[发明专利]防止对具有多个CPU的设备的攻击

说明书

技术领域

本公开总体上涉及用于利用两个不同的处理单元来相互监测并检测可能表明其它处理单元已被破坏的异常的系统和方法。更具体地，但并非以限制的方式，本公开涉及用于利用不同架构和操作环境的处理单元来相互监测并检测病毒和其它恶意软件(即使感染性软件包含类似隐形的机制)的系统和方法。

背景技术

现代的移动设备通常使用两个处理单元。这些处理单元中的第一个可以用于通信(例如，传输/接收、编码/解码、协议支持等)而这些处理单元中的第二个可以用于用户界面或应用程序支持(例如，屏幕、键盘、接口、操作系统、应用程序)。由于具有两个处理单元，所以黑客可以试图破坏任意一个处理单元。

根程序病毒包(rootkit)是隐形类型的恶意软件(恶意程序)，其被设计为隐藏某些进程或程序的存在以避开常规的检测方法。根程序病毒包通常使能对被破坏的系统的连续特权访问。根程序病毒包的安装可以是自动的或者是在攻击者获得根或管理员访问时被激活的。获得该访问时对系统直接攻击(即，利用已知的漏洞)的结果或是通过获取密码(通过破解、特权升级、或社交工程)的结果。一旦安装完成，根程序病毒包的目的通常在于隐藏该侵入以及为其自身(或其它进程)保持特权访问。像任何软件一样，根程序病毒包可以具有好的目的或恶意目的。对系统的完全控制意味着可以修改现有软件，这包括否则可以用于检测或规避攻击的软件。

根程序病毒包检测是困难的，这是因为根程序病毒包可能能够毁坏用于寻找根程序病毒包的软件。检测方法包括使用替代的、可信的操作系统；基于行为的方法；签名扫描；差异扫描；以及内存转储分析。移除可能是复杂的或者实际上是不可能的，特别是在根程序病毒包驻留于内核中的情况下；重新安装操作系统可能是对于该问题唯一可行的解决方案。当处理固件根程序病毒包时，移除可能需要硬件替换、或专业设备。

现代的根程序病毒包并不一定提升访问，相反其用于通过增加隐形能力而使得另一个软件负载不能被检测到。大多数的根程序病毒包被归类为恶意软件，这是因为它们所捆绑的负载是恶意的。例如，负载可以隐蔽地窃取用户密码、信用卡信息、计算资源、或其它未授权的活动。少数根程序病毒包可以被它们的用户认为是工具应用程序：例如，根程序病毒包可以虚拟光盘仿真驱动器，这允许视频游戏用户使得要求将原始安装介质插入到物理光驱中以验证该软件是合法购买的反盗版措施无效

根程序病毒包能够以计算机环境的不同特权级别(例如，模式)运行。用户模式根程序病毒包以与大多数其它用户应用程序相同的模式运行，而非低级别系统进程。它们具有多个可能的安装向量以截获并修改应用程序接口(API)的标准行为。一些根程序病毒包将动态链接库(例如，.DLL文件、.dylib文件、.so文件、或.shlib文件)注入到其它进程，并且由此能够在任何目标进程内执行以冒充该目标进程；具有足够特权的其它根程序病毒包仅重写目标应用程序的存储器。

通过增加代码或替换核心操作系统(包括内核和相关联的设备驱动器)的一部分，内核模式根程序病毒包以最高操作系统特权来运行。大多数操作系统支持内核模式设备驱动器，其以与操作系统自身相同的特权来执行。由此，许多内核模式根程序病毒包被开发为设备器读取或可加载模块，例如可加载内核模块或设备驱动器。这类根程序病毒包具有不受限制的安全访问。内核根程序病毒包可能特别难以检测并移除，这是因为它们以与操作系统自身相同的安全级别来运行，并且它们因此能够截获或毁坏最可信的操作系统操作并由此以类似隐形的方式“隐藏”它们自己。

由于根程序病毒包以及其它病毒(其包括所有类型的恶意代码：特洛伊木马、漏洞利用、外壳代码、键盘记录器、后门、间谍软件、僵尸网络、广告软件、信息窃取软件等)以上文所述的类似隐形的方式(在其它程序中)运行，所以它们难以检测和/或在被感染的操作环境的范围内难以清除。本公开解决了这些和其它问题以提供方法和系统来检测试图在被感染的处理单元上隐藏自己以避开检测的活动根程序病毒包以及其它病毒(即，恶意代码)。

附图说明

图1是根据一个或多个所公开的实施例的示出了网络架构100的框图。

图2是根据一个或多个所公开的实施例的示出了具有多个处理单元(其可以被配置为相互监测)的计算机的框图。

图3是根据一个或多个所公开的实施例的对可以用两个处理单元来配置的蜂窝电话的示出。

图4是根据一个或多个所公开的实施例的针对交叉处理单元监测的过程的流程图，其用于示出一个示例流程。