[发明专利]一种恶意软件检测平台快速恢复方法及系统

说明书

本发明公开了一种恶意软件检测平台快速恢复方法及系统。本发明基于ARM构架中的TrustZone技术实现，由两部分组成：位于用户域操作系统中的具有转发指令功能的应用程序和位于安全域中的安全域操作系统。由位于用户域操作系统中的指令转发应用程序触发，它能转发备份或者恢复指令。位于安全域中的安全域操作系统在收到指令后，根据具体的指令可实现平台的备份与恢复。位于安全域的安全域操作系统收到备份指令时，将平台内存中的数据复制到特定的内存区域进行备份，并向平台的基于闪存的存储设备发出备份指令。当安全域的安全域操作系统收到恢复指令时，利用之前备份的内存数据恢复内存，并向平台的基于闪存的存储设备发出恢复指令。

技术领域

本发明涉及平台数据的备份与恢复，特别涉及针对恶意软件检测平台的内存数据的备份与恢复方法及系统。

背景技术

随着移动互联网的高速发展，Android系统的使用变得越来越广泛，而针对Android系统的各种恶意软件也越来越常见。这些恶意软件不仅可能会窃取用户的隐私，例如用户的定位信息、通话记录、短信内容等，还有可能盗取话费、网银密码等，使用户产生巨大的经济损失。因此，为了保护用户隐私和财产安全，我们需要及时发现和查杀这些恶意软件。而分析这些恶意软件是查杀它们的前提。

目前，常用恶意软件分析方法包括静态分析和动态分析。由于静态分析往往无法获取恶意软件的所有特征，所以目前主流的分析方法是动态分析。在动态分析中，人们让恶意软件在沙箱和虚拟机中执行，并通过相应的组件来观测恶意软件的行为特征，从而分析其原理并找到相应的防御方法。

但并不是所有的恶意软件都可以在沙箱和虚拟环境中分析的。越来越多的恶意软件在展开攻击前都会对自己所处的环境进行检查，如果恶意软件发现自己处于虚拟环境中，则会拒绝执行恶意代码，以防止自己的行为特征暴露。为此，研究者开始在真实的Android平台上对恶意软件进行分析。

可当恶意软件分析结束后，Android恶意软件分析平台往往会被恶意软件严重的破坏。此时Android系统已被感染，处于异常状态，无法进行正常的工作。我们需要对被感染的系统平台进行恢复，以供对下一个恶意软件进行分析。传统的恢复方法是对平台进行刷机，即重新安装Android操作系统。然而重装系统是一件费时费力的工作，期间还会伴随耗时的重启过程，这会极大的影响对下一个恶意软件的分析速度。而每耽误一分钟，就会有更多的用户受到恶意软件的攻击。为此，我们需要更快速的方法来恢复Android恶意软件分析平台，使恶意软件分析平台尽快的投入到下一次的分析中。

TrustZone技术是ARM公司提出的一种硬件级的安全运行解决方案。TrustZone将系统分为了TEE和REE两个区域，TEE常被称安全域，它是一个安全的运行环境，它有独立的运算、存储资源，与REE是隔离的。REE常称为用户域，其中运行着用户域操作系统，常见的有Android系统。用户域操作系统通常被认为是不安全的，即有可能感染恶意软件。对安全要求高的关键工作在被隔离的安全域中运行，而其它任务运行在用户域中。这些任务在不同的环境拥有不同的访问权限，安全域中的系统可以访问所有的系统资源，但在用户域中的系统只允许访问被指定的非安全的资源。当两个环境切换时，需要调用SMC指令，此时处理器陷入安全域中的监控模式。在这种模式下，处理器拥有最高权限，它可以访问操作所有系统资源。

通过对TrustZone中的TZASC(TrustZone Address Space Controller)寄存器进行配置，我们可以将物理内存拆分成几个具有不同安全级别的区域，从而限定用户域可以使用的内存范围。

用户域和安全域都有自己的虚拟MMU，两个环境都有自己的一份TTBR0、TTBR1、TTBCR寄存器，也就是有两个MMU表。两个环境通过自己的MMU表访问与自己相关的内存。两个环境的TLB是共享的，但安全域的TLB项会被打上相应的标签，所以实际上TLB在逻辑上被划分了两个不同的部分，不同环境各自管理各自的TLB项。当两个环境切换时，页表和TLB都不需要进行刷新，当前处于哪个环境，则使用哪个环境相应的TTBR寄存器，从而找到其所对应的页表，实现对相关内存的访问控制。