[发明专利]向操作系统报告恶意活动

说明书

背景技术

恶意软件（也被称为“恶意程序”）是指当被计算机执行时不利地影响计算机的性能和/或危害存储在计算机上的数据的完整性的未经授权的指令。作为示例，恶意软件可以获得对应用的访问；扰乱计算机操作；擦除存储在计算机上的文件；收集敏感信息（例如密码或其它个人信息）；追踪计算机的用户的行为；使用计算机以用于非预期操作等等。

恶意软件可以以许多不同的形式被封装。作为示例，恶意软件可以是其从一个计算机复制自身到下一个计算机的病毒；看似无害（例如，看似由经授权的供应商提供）的特洛伊木马，从而掩盖它的恶意意图；通过网络安全性传播的蠕虫等等。

附图说明

图1是根据示例性实现方式的计算机的示意图。

图2是描绘了根据示例性实现方式的向图1的计算机的操作系统报告检测到的恶意活动的技术的流程图。

图3和4是根据示例性实现方式的进行检测并且向操作系统报告检测到的恶意活动的技术的图示。

图5是根据示例性实现方式的图1的计算机的硬件架构的示意图。

具体实施方式

参照图1，依照本文所公开的实现方式，计算机10运行机器可执行指令或者“软件”，并且这样，其可能由于计算机10对恶意软件74的非预期执行而暴露于恶意活动。在该上下文中，“恶意软件74”是指为了导致计算机10上的“恶意活动”或未经授权的活动的目的而可以由计算机10的一个或多个处理器22执行的一个或多个未经授权的机器可执行指令，诸如（作为非限制性示例）不利地影响计算机10的性能；允许访问、复制和/或破坏计算机10所存储或收集的数据；允许访问、复制和/或修改在计算机10上存储的或被计算机10访问的一个或多个文件；在计算机10上显示视觉和/或听觉输出；破坏机器可执行指令；控制对计算机10的一个或多个功能的访问；和/或危害存储在计算机10上的数据的完整性的活动。

恶意软件74可以以许多不同的处理级中的任何一个执行，作为非限制性示例，诸如以操作系统级或以基本输入/输出系统（BIOS）级。恶意软件74可以以许多不同形式中的任何一个被封装，并且这样可以是广告软件、间谍软件、病毒、特洛伊木马、蠕虫、后门等等。而且，恶意软件74可以是经编译的机器可执行指令或者可以是未经编译的机器可执行指令。因此，作为非限制性示例，恶意软件74可以包括脚本以及经编译的程序代码。

处理器22可以包含检测由于恶意软件的执行而引起的恶意活动的若干机制。然而，在没有本文所公开的系统和技术的情况下，处理器对恶意活动的检测可能仍然被操作系统忽视，并且这样可能并未着手进行适当的校正动作。作为非限制性示例，由操作系统62采取的校正动作可以牵涉操作系统62（通过应用或直接通过操作系统62自身）对恶意软件采取一个或多个措施，诸如遏制或删除恶意软件74、修复受恶意软件74影响的文件、恢复受恶意软件74影响的数据、修复受恶意软件74影响的一个或多个应用、通知计算机10的用户关于恶意软件74等等。

更具体地，依照本文所公开的系统和技术，处理器22使用其系统管理模式（SMM）以向计算机10的操作系统62报告由处理器22检测到的任何恶意活动。以这种方式，在其操作过程期间，处理器22偶尔进入SMM，其中处理器22挂起操作系统22的执行并且执行与计算机10的BIOS相关联的指令以用于如处理与存储器或芯片组错误有关的系统事件、执行热管理操作、执行安全功能、与可信存储器通信等等这样的目的，如本领域技术人员能够领会的那样。如本文所描述的，处理器22还可以在SMM中采取动作以向计算机10的操作系统62报告由处理器22检测到的恶意活动。

依照本文所公开的实现方式，当在SMM中时，处理器22在操作系统62可访问或者可读的存储器30中的一个或多个恶意活动日志32中记录任何检测到的恶意活动。以这种方式，一个或多个恶意活动日志32通知操作系统62关于任何恶意活动并且通知操作系统62关于检测到的恶意活动的地址，使得操作系统62可以采取适当的校正动作。

结合图1来参照图2，依照本文所公开的示例性实现方式，技术80包括警告（块82）计算机的BIOS检测到的恶意活动并且使用（块84）BIOS以确定与检测到的恶意活动相关联的一个或多个机器可执行指令的地址或位置。BIOS被用于向操作系统报告（块86）检测到的病毒活动的位置，使得操作系统可以采取适当的校正动作。