[发明专利]向操作系统报告恶意活动

权利要求书

1.一种用于报告恶意软件活动的装置，包括：

由操作系统可访问的存储器；以及

基本输入/输出系统BIOS处理程序，其响应于检测到的恶意软件活动而在存储器中存储数据以向操作系统报告所述活动，

其中，所述BIOS处理程序被适配成响应于由于通过执行指令以修改处理器的锁定配置位的检测到的未经授权的尝试而被调用。

2.根据权利要求1所述的装置，其中所述BIOS处理程序确定与恶意软件活动相关联的至少一个可执行指令的地址并且在存储器中存储指示所述地址的数据。

3.根据权利要求1所述的装置，其中所述存储器包括微处理器的寄存器的至少一位。

4.根据权利要求1所述的装置，其中所述BIOS处理程序断言信号以警告操作系统检查存储器。

5.根据权利要求1所述的装置，其中所述BIOS处理程序响应于系统管理中断而被调用。

6.根据权利要求1所述的装置，其中所述BIOS处理程序被适配成响应于通过执行指令以在系统管理模式期间将处理器执行引导到存储在针对系统管理模式指令的期望位置外部的指令的尝试而被调用。

7.根据权利要求1所述的装置，其中所述BIOS处理程序被适配成至少部分地基于处理器的代码选择器和指令指针而确定与恶意软件活动相关联的至少一个可执行指令的地址。

8.根据权利要求1所述的装置，其中所述BIOS处理程序被适配成从一般保护异常（GPE）处理程序使用的堆栈确定与恶意软件活动相关联的至少一个可执行指令的地址。

9.根据权利要求1所述的装置，其中所述操作系统包括主操作系统或客操作系统。

10.一种用于报告恶意软件活动的方法，包括：

警告计算机的基本输入/输出操作系统BIOS在计算机上的检测到的恶意软件活动；以及

使用BIOS以向计算机的操作系统报告所述检测，

其中警告BIOS包括响应于通过执行指令以修改处理器的锁定配置位的检测到的未经授权的尝试而执行至少一个BIOS指令。

11.根据权利要求10所述的方法，其中使用BIOS以报告所述检测包括向操作系统报告与恶意软件活动相关联的至少一个机器可执行指令的地址。

12.根据权利要求10所述的方法，其中警告BIOS包括响应于通过执行指令以在处理器的系统管理模式期间引导处理器以执行针对系统管理模式指令的期望位置外部的指令的检测到的尝试而执行至少一个BIOS指令。

13.根据权利要求10所述的方法，其中使用BIOS以报告所述检测包括至少部分地基于处理器的代码选择器和指令指针中的内容而报告与恶意软件活动相关联的至少一个机器可执行指令的地址。

14.根据权利要求10所述的方法，其中使用BIOS以报告所述检测包括至少部分地基于由一般保护异常（GPE）处理程序使用的堆栈内容而报告与恶意软件活动相关联的至少一个机器可执行指令的地址。

15.根据权利要求10所述的方法，其中使用BIOS以报告包括利用指示与恶意活动相关联的至少一个可执行指令的地址的数据来更新操作系统可访问的存储器。

16.根据权利要求10所述的方法，其中使用BIOS以报告包括修改处理器寄存器的内容以警告操作系统检测到的恶意软件活动。

17.一种用于报告恶意软件活动的装置，包括被配置成执行权利要求10至16中的任一项的方法的处理器。