述可执行指令中覆写空操作指令,其中所述空操作指令由专门配置的编译器在编译时间***到所述过程中,
在所述过程的所述可执行指令中覆写功能调用以触发替代功能调用,以及
更改存储器中的功能指针。
6.根据权利要求1所述的***,其中所述保护模块基于以下各项中的一项来验证所述过程的所述行为:
验证从所述过程接收的值,其中所述值基于由所述保护模块修改的所述行为而生成,
验证由所述过程提供给所述保护模块的安全报告包括作为行为修改的结果所收集的数据,以及
验证在所述过程的所述操作期间由所述过程修改的存储器中的值的状态,其中所述状态取决于所修改的行为。
7.根据权利要求1所述的***,其中所述保护模块从远程设备接收用于修改所述过程的所述行为的指令。
8.根据权利要求7所述的***,其中所述保护模块将验证的结果报告给所述远程设备。
9.一种存储可执行指令的非暂态计算机可读介质,所述可执行指令当被执行时,控制设备进行以下操作:
在安全过程在所述设备的第二环境处的执行期间,从所述设备的第一环境修改与所述安全过程相关联的数据以引起所述安全过程中的预先确定的期望行为改变;
监测所述安全过程的执行以检测所述预先确定的期望行为改变;以及
响应于没有检测到所述预先确定的期望行为改变,确定所述安全过程被危害并且对所述安全过程执行补救动作。
10.根据权利要求9所述的非暂态计算机可读介质,其中所述第一环境是隔离环境,其中所述隔离环境是芯片上的信任区***、管理程序、***管理模式模块以及嵌入式控制器中的一个,并且其中所述第二环境是所述设备的主处理环境。
11.根据权利要求9所述的非暂态计算机可读介质,其中与所述安全过程相关联的所述数据通过以下操作来修改:
更改所述安全过程的在存储器中的可执行指令。
12.根据权利要求11所述的非暂态计算机可读介质,其中所述可执行指令通过以下操作来修改:
更改存储器中的布尔值以触发所述安全过程的功能是否执行,
用调用特定功能的指令在与所述安全过程相关联的所述可执行指令中覆写空操作指令,其中所述空操作指令由专门配置的编译器在编译时间***到所述安全过程中,
在所述可执行指令中覆写功能调用以触发替代功能调用,以及
更改存储器中的功能指针。
13.根据权利要求9所述的非暂态计算机可读介质,其中通过以下各项中的一项来验证所述安全过程的正确操作:
验证从所述安全过程接收的值,其中所述值基于改变的行为而生成,
验证由所述安全过程提供的安全报告包括作为所述改变的行为的结果所收集的数据,以及
验证在所述安全过程的操作期间由所述安全过程修改的存储器中的值的状态,其中所述状态取决于所述改变的行为。
14.一种用于过程验证的方法,包括:
从设备的受保护的环境更改与由所述设备的通用操作环境执行的安全过程相关联的可执行指令,其中更改所述可执行指令触发所述安全过程中的预先确定的期望行为改变;
监测所述安全过程的执行以检测所述安全过程是否表现出所述预先确定的期望行为改变;并且
当所述安全过程没有表现出所述预先确定的期望行为改变时,确定所述安全过程被危害并且将所述安全过程恢复至已知的有效的状态。
15.根据权利要求14所述的方法,包括:
从远程设备接收关于如何修改所述安全过程的行为的指示;
将验证的结果报告给所述远程设备;并且
从所述远程设备接收指示所述安全过程的恢复的信号。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2018/016118 WO2019152003A1 (en) | 2018-01-31 | 2018-01-31 | Process verification |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111480160A CN111480160A (zh) | 2020-07-31 |
CN111480160B true CN111480160B (zh) | 2023-11-03 |
Family
ID=67479837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880079713.8A Active CN111480160B (zh) | 2018-01-31 | 2018-01-31 | 用于过程验证的***、方法和介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11328055B2 (zh) |
EP (1) | EP3688632A4 (zh) |
CN (1) | CN111480160B (zh) |
WO (1) | WO2019152003A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113568816B (zh) * | 2021-09-22 | 2022-01-25 | 国汽智控(北京)科技有限公司 | 进程监控方法、装置和设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7950056B1 (en) * | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US9176843B1 (en) * | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
RU2589862C1 (ru) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносного кода в оперативной памяти |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6044475A (en) * | 1995-06-16 | 2000-03-28 | Lucent Technologies, Inc. | Checkpoint and restoration systems for execution control |
US7181652B2 (en) * | 2003-01-07 | 2007-02-20 | Hewlett-Packard Development Company, L.P. | System and method for detecting and isolating certain code in a simulated environment |
US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
US20070005935A1 (en) | 2005-06-30 | 2007-01-04 | Khosravi Hormuzd M | Method and apparatus for securing and validating paged memory system |
US7669242B2 (en) | 2005-06-30 | 2010-02-23 | Intel Corporation | Agent presence monitor configured to execute in a secure environment |
US7882318B2 (en) | 2006-09-29 | 2011-02-01 | Intel Corporation | Tamper protection of software agents operating in a vitual technology environment methods and apparatuses |
US20080134321A1 (en) | 2006-12-05 | 2008-06-05 | Priya Rajagopal | Tamper-resistant method and apparatus for verification and measurement of host agent dynamic data updates |
US8307443B2 (en) | 2007-09-28 | 2012-11-06 | Microsoft Corporation | Securing anti-virus software with virtualization |
