[发明专利]一种恶意软件检测平台快速恢复方法及系统

权利要求书

1.一种恶意软件检测平台快速恢复方法，其特征在于，包括以下步骤：

1)对恶意软件检测平台划分用户域和安全域，在所述用户域的操作系统中设置指令转发应用程序，在所述安全域中运行安全域操作系统；

2)所述指令转发应用程序向所述安全域操作系统转发备份指令或恢复指令；

3)所述安全域操作系统接收到备份指令时，对用户域操作系统所使用的内存数据进行备份，并向基于闪存的存储设备发送备份指令；所述安全域操作系统接收到恢复指令时，将备份的内存数据写入用户域操作系统使用的内存，并向基于闪存的存储设备发送恢复指令；

所述安全域操作系统先初始化处理器的片上内存，并将其作为自己运行的内存；然后将硬件平台的独立内存平均分为两份，其中一份对用户域操作系统是可见的，用做用户域操作系统的运行内存；另一份内存对用户域操作系统是不可见的，用来存储用户域操作系统运行内存的备份；

所述安全域操作系统实现备份的过程包括：安全域操作系统读取用户域操作系统的运行内存，并将其复制到由安全域操作系统保留的、用于存储备份的内存当中；部分在用户域中使用的寄存器的值将被保存在安全域操作系统的运行内存当中，然后安全域操作系统向基于闪存的存储设备发送备份指令；

所述安全域操作系统实现恢复的过程包括：

(1)安全域操作系统读取内存备份，并将备份的内容复制用户域操作系统使用的内存中；

(2)复制完成后，将备份时存入安全域操作系统的寄存器数值恢复到指定的寄存器中；

(3)清空缓存；

(4)向基于闪存的存储设备发送恢复指令；

所述基于闪存的存储设备采用以下步骤实现数据的备份和恢复：

a)在闪存转换层接收到备份指令之后，触发垃圾回收机制，回收闪存中无效数据所占据的存储空间，实现需恢复数据的紧凑存储，然后闪存转换层对需恢复数据的相关元数据进行备份；

b)在合法或非法用户对需恢复数据进行增删改操作的过程中，通过修改闪存转换层中的块分配策略、垃圾回收机制保证需恢复数据的完整性；

c)闪存转换层接收到恢复指令之后，通过恢复备份的元数据，恢复需要恢复的数据。

2.根据权利要求1所述的方法，其特征在于，基于TrustZone技术划分所述用户域和所述安全域。

3.根据权利要求1所述的方法，其特征在于，所述指令转发应用程序转发的备份指令或恢复指令来自上位机上的恶意软件调试程序，所述恶意软件调试程序用于向恶意软件检测平台下载恶意程序，并在合适的时机发送备份指令或恢复指令。

4.根据权利要求3所述的方法，其特征在于，在恶意软件检测平台未感染恶意软件时，所述恶意软件调试程序向所述指令转发应用程序发出备份指令，使恶意软件检测平台完成备份；然后所述恶意软件调试程序向恶意软件检测平台下载恶意软件并开始执行恶意软件；恶意软件行为执行结束后，所述恶意软件调试程序向所述指令转发应用程序发出恢复指令，使恶意软件检测平台恢复到正常状态，从而进行下一次的分析。

5.根据权利要求1所述的方法，其特征在于，所述安全域操作系统收到来自用户域操作系统的指令时，先检查指令是否来自所述指令转发应用程序，如果不是则返回用户域操作系统；如果是则所述安全域操作系统辨别收到的指令的类型；如果收到的指令是备份指令，所述安全域操作系统检查是否是第一次收到备份指令，如果是第一次收到备份指令则进行备份操作，如不是则拒绝执行备份操作，并返回用户域操作系统；如果所述安全域操作系统收到的是恢复指令，则进行恢复操作；如果所述安全域操作系统长时间未收到恢复指令，则在一定时间后自动执行恢复操作。

6.一种采用权利要求1～5中任一权利要求所述方法的恶意软件检测平台快速恢复系统，其特征在于，包括设置于用户域的操作系统中的指令转发应用程序，和设置于安全域中的安全域操作系统；所述指令转发应用程序用于向所述安全域操作系统转发备份指令或恢复指令；所述安全域操作系统接收到备份指令时，对用户域操作系统所使用的内存数据进行备份，并向基于闪存的存储设备发送备份指令；所述安全域操作系统接收到恢复指令时，将备份的内存数据写入用户域操作系统使用的内存，并向基于闪存的存储设备发送恢复指令。