US8307439B2 (en) * | 2007-11-30 | 2012-11-06 | Intel Corporation | Add-in card based cheat detection platform for online applications |
US20120167218A1 (en) | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
EP3210152A4 (en) * | 2014-10-24 | 2018-03-07 | McAfee, Inc. | Agent presence for self-healing |
US10114958B2 (en) * | 2015-06-16 | 2018-10-30 | Microsoft Technology Licensing, Llc | Protected regions |
US10902119B1 (en) * | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
-
2018
- 2018-01-31 US US16/606,740 patent/US11328055B2/en active Active
- 2018-01-31 EP EP18904354.0A patent/EP3688632A4/en active Pending
- 2018-01-31 WO PCT/US2018/016118 patent/WO2019152003A1/en unknown
- 2018-01-31 CN CN201880079713.8A patent/CN111480160B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7950056B1 (en) * | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US9176843B1 (en) * | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
RU2589862C1 (ru) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносного кода в оперативной памяти |
Also Published As
Publication number | Publication date |
---|---|
EP3688632A4 (en) | 2021-05-19 |
US20200364331A1 (en) | 2020-11-19 |
US11328055B2 (en) | 2022-05-10 |
EP3688632A1 (en) | 2020-08-05 |
WO2019152003A1 (en) | 2019-08-08 |
CN111480160A (zh) | 2020-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11295021B2 (en) | Using a threat model to monitor host execution in a virtualized environment | |
CA2990313C (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
US8621628B2 (en) | Protecting user mode processes from improper tampering or termination | |
JP6706273B2 (ja) | インタープリタ仮想マシンを用いた挙動マルウェア検出 | |
US9087199B2 (en) | System and method for providing a secured operating system execution environment | |
US9392016B2 (en) | System and method for below-operating system regulation and control of self-modifying code | |
US8966624B2 (en) | System and method for securing an input/output path of an application against malware with a below-operating system security agent | |
US9317690B2 (en) | System and method for firmware based anti-malware security | |
EP2831787B1 (en) | Method and system for preventing and detecting security threats | |
US20120255014A1 (en) | System and method for below-operating system repair of related malware-infected threads and resources | |
US9836611B1 (en) | Verifying the integrity of a computing platform | |
US9588776B2 (en) | Processing device | |
KR20140033349A (ko) | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 | |
MXPA05012560A (es) | Manejo de seguridad de computadora, tal como en una maquina virtual o sistema operativo reforzado. | |
US20070266435A1 (en) | System and method for intrusion detection in a computer system | |
CN111480160B (zh) | 用于过程验证的***、方法和介质 | |
JP7138043B2 (ja) | 情報処理装置 | |
US20230088304A1 (en) | Secure computing system for attestation of secured code, data and execution flows | |
Nasser et al. | SecMonQ: An HSM based security monitoring approach for protecting AUTOSAR safety-critical systems | |
US11556645B2 (en) | Monitoring control-flow integrity | |
Liao et al. | A stack-based lightweight approach to detect kernel-level rookits | |
Harel et al. | Mitigating Unknown Cybersecurity Threats in Performance Constrained Electronic Control Units | |
EP3940565A1 (en) | System management states | |
US20170242999A1 (en) | System and method for protecting a device against attacks on processing flow using a code pointer complement | |
CN115729771A (zh) | 内核线程的保护方法、终端和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |