[go: up one dir, main page]

TWI420300B - 用於防毒加速之方法、裝置及電腦程式產品 - Google Patents

用於防毒加速之方法、裝置及電腦程式產品 Download PDF

Info

Publication number
TWI420300B
TWI420300B TW094119349A TW94119349A TWI420300B TW I420300 B TWI420300 B TW I420300B TW 094119349 A TW094119349 A TW 094119349A TW 94119349 A TW94119349 A TW 94119349A TW I420300 B TWI420300 B TW I420300B
Authority
TW
Taiwan
Prior art keywords
area
read
files
code
trusted
Prior art date
Application number
TW094119349A
Other languages
English (en)
Other versions
TW200609723A (en
Inventor
David Carroll Challener
John Peter Karidis
Original Assignee
Ibm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ibm filed Critical Ibm
Publication of TW200609723A publication Critical patent/TW200609723A/zh
Application granted granted Critical
Publication of TWI420300B publication Critical patent/TWI420300B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

用於防毒加速之方法、裝置及電腦程式產品
本發明係關於能够加速對不良或惡意程式碼進行掃描的方法、程式產品、電腦系統及其他資訊處理系統,且更特定言之,本發明係關於信賴地追踪自上次病毒掃描後哪些檔案或儲存位置已改變且允許藉由僅掃描彼等已改變之檔案或未改變但未掃描新病毒之檔案來加速病毒掃描的電腦系統。
早期電腦為"孤立"的,不能够與其他電腦通訊,而如今大部分電腦為了若干目的能够與其他電腦通訊,包括分享資料、收發電子郵件、下載程式、協調操作(coordinate operation)等。此通訊係藉由登錄區域網路(LAN)或廣域網路(WAN)來達成。此擴展之視野具有明顯之益處,但其係以增加暴露於尤其來自病毒之危害下為代價換得。
病毒為程式碼,其類似於其生物對應物,通常感染其他一塊健康程式碼或資料。病毒導致不良事件,例如導致受感染之電腦無法有效工作或完全崩潰。許多病毒之另一隱伏特徵在於傳播至網路上其他電腦的能力。
至少可找到四種主要病毒種類,包括:檔案型病毒、系統(或啟動記錄(boot-record))病毒、蠕蟲及微病毒。檔案型病毒將其自身附著至一程式檔案。當下載該程式時,病毒亦被下載,其允許病毒執行其破壞。系統病毒感染操作系統之註册表或,諸如硬碟中之主啟動記錄之特定硬體。主啟動記錄感染通常將使得硬碟在隨後之重新啟動中無法運作,使得不可能啟動電腦。蠕蟲病毒消耗記憶體或網路頻寬,因此導致電腦不作出響應。微病毒為最普通病毒之一,且感染文書處理程式。
另一普通類型病毒之目標為瀏覽器及電子郵件。該病毒導致一阻斷服務(DoS)攻擊。一DoS病毒使得網站不能接受訪問者。一般而言,該等攻擊導致網站之緩衝器溢位,其為數百萬受感染之電腦被迫(無意地)命中(hit)該網站之結果。
為了抗衡病毒,編寫了抗病毒程式,且一直對該等程式進行更新以有效地抵抗病毒。該等防毒程式或者在物理媒體(例如CD-ROM)上傳遞或自諸如網際網路之網路下載。防毒程式將電腦系統之各個儲存設備上的資料與包括所有已知病毒類型之所有已知病毒簽名的病毒定義檔案相比較。此過程被稱為"掃描"。更新資訊通常亦被下載以提供該等更新之快速佈署。
然而,完成病毒掃描所需之時間變得日益不可接受且成為問題。有助於不可接受之掃描時間的兩個因素為被掃描之資料量及包含辨識符之病毒定義檔案的大小。此等兩因素似乎均無限制地增長。對於桌上型系統,具有接近1太拉位元組(terabyte)之磁碟容量將變得普通。創造病毒之駭客似乎具有增強之動機如此做及以一直增加之速率如此做。同時,由於掃描過程所需之時間與磁碟存取速度更為相關,因此隨增加之處理器速度,掃描硬碟所花費的時間未顯著增加。隨著時間的過去,由增加之掃描時間所導致的問題將變得更加尖銳且更加顯著。可預見,在不遠的將來每日病毒掃描將不可能,僅係因為由於該等因素,病毒掃描將最終需要超過24小時完成。此外,在掃描過程發生之時期中可使得工作站不能用。因此影響了生產力且最終成本分析將顯示為了矯正此問題,額外之系統成本為合理的。
背景之另一區域必然伴有虛擬機及虛擬機監視器,其出於同時在一共用硬體平臺上運作為不同操作系統編寫之應用程序之需要而產生或為完全利用可用之硬體資源而產生。自20世紀60年代後期,虛擬機監視器為研究主題且通稱為"虛擬機監視器"(VMM)。建議普通熟悉此項技術者參考例如R.P.Goldberg之"Survey of Virtual Machine Research",IEEE Computer,第7卷,第6號,1974年。作為另一實例,在20世紀70年代期間,國際商業機器公司(International Business Machines Corporation)采用虛擬監視器以用於其VM/370系統中。
虛擬機監視器有時在文獻中被稱為"超級監督器",其為直接在硬體之頂部運作且虛擬化機器之所有硬體資源的一薄片軟體。由於虛擬機監視器之介面與機器之硬體介面相同,因此操作系統無法判定VMM之存在。結果,當硬體介面可與潜在硬體為一對一兼容時,相同之操作系統可在虛擬機監視器之上或在原始硬體之上運作。接著可能運作操作系統之多個實體或若僅需要系統資源之一較小子集,則僅運作操作系統核心之實體。各個實體被稱為虛擬機。操作系統可在整個虛擬機上複製或可為各個虛擬機使用明顯不同的操作系統。在任何狀況下,虛擬機為完全自治的且取决於虛擬機監視器來存取諸如硬體中斷之硬體資源。
因此,所需的為允許加速之掃描時間而不危及保全之裝置、程式產品及方法。另外,所需的為一種提供一平臺之裝置,經由該平臺可達成該等減少之掃描時間。另外,所需的為利用由該裝置所提供之保全平臺而以更有效及保全之方式執行掃描的程式產品及方法。
如將所見,所揭示之實施例滿足以上之需要且實現額外之目標。簡言之,本發明提供能够信賴地追踪自上次病毒掃描後儲存設備之哪些檔案或儲存區域已改變之方法、程式產品及系統。另外,提供一保全區域以用於儲存關於先前掃描之可信變量。接著使用可信資訊來藉由減少掃描檔案的數目,及或藉由減少用於掃描之不良程式碼辨識符的數目加速對不良程式碼或資料的掃描。
已發現,根據本發明之一態樣經由一系統解法了上述難題,該系統包括:一處理器及一用於儲存由該處理器在第一操作系統下執行之程式碼的主記憶體;一具有一保全記憶體之保全系統,該保全記憶體不可由在該第一操作系統下執行之程式碼存取;及一再分為一第一區域及一讀寫區域之儲存設備。該第一區域可在保全系統之控制下於一正常唯讀狀態與一可寫入狀態之間保全地配置。該保全系統在該保全記憶體中維持至少一可信變量。該可信變量辨識儲存設備上之上次對惡意程式碼掃描的發生且藉由參考該可信變量及報告一相關結果而回應對於與上次掃描相關之狀態的請求。另外,保全系統回應於所提供之將第一區域配置為可寫入狀態之請求而自保全記憶體調用一驗證程序。
根據解法上述難題之本發明的一態樣,提供一種方法,其包括查詢一保全子系統以信賴地判定自上次掃描後一儲存設備之一區域是否已被寫入。該保全子系統包括一不可由自一操作系統執行之程式碼存取之記憶體。該判定經由該保全子系統參考該不可存取之記憶體而有助於信賴。該方法進一步包括掃描該區域之一不良程式碼辨識符,以回應來自該查詢之自上次掃描後該區域已被寫入的一可信判定。
根據本發明之一態樣,提供一種方法,其包括查詢一保全子系統以信賴地判定自上次掃描後一儲存設備之一區域是否已被寫入。該保全子系統包括一不可由自一操作系統執行之程式碼存取之記憶體。該判定經由該保全子系統參考該不可存取之記憶體而有助於信賴。該方法進一步包括判定一先前不良程式碼辨識符是否包括於上次掃描中且繞過該區域之對該先前不良程式碼辨識符的掃描以回應(1)來自查詢之自上次掃描後區域未被寫入之判定及回應(2)先前之辨識符包括於上次掃描中之判定。
根據本發明之一態樣,提供一種方法,其包括查詢一保全子系統以信賴地判定自上次掃描後一儲存設備之一區域是否已被寫入。該保全子系統包括一不可由自操作系統執行之程式碼存取之記憶體。該判定經由該保全子系統參考該不可存取之記憶體而有助於信賴。該方法進一步包括掃描該第一區域之已知不良程式碼辨識符,以回應來自該查詢之自上次掃描後該第一區域已被寫入的一可信判定,判定一先前不良程式碼辨識符是否包括於該上次掃描中,且繞過該第一區域對於該先前不良程式碼辨識符之掃描以回應(1)一來自該查詢之自上次掃描後該第一區域未被寫入之判定及回應(2)該先前辨識符包括於上次掃描中之判定。
在本發明之一態樣中,提供一種方法,其包括掃描一儲存設備之一讀寫區域中之檔案的惡意程式碼。該儲存設備被再分為一第一區域及一讀寫區域。該第一區域可在一正常唯讀狀態與一可寫入狀態之間保全地配置。該等區域之配置係在一具有一不可由在一操作系統下執行之程式碼存取之保全記憶體的保全系統的控制下。該方法進一步包括在成功掃描未發現惡意程式碼之至少一檔案之後,啟動且驗證該保全系統之一第一保全措施以使該第一區域配置為該可寫入狀態,其中該驗證係於該保全記憶體之外部執行;將讀寫區域中成功掃描之檔案寫入第一區域;及在寫入成功掃描之檔案後將第一區域配置為唯讀狀態。
本發明之多種態樣可提供為一種電腦程式產品,該產品可包括一具有儲存於其中之指令的機器可讀取媒體,該等指令可用於程式化一電腦(或其他電子設備)以執行根據本發明之任一實施例的處理序。
雖然將在下文中參看附加之圖式更詳細地描述本發明,圖式中展示本發明之較佳實施例,但應瞭解,在本[發明說明]之開端之後,接著熟習此項技術者可修改此處所描述之本發明且仍獲得本發明之有利結果。相應地,以下之描述將被理解為針對熟習此項技術者之廣泛且有教示作用之揭示內容,且其不應被理解為限制本發明。
現在更詳盡地參看附加之圖式,其中在若干圖式中相同之數字指示相同元件或步驟,將描述本發明之一較佳實施例。在整個此說明書中涉及"一實施例"或類似語言意指結合實施例描述之特定特徵、結構或特點被包括於本發明之至少一實施例中。因此在整個此說明書中出現"在一實施例中"之短語及類似語言可(但無需)皆指示相同實施例。
圖1為根據本發明之一較佳實施例之電腦系統的方塊圖,其幷入能够加速對包括諸如病毒之惡意程式碼之不良程式碼進行掃描的資源。圖1中所描述之說明性實施例可為諸如ThinkCentre或ThinkPad系列個人電腦之一的桌上型電腦系統,或可為諸如Intellistation(由紐約,International Business Machines(IBM)Corporation of Armonk出售)之工作站電腦;然而,如自以下之描述中將顯而易見,本發明可應用於增加任何資料處理系統中病毒掃描及其類似物之效率及安全性。
如圖1中所展示,電腦系統100包括至少一系統處理器42,其經由一處理器匯流排44耦接至一唯讀記憶體(ROM)40及一系統記憶體46。可包含由IBM公司製造之處理器的PowerPCT M 綫之一的系統處理器42在通電時為執行儲存於ROM 40中之啟動程式碼41之通用處理器且其後在操作系統及儲存於系統記憶體46中之應用軟體之控制下處理資料。系統處理器42經由處理器匯流排44及主機橋接器48耦接至周邊元件互連(PCI)局部匯流排50。
PCI局部匯流排50支援許多設備之附著,包括配接器及橋接器。在此等設備之中為提供電腦系統100與LAN 10之間之介面的網路配接器66,及提供電腦系統100與顯示器69之間之介面的圖形配接器68。PCI局部匯流排50上之通訊係由局部PCI控制器52控制,該局部PCI控制器52依次經由記憶體匯流排54耦接至非揮發性隨機存取記憶體(NVRAM)56。局部PCI控制器52可經由一第二主機橋接器60耦接至額外之匯流排及設備。EIDE磁碟控制器72控制經由包括處理器42之任何其他系統元件對磁碟驅動器200進行往返存取及訪問。
電腦系統100進一步包括工業標準架構(ISA)匯流排62,其經由ISA橋接器64耦接至PCI局部匯流排50。耦接至ISA匯流排62的為一輸入/輸出(I/O)控制器70,其控制電腦系統100與諸如鍵盤及滑鼠之附著之周邊設備之間的通訊。另外,I/O控制器70支援電腦系統100經由串列埠與幷列埠之外部通訊。
一般而言,普通熟習此項技術者具有操作系統及檔案系統之應用知識。關於FAT檔案系統,以引用的方式將Advanced MS-DOS第八章:The Microsoft guide for Assembly Language and C programmers,Ray Duncan著,ISBN 0-914845-77-2,1986幷入本文中,其描述了FAT檔案系統之結構。雖然將FAT檔案系統用於較佳實施例中,但可使用其他檔案系統而不脫離本發明之精神及範疇。
如本文所使用,叢集為操作系統之檔案系統驅動器用於在磁碟驅動器200上存取資料的邏輯單元。各個邏輯叢集包含許多通常彼此鄰接之物理扇區。假設各個FAT分區包含一檔案目錄、兩份檔案配置表複本及一資料區域。檔案目錄包括各個檔案的名稱及其包括起動叢集、相關日期等之屬性。檔案配置表包含一包含各個檔案之叢集的鏈接串列。
自系統記憶體46外部運作之操作系統直接將電腦檔案儲存在一預先配置之叢集中,或當檔案太大而無法放入一單個叢集中時,可藉由將檔案劃分為斷片且將彼等斷片儲存於硬碟200上之獨立的叢集中來儲存電腦檔案。FAT檔案系統允許操作系統保持對檔案之各個斷片之位置及序列的追踪,且亦允許操作系統辨識哪些叢集未被指派且可用於新檔案。當電腦100訪問檔案時,FAT檔案系統用作將檔案之各個斷片再組合為一單元之參考,該單元係由檔案系統驅動器組合。
對於大部分使用者,已發現,儲存於電腦系統中之絕大部分資料隨著時間的過去仍未改變。對於不良或惡意程式碼之掃描,例如病毒掃描通常每週執行一次。該等掃描參考頻繁更新之病毒定義檔案執行。然而,隨著時間的過去,病毒定義檔案本身包含大部分未改變之病毒辨識符,例如病毒簽名、程式碼斷片、資料斷片、散列等。因此,如已發現之,絕大部分掃描活動屬於對照未改變之資料掃描未改變之辨識符。本發明之多種態樣及實施例旨在藉由提供一平臺減少電腦系統掃描諸如病毒之不良程式碼所需的時間量,藉由該平臺,掃描應用可保全地判定自上次成功掃描後哪些資料為未改變的(該等資料通常為大部分資料),且繞過未改變之辨識符(大部分辨識符)的掃描。
圖2為磁碟驅動器200之簡化的示意性側面正視圖,根據本發明之一較佳實施例,磁碟驅動器200具有受保護區域202、讀/寫區域204及用以提供對資料參考的保全追踪及保全資料保護的整合驅動電子201。在其他實施例中將展示,磁碟驅動器200為習知磁碟驅動器且在系統中之別處提供保全追踪及保全資料保護特徵。然而,在圖2中所展示之較佳實施例中,由於積累於電腦系統中之大部分資料相對於上次病毒掃描係未改變的,因此保留大部分個別磁碟或底板202用於已成功掃描惡意程式碼之未改變之資料。保留磁碟驅動器、底板204之個別磁碟用於自上次成功掃描後已被寫入之資料。驅動器200之內部,整合驅動電子201維持對底板204上新近寫入檔案之快取且在正常操作期間將受保護之底板202保持於一唯讀存取模式中。驅動器200之外部,整合驅動電子201對檔案系統驅動器呈現習知介面,其中整個磁碟驅動器顯現為可寫入的。此配置提供一平臺,其中(1)在操作系統外部執行之惡意程式碼不能改變受保護資料區域202且(2)可信賴檔案之日期及屬性資料。隨著描述接著進行將提供進一步之實施細節。
此處未描述之用於磁碟驅動器200之實施細節被認為係習知的。在極大程度上,盡可能省略涉及硬碟驅動器之構造之細節,此係因為該等細節對於獲得對本發明之完全理解並非為必需的。
圖3為用於本發明之較佳實施例中之磁碟驅動器200的整合驅動電子201且包括整合驅動電子周邊之其他硬體的擴大的方塊圖。硬碟200之整合驅動電子201經由連接器307及306藉由電纜308耦接至系統100。連接器306與硬碟驅動器200為一體化而連接器307形成電纜308之一部分。介面304處理低位準附著介面且建構為標準晶片,其符合ATA標準且一般可在用於與諸如磁碟控制器72之EIDE控制器建立介面之硬碟驅動器上找到。儘管IDE驅動器用於較佳實施例中,但可使用SCSI驅動器及其他儲存設備而不脫離本發明之範疇。控制器301處理本實施例之保全及保護特徵且如本文所描述及如將參看流程圖所描述執行功能。控制器301可建構為諸如H8之微控制器且耦接至一保全記憶體302。保全記憶體302僅可由控制器301定址,且因此在系統記憶體46外部於系統處理器42所執行之操作系統下運作之病毒不能存取保全記憶體302。藉由I/O命令,控制器301將病毒掃描特定變量儲存在保全記憶體302之非揮發性部分中。另外,控制器301於保全記憶體302外部執行驗證程式碼以對請求使用較佳實施例之保全及保護特徵的防毒掃描軟體應用提供驗證服務。除了非揮發性部分以外,保全記憶體302包含隨機存取部分,自該等隨機存取部分以高於非揮發性部分中之速率執行驗證程式碼,且用於儲存臨時變量及其類似物。舉例而言,如將在流程圖之描述中參考,控制器301要求驗證以將受保護區域202自唯讀存取模式改變為讀/寫存取模式。
在一實施例中,由控制器301及保全記憶體302實施數位簽名方案以用於驗證諸如彼等示於流程圖中之預定保全操作及服務。保全操作或服務由諸如病毒掃描器之應用程式所請求。假設應用程式具有一私鑰及一公鑰且假設控制器301對應用程式之公鑰資訊為機密。根據此方案,應用程式自控制器301請求一要求驗證之保全服務。作為回應,控制器301產生一次有效(單次使用)之隨機數字N1,且將N1傳送至應用程式。作為回應,應用程序藉由利用散列資訊驗證碼(HMAC)功能來數位地簽名(sign)N1以組合N1與應用程式之私鑰以產生一相對應之一次有效之密碼P1。SHA-1被用作保全散列方法且目前被認為對字典攻擊免疫。應用程式接著將P1傳送至控制器301。作為回應,控制器301對給出預定知識且符合SHA-1 HMAC及應用程式之公鑰的P1解密以驗證密碼P1之真實性。若經證實,則允許應用程式存取所請求之保全資源。
可使用其他驗證技術。在一實施例中,可使用硬體協助數位簽名技術。公鑰將為磁碟驅動器200上(在其他實施例中描述之其他位置中)之控制器301所知,且私鑰保持某些位置保全,例如在TCG TPM或智能卡中。對於對TPM特定細節感興趣之讀者,可在www.trustedcomputinggroup.org 之網際網路上找到TCG TPM規格1.2版本。接著可經由保全路徑或諸如視網膜眼掃描(retinal eye scan)或指紋辨識子系統之生物測定驗證TPM或智能卡,因此產生所要之驗證。
類似地,對於圖13中所展示之虛擬機監視器實施例,其中控制器301之功能嵌入於虛擬機監視器中,藉由使得虛擬機監視器控制鍵盤及螢幕(圖13中未示)且直接在允許密碼驗證之應用程式上運作或提供一其上可運作應用程式之保全虛擬機可完成驗證。再次地,此密碼將可能不再直接傳遞至硬體控制器,而是與一隨機數字一同使用以提供防字典攻擊之額外保護。
在一實施例中,自驗證媒體至提供驗證核對之硬體的直接路徑可提供保全之"可信路徑",其中進入一直接密碼,對病毒免疫。在此實施例中,可使用簡單如按鈕之某物代替密碼,因為病毒將無法以實體方式"按"按鈕。
在一實施例中,當需要簡化時,可使用一簡單之密碼且將起作用。然而,簡單如直接密碼之方案可被特定設計之病毒或正好監聽該驗證之特洛伊(Trojan)的衝擊。然而,直接密碼確實提供最小水平之保全且可於病毒掃描之後立即執行以最小化風險。
經由訪問惡意程式碼無法到達之保全記憶體302,或經由訪問呈執行驗證程式碼狀態之保全記憶體,或經由訪問儲存於保全記憶體302中之諸如時間戳標、檔案或叢集屬性及其類似物之儲存變量,平臺有助於信賴。
在一替代性實施例中,當一保全記憶體不可用時,諸如時間戳標及其類似物之可信變量以加密形式儲存於一未保全記憶體(未圖示)中。儘管此方法可能不如使用真正不能存取之記憶體保全,但其提供最小水平的功能性。依賴於可信變量的掃描程式能够存取此實施例之未保全記憶體及獲得可信變量且使用標準解密技術判定其可靠性。至密碼術提供保全之程度,變量之內容對惡意程式碼為不可用的。在惡意程式碼踐踏儲存於此實施例之未保全記憶體中之可信變量的情況中,標準解密技術允許偵測該踐踏。若掃描程式在解密可信變量時偵測到惡意行為,則繞過此處所描述之加速技術且對儲存於磁碟驅動器上之所有檔案執行對惡意程式碼之掃描。
現回到圖3中所展示之實施例的描述,控制器301以等同於ATA介面304在不存在控制器301之狀況下將采用的方式與低位準電路305建立介面。低位準電路305控制低位準磁碟驅動器功能,包括主軸馬達起動及轉動速度、致動器移動、誤差校正及至受保護底板202及讀/寫底板204之包括磁頭電流的讀取及寫入電流,及位元解碼協議。
在一實施例中,保全記憶體302之非揮發性部分或子部分可建構為受保護扇區或在其自身硬驅動器上追踪。
圖4為根據本發明之一實施例的具有受保護區域及讀寫區域之替代性布局之單個磁碟驅動器轉盤的平面圖。在圖4中所展示之實施例中,並非將受保護及讀/寫區域作為獨立的底板劃分,該等單個磁碟之任一或所有磁碟之表面可被劃分為受保護區域402及讀/寫區域404。自上次成功掃描後已被寫入之檔案被快取至外部讀/取磁道404。在上次掃描中成功掃描之檔案被維持於內部受保護磁道402中。
圖5為根據本發明之一實施例的具有受保護區域及讀/寫區域之替代性布局之單個磁碟驅動器轉盤的平面圖。在圖5中所展示之實施例中,幷非將受保護及續/寫區域作為獨立的底板或獨立的磁道劃分,藉由將一表維持在保全記憶體302中可由控制器301邏輯地追踪(說明)受保護區域502及讀寫區域504。因此,受保護區域與讀/寫區域之間的劃分不需要為物理上的或如在其他實施例中般彼此鄰接。由控制器301追踪之區域可為叢集(邏輯的)或扇區(物理的)或叢集之組或扇區之組或甚至單個磁道。然而,追踪叢集為最方便的,因為磁碟上之目錄被維持為叢集且用於追踪區域之表的非揮發性部分(其將正常地建構於保全記憶體302中)可包括於其自身硬碟上之目錄中。在其他實施例中以類似之方式,經由參考維持於保全記憶體302中之不能被在主處理器42之控制下由操作系統執行之病毒存取的表,對於哪些檔案已改變之判定有助於信賴。
實際上,控制器301與保全記憶體302形成一保全子系統平臺,經由該平臺防毒掃描應用程式能够信賴地判定防毒參數以改良防毒掃描之效率。由於防毒程式在檔案而非叢集之水平上起作用,且由於操作系統之檔案系統驅動器寫入叢集而非檔案本身,因此控制器301將叢集與自上次成功掃描後已寫入之叢集的檔案名稱相關聯。此藉由參考硬碟分區上之用於經由檔案系統驅動器寫入之各個叢集的目錄及檔案配置表完成以獲得在進級讀/寫區域204中快取之檔案的相對應的檔案名稱。如將進一步詳細描述,一旦儲存於讀/寫區域204中之彼等檔案已被成功掃描了惡意程式碼,則該等檔案可最終被移至或轉換為受保護區域之一部分。
在一實施例中,作為快取之替代,整個磁碟可仍在讀/寫模式中。在此實施例中,控制器301及保全記憶體302起作用以藉由將寫入叢集之列表維持在保全記憶體302中保全地追踪自上次病毒掃描後硬碟之哪些區域已改變。如以上所描述,自上次病毒掃描後已改變之檔案列表接著可自目錄中導出以用於防毒軟體。相對於具有受保護區域之快取實施例,此實施例提供降低水平之保全。
圖6為在讀/寫區域中快取資料同時在未發生對受保護區域之修改的正常模式中操作之邏輯的流程圖。圖6中所展示之邏輯建構於圖3中之控制器301中。當自操作系統之檔案系統驅動器接收到一硬碟驅動器參考時,快取過程開始602。作出第一查詢以判定604參考為寫入參考或讀取參考。若作出判定604參考為寫入參考,則資料被寫入606至讀/寫區域204。若604參考為一讀取參考,則作出第二判定608資料是否存在於讀/寫區域204中。若判定608資料存在於讀/寫區域中,則資料自讀/寫區域204中讀取610。或者,若判定608資料未存在於讀/寫區域204中,則自受保護區域202中讀取資料。
圖7為描述根據本發明之一實施例的掃描自上次病毒掃描後,已被寫入之所有檔案之邏輯的流程圖。在圖7中之虛綫的右邊所展示的處理序係由防毒軟體在掃描讀/寫區域204中之檔案之過程期間執行。展示於虛綫的左邊的處理序係由硬碟驅動器200之整合驅動電子201的控制器301回應於防毒軟體應用程式所采取之措施而執行。相同之習俗應用於圖8及圖9,即,應用程式對右邊起作用且控制器301在左邊回應。防毒軟體首先請求701自上次病毒掃描後寫入之檔案目錄。作為回應,控制器301傳遞702讀/寫區域204中之檔案目錄。接著防毒軟體對照所有已知病毒辨識符對各個檔案掃描704病毒。惡意程式碼之辨識符或簽名正常采取散列之形式但可采取包括程式碼斷片、資料斷片及用於掃描操作系統之註册表的註册表條目之其他形式。若在讀/寫區域204中發現病毒,則接著采取校正措施706。在成功完成病毒掃描後,接著防毒軟體保全地錄入707讀/寫區域204中之檔案最新成功病毒掃描完成日期。由於請求保全地錄入最新成功病毒掃描完成日期涉及寫入保全記憶體302,因此控制器301最初使用驗證程序708回應該請求。驗證程序708可為本文先前所描述之任何驗證程序。若驗證708為成功的,則控制器301將一時間戳標寫入709用於讀/寫區域204之保全記憶體302中。此時間戳標表示上次成功完成病毒掃描之時間且後來用於最小化隨後掃描上之進一步的掃描。接下來,防毒軟體請求710成功掃描之檔案的快取區清除(cache flush)。回應於請求710,控制器301執行驗證712常用程式。若驗證712為成功的,則受保護區域202之存取模式改變713為續/寫模式且來自讀/寫區域204之檔案被移動714至受保護區域。作為移動處理序之一部分,在成功地將掃描檔案寫入至受保護區域202後,自續/寫區域204中删除該等成功掃描之檔案。接著受保護區域202之存取模式改變715至唯讀存取模式且返回給防毒軟體一確認。因此對照少數檔案(僅彼等自上次掃描後改變之檔案)掃描大量的辨識符、所有辨識符。
圖8為描述根據本發明之一實施例的用於掃描受保護區域中之未改變檔案之邏輯的流程圖。防毒軟體最初請求802自上次病毒掃描後未被寫入之檔案目錄。作為回應,控制器301返回804受保護區域202中之檔案目錄。無需對照包括於先前掃描中之辨識符掃描彼等檔案。因此,防毒軟體僅對照未包括於先前掃描中之新近引入的辨識符掃描806受保護區域202中之所有檔案。此等新辨識符通常每週一次自網際網路下載且表示病毒定義檔案中之一組辨識符中的少數。若需要校正措施808,舉例而言,如若發現病毒,則需要相對於受保護區域202上之資料發生校正措施808,該受保護區域202在正常操作模式下被設定為唯讀模式。因此,為采取校正措施808,將受保護區域202改變為可寫入模式係必需的。因此,若需要校正措施808,則防毒軟體驗證812存取模式改變操作且若驗證812成功,則受保護區域202改變813為讀/寫模式。接著控制器301允許814在受保護區域202中采取校正措施808。隨校正措施後,控制器301將受保護區域202之存取模式改變815回唯讀存取模式。一旦病毒掃描完成且為成功的,則防毒軟體接著藉由向保全子系統請求錄入來保全地錄入818受保護區域202之新近成功完成日期。在接收該請求後,控制器301調用驗證819常用程式且若成功,則將成功掃描完成時間戳標寫入820用於受保護區域202之保全記憶體302中。此時間戳標即為在判定自上次掃描日期後哪些辨識符已被新近引入之掃描806期間所參考之時間戳標。此判定可被信賴,因為時間戳標係儲存於保全記憶體302中,該保全記憶體302僅可由控制器301存取且其不能被在操作系統下由系統處理器42所執行之惡意程式碼存取。在時間戳標被成功地寫入保全記憶體302中後,將一確認發送至防毒軟體。因此,僅對照係駐於受保護區域202中之未改變檔案的大部分檔案掃描自上次掃描(由時間戳標驗證)後已新近下載之彼等辨識符。
圖9為描述根據本發明之一實施例的用於掃描受保護區域中之未改變檔案的子集之邏輯的流程圖。此實施例類似於圖8之實施例且當新辨識符被下載時允許掃描少於受保護區域中之所有檔案的檔案。此係藉由辨識906受保護區域202中之哪些檔案新於已知病毒已產生之日期來完成。因此,當自網際網路下載時,若可應用,則辨識符將包含該第一已知日期資訊(first-known-date information)。受保護區域202中之檔案的檔案日期可被信賴,因為在正常操作期間受保護區域被維持在一唯讀存取模式中,且僅可藉由經驗證之程序改變。接著防毒軟體可將病毒之第一已知日期與檔案之修改日期相比較且僅掃描彼等已在病毒之第一已知日期後創造或修改之檔案。
對於圖7、圖8及圖9之實施例,儘管自操作系統外部執行之程式碼確實能够對受保護區域202進行讀取存取,但其幷非與本文所描述之將受保護區域202看作保全子系統之一部分的發明概念不相符,因為受保護區域202正常地不進行寫入存取。此等區域僅在防毒掃描已完成後且防毒軟體已判定沒有已知病毒在系統中活躍地運作之後立即對寫入為可用的。因此,對於圖9中所給出之實例,可由防毒軟體直接讀取受保護區域202判定日期來執行檔案日期之辨識906。此等日期可被信賴,因為對受保護區域202之寫入存取正常地不給予自操作系統外部執行之程式碼。
圖10為根據本發明之一較佳實施例之時間戳標條目表1002,每一用於讀/寫及受保護區域之一,其中在於每一個別區域中成功運作病毒掃描之後,時間戳標被儲存於一保全記憶體302中。區域0對應於受保護區域202。區域1對應於讀/寫區域204。維持此等時間戳標使得防毒軟體可保全地判定哪些辨識符待用於每一個別區域中之掃描。請注意,儲存於讀/寫區域204中之檔案的檔案日期不可信賴。因此,對應於讀/寫區域204之時間戳標表示快取分級區(cached staging area)清理為受保護區域202的最後時間。如圖7中所展示,儲存於讀/寫區域204中之所有檔案係對照所有已知辨識符掃描。
圖11為根據本發明之一實施例的方塊圖,其中控制器及保全記憶體係位於磁碟控制器72中而非硬碟200本身中。因此,在此實施例中,磁碟驅動器200為完全習知構造。在此實施例中,由控制器1101邏輯地保持受保護區域202及讀/寫區域204。此實施例之控制器1101在關於保持區域202及204方面按照上述實施例中之控制器301起作用且回應於防毒軟體請求及查詢。另外,用於控制器1101之I/O介面及協議不同於上述控制器301,此係歸因於控制器1101之位置。保全記憶體1102不可為操作系統下執行之程式碼所存取且因此以類似於上述實施例中之保全記憶體302的方式有助於對圖11之實施例的信賴。
圖12為根據本發明之一實施例之方塊圖,其中一控制器1201及一保全記憶體1202係內建於IDE電纜308中。因此,保全子系統可位於整個系統上且不脫離本發明之精神。事實上,保全子系統之控制器及保全記憶體元件無需位於相同次總成(subassembly)上。
圖13為展示根據本發明之一實施例運作虛擬化軟體之電腦系統中之抽象層的系統虛擬化層圖式,其中采用虛擬機監視器建構保全記憶體及其他保護操作程式來替代硬體建構之控制器。根據此實施例,不要求特定硬體。在最低水平抽象階層上的為硬體層1300;此為電腦系統之實體硬體層。虛擬機監視器層1302為一中間層,其位於硬體層1300之頂部且藉由運作在電腦系統上之軟體攔截所有對系統記憶體46及磁碟控制器72的存取嘗試。根據所述任何實施例的控制器301的操作程式係作為虛擬機監視器本身之一部分在虛擬機監視器層1302內執行。如此,電腦系統有助於虛擬機監視器所提供之所有保全及隔離特徵。在最高水平抽象階層之上存在最終運作操作系統及軟體應用程式之虛擬機1304及1306。虛擬機係經配置以不知道其他虛擬機的存在。類似地,由虛擬機監視器1302虛擬化系統記憶體46以便配置一保全記憶體,該保全記憶體不可由自任何操作系統執行之程式碼直接存取;當系統通電時,此虛擬保全記憶體以類似於保全記憶體302之方式起作用。因此,舉例而言,於虛擬機(Virtual Machine)1 1304中之OS-1外部執行的病毒將無法篡改驗證程序或存取可信變量。當關閉機器電源時,必須藉由使用任何將加密資料保存且再儲存於一未保全非揮發性記憶體中之已知方法將保全變量、驗證程式碼及其類似物保全地儲存於任何非揮發性記憶體中。因此,本文所描述之發明性概念幷非限於硬體建構。
圖14為描述根據本發明之一實施例的用於掃描自上次病毒掃描後已被寫入之所有檔案之邏輯的流程圖,其中邏輯地而非實體地執行檔案自讀/寫區域至受保護區域的移動。最佳地連同圖5中所示之邏輯地配置之受保護及讀/寫區域實施此實施例。幷非在讀/寫區域中快取資料及將快取區清除為受保護區域,如需要,則此實施例保全地將受保護區域轉換為讀/寫區域且將讀/寫區域轉換為受保護區域。除以下所注明,圖14中所展示之處理序類似於圖7中所展示之處理序。防毒軟體首先請求自上次病毒掃描後寫入之檔案目錄。作為回應,控制器301傳遞1402已改變之檔案目錄。此將為圖5中所展示之讀/寫區域504中之檔案目錄。在此實施例中,防毒軟體無需具有檔案是否邏輯地或物理地自讀/寫區域移動至受保護區域之特定知識。請求1410可為快取區清除或為成功掃描之檔案的轉換。為回應請求1410,控制器301執行驗證常用程式。若驗證為成功的,則讀/寫區域504中之成功掃描之檔案被轉換1414或附加至邏輯受保護區域502。接著使確認返回至防毒軟體。兩個區域之間的磁碟空間的配置為動態的且因此不太可能任一區域將用盡空間。當將新檔案添加至受保護區域502時,其儲存位置被添加至定義"邏輯"受保護區域502之表。為了防止受保護區域502之無限增長,任何新近添加至受保護區域之檔案的先前複本(意即,當前駐於受保護區域中之複本)可自邏輯受保護區域删除且被添加至邏輯"讀寫"區域,且視情況標記為空或已擦除。藉由此處理序,類似圖7中所展示之處理序,僅對照為彼等自上次掃描後已改變之檔案的少數檔案掃描大量的辨識符、所有辨識符。
圖14中所展示之實施例可被建構為如參考圖13描述之虛擬機管理器。
其他實施例係可能的,其中對受保護區域之寫入或轉換係在使待掃描之區域首先進入唯讀狀態後發生。或者,待掃描之區域首先被移動至一唯讀分級區(read-only staging area),使得一旦被掃描,檔案將不會受到來自在掃描檔案時與其被寫入或轉換之間執行的病毒的攻擊。然而,此替代性實施例較其他所展現之實施例占據更多的磁碟空間。此等實施例亦被認為係在本發明之範疇內。
本發明之一實施例可被提供為一種電腦程式產品,其可包括一具有儲存於其上之指令的機器可讀取媒體,該等指令可用於程式化電腦(或其他電子設備)以執行根據本發明之任一實施例的處理序。機器可讀取媒體可包括(但不限於):軟碟、光碟、CD-ROM及磁光碟、ROM、RAM、EPROM、EEPROM、磁卡或光卡或其他適合於儲存電子指令之媒體/機器可讀取媒體。另外,本發明之實施例亦可作為電腦程式產品下載,其中程式藉由內嵌於載波或其他傳播媒體中之資料訊號經由通訊鏈路(例如,一數據機或網路連接)可自遠端電腦轉移至請求電腦。
本文所給出之步驟的順序僅出於例示性之目的,且不應被理解為相對於其他可能在實施本文所描述之發明性概念中使用不同步驟順序的其他實施例為限制性的。申請專利範圍中之任何步驟順序係出於改良清楚性之目的,且不意味應采取步驟的任何特定順序。
在圖式及說明書中已闡釋了本發明之較佳實施例且,儘管使用了特定術語,但所給出之描述在寬泛及描述意義上使用術語而幷非出於限制性目的。
40...唯讀記憶體(ROM)
41...啟動程式碼
42...系統處理器
44...處理器匯流排
46...系統記憶體
48...主機橋接器
50...周邊組件互連(PCI)局部匯流排
52...局部PCI控制器
54...記憶體匯流排
56...非揮發性隨機存取記憶體(NVRAM)
60...第二主機橋接器
62...工業標準架構(ISA)匯流排
64...ISA橋接器
66...網路配接器
68...圖形配接器
69...顯示器
70...輸入/輸出(I/O)控制器
72...EIDE磁碟控制器
100...電腦系統
200...磁碟驅動器
201...整合驅動電子
202...受保護區域
204...讀/寫區域
301...控制器
302...保全記憶體
304...ATA介面
305...低位準電路
306、307...連接器
308...電纜
402...受保護區域
404...讀/寫區域
502...受保護區域
504...讀/寫區域
1002...時間戳標條目表
1101...控制器
1102...保全記憶體
1201...控制器
1202...保全記憶體
1300...硬體層
1302...虛擬機監視器層
1304、1306...虛擬機
圖1為根據本發明之一較佳實施例之電腦系統的方塊圖,其幷入能够加速對惡意程式碼進行掃描之資源;圖2為磁碟驅動器之簡化的示意性側面正視圖,根據本發明之一較佳實施例,磁碟驅動器具有受保護區域、讀/寫區域及用以提供對資料參考的保全追踪及保全資料保護的整合驅動電子;圖3為用於本發明之較佳實施例中之磁碟驅動器的整合驅動電子且包括整合驅動電子周邊之其他硬體的擴大的方塊圖;圖4為根據本發明之一實施例的具有受保護區域及續/寫區域之替代性布局之單個磁碟驅動器轉盤的平面圖;圖5為根據本發明之一實施例的具有受保護區域及讀/寫區域之替代性布局之單個磁碟驅動器轉盤的平面圖;圖6為在讀/寫區域中快取資料同時在未發生對受保護區域之修改的正常模式中操作之邏輯的流程圖;圖7為描述根據本發明之一實施例的掃描自上次病毒掃描後,已被寫入之所有檔案之邏輯的流程圖;圖8為描述根據本發明之一實施例的用於掃描受保護區域中之未改變之檔案之邏輯的流程圖;圖9為描述根據本發明之一實施例的用於掃描受保護區域中之未改變之檔案的子集之邏輯的流程圖;圖10為根據本發明之一實施例之時間戳標條目表,每一用於讀/寫及受保護區域各一,其中在於每一個別區域中成功運作病毒掃描後,時間戳標被儲存於一保全記憶體中;圖11為根據本發明之一實施例的方塊圖,其中控制器及保全記憶體係位於磁碟控制器中;圖12為根據本發明之一實施例的方塊圖,其中控制器及保全記憶體係位於IDE電纜中;圖13為展示根據本發明之一實施例運作虛擬化軟體之電腦系統中之抽象層的系統虛擬化層圖式,其中采用虛擬機監視器建構保全記憶體及其他保護操作程式來替代硬體建構之控制器;及圖14為描述根據本發明之一實施例的用於掃描自上次病毒掃描後已被寫入之所有檔案之邏輯的流程圖,其中邏輯地而非實體地執行檔案自讀/寫區域至受保護區域的移動。
40...唯讀記憶體(ROM)
41...啟動程式碼
42...系統處理器
44...處理器匯流排
46...系統記憶體
48...主機橋接器
50...周邊組件互連(PCI)局部匯流排
52...局部PCI控制器
54...記憶體匯流排
56...非揮發性隨機存取記憶體(NVRAM)
60...第二主機橋接器
62...工業標準架構(ISA)匯流排
64...ISA橋接器
66...網路配接器
68...圖形配接器
69...顯示器
70...輸入/輸出(I/O)控制器
72...EIDE磁碟控制器
100...電腦系統
200...磁碟驅動器

Claims (36)

  1. 一種用於防毒加速之方法,其包含:在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:自一上次掃描後被寫入之檔案之一目錄;及自該上次掃描後未被寫入之檔案之一目錄;及藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中對照所有已知的非期望的程式碼之辨識符來掃描自該上次掃描後被寫入之多個檔案;及其中僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之多個檔案。
  2. 如請求項1之方法,其中該等可信變量進一步包含一可信掃描時間戳標;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
  3. 如請求項1之方法,其中自該上次掃描後被寫入之該等檔案駐於一儲存設備之一讀寫區域中;及其中自該上次掃描後未被寫入之該等檔案駐於一儲存設備之一第一區域中;及 其中回應於以下之一判定,在該第一區域中之該等檔案在一隨後掃描中被繞過:自一先前掃描後該第一區域未被寫入;及在該第一區域中之該等檔案已在一先前掃描中對照所有已知的非期望的程式碼之辨識符而經掃描;在該第一區域中被繞過之該等檔案造成一經繞過之區域。
  4. 如請求項3之方法,其進一步包含:自該保全子系統請求一可信掃描時間戳標,該可信掃描時間戳標係關於該上次掃描何時被執行,且由於該保全記憶體而被信賴;及對照與已知在一新辨識符日期上產生之惡意程式碼相關聯的一新近引入的辨識符掃描該經繞過之區域,其中該經繞過之區域的該掃描係回應於與該新辨識符日期相關之一新辨識符時間戳標早於該可信掃描時間戳標的一判定而發生;及其中不會針對包括於該上次掃描中之其他已知的惡意程式碼之辨識符而掃瞄該經繞過之區域。
  5. 如請求項3之方法,其中該第一區域可在一正常唯讀狀態與一可寫入狀態之間保全地配置,其中該配置係在該保全子系統的控制下。
  6. 如請求項5之方法,其進一步包含:在成功掃描該讀寫區域中之該等檔案之後,啟動且驗證該保全子系統之一第一保全措施以使該第一區域配置為該可寫入狀態,其中該驗證係於該保全記憶體之外部 執行;將該讀寫區域中成功掃描之該等檔案寫入該第一區域;及在該寫入成功掃描之檔案後將該第一區域配置為一唯讀狀態。
  7. 如請求項6之方法,其中對該第一保全措施之該驗證為選自由一密碼、一數位簽名及一生物測定組成之群的一驗證。
  8. 如請求項7之方法,其中該讀寫區域及該第一區域被邏輯地再分且位於一單一儲存設備上。
  9. 如請求項7之方法,其中該讀寫區域及該第一區域被實體地再分。
  10. 如請求項9之方法,其中經實體地再分之該等區域為該儲存設備上分別鄰接的區域。
  11. 如請求項6之方法,其中該第一保全措施之該驗證係在一虛擬機監視器之控制下執行。
  12. 如請求項1之方法,其中新近引入的非期望的程式碼之該等辨識符及所有已知的非期望的程式碼之該等辨識符包含多個惡意程式碼之辨識符。
  13. 如請求項12之方法,其中該等惡意程式碼之辨識符係選自由一簽名、一程式碼斷片、一資料斷片、一散列(hash)及一操作系統之一註册表中之一註册表條目所組成之組。
  14. 如請求項1之方法,其中該保全子系統係在硬體中建構使 得該保全記憶體額外地不可由執行該操作系統之一主處理器存取,其中該硬體在實體上位於選自由一儲存控制器及一儲存設備電纜組成之群的一位置處。
  15. 一種用於防毒加速之方法,其包含:在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:一可信掃描時間戳標;及藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之多個檔案;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
  16. 一種用於防毒加速之裝置,其包含:一處理器;及一主記憶體,其儲存在一操作系統下由該處理器執行之程式碼;一保全子系統,其具有不可由在該操作系統下由該處理器執行之該程式碼存取之一保全記憶體,該保全記憶體儲存關於非期望的程式碼之先前掃描之多個可信變 量,該等可信變量包含:自一上次掃描後被寫入之一儲存設備之檔案之一目錄;及自該上次掃描後未被寫入之該儲存設備之檔案之一目錄;其中該儲存設備係操作地耦接至該處理器及該保全子系統且其被再分為一第一區域及一讀寫區域,該第一區域在該保全子系統之控制下可於一正常唯讀狀態與一可寫入狀態之間保全地配置;其中該保全子系統經組態以藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低將被用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中自該上次掃描後被寫入之多個檔案被儲存於該讀寫區域中,藉此對照所有已知的非期望的程式碼之辨識符來掃描自該上次掃描後被寫入之該等檔案;及其中自該上次掃描後未被寫入之多個檔案被儲存於該第一區域中,藉此僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之該等檔案。
  17. 如請求項16之裝置,其中該保全子系統回應於一所提供之請求來調用一驗證程序以將該第一區域配置為該可寫入狀態,以在該讀寫區域中之該等檔案已對照所有已知的辨識符成功掃描後,自該讀寫區域寫入檔案至該第一 區域;及其中該驗證係於該保全記憶體之外部執行。
  18. 如請求項17之裝置,其中該保全子系統被建構為一虛擬機監視器。
  19. 如請求項17之裝置,其中該保全子系統在硬體中建構使得該保全子系統額外地不可由該處理器存取,而且其中該硬體在實體上位於選自由一儲存控制器及一儲存設備電纜組成之群的一位置處。
  20. 如請求項17之裝置,其中該第一區域及該讀寫區域被邏輯地再分且位於一單一儲存設備上。
  21. 如請求項17之裝置,其中該第一區域及該讀寫區域被實體地再分。
  22. 如請求項21之裝置,其中經實體地再分之該等區域為該儲存設備上分別鄰接的區域。
  23. 一種用於防毒加速之方法,其包含:將一儲存設備再分為一第一區域及一讀寫區域,該第一區域可保全地配置於一正常唯讀存取模式與一可寫入存取模式之間,其中該儲存設備回應於將該存取模式配置給該第一區域之一嘗試而施加一保全措施;藉由以下方式快取對該儲存設備之存取:若正被存取之資料在該讀寫區域中,則將讀取存取導向該讀寫區域;若正被存取之資料不在該讀寫區域中,則將讀取存取導向該第一區域; 將寫入存取導向該讀寫區域;在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:一可信掃描時間戳標;藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描,其中該加速進一步包含:對照所有已知的非期望的程式碼之辨識符掃瞄在該讀寫區域中之多個檔案;及僅對照新近引入的非期望的程式碼之多個辨識符掃瞄在該第一區域中之多個檔案,其中新近引入的非期望的程式碼之該等辨識符係相對於該可信掃描時間戳標而經判定;在成功掃描在該讀寫區域中之該等檔案後,在該儲存設備上啟動一第一保全措施以使該第一區域配置為該可寫入存取模式;將該讀取區域中成功掃描之檔案寫入該第一區域;及在該儲存設備上啟動一第二保全措施以使該第一區域配置為該唯讀存取模式。
  24. 一種用於防毒加速之方法,其包含:將一儲存設備再分為一第一區域及一讀寫區域,該第 一區域可保全地配置於一正常唯讀存取模式與一可寫入存取模式之間,其中該儲存設備回應於將該存取模式配置給該第一區域之一嘗試而施加一保全措施;藉由以下方式快取對該儲存設備之存取:若正被存取之資料在該讀寫區域中,則將讀取存取導向該讀寫區域;若正被存取之資料不在該讀寫區域中,則將讀取存取導向該第一區域;將寫入存取導向該讀寫區域;在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:在該讀寫區域中之檔案之一目錄;及在該第一區域中之檔案之一目錄;藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描,其中該加速進一步包含:對照所有已知的非期望的程式碼之辨識符掃瞄在該讀寫區域中之多個檔案;及僅對照新近引入的非期望的程式碼之多個辨識符掃瞄在該第一區域中之多個檔案;在成功掃描在該讀寫區域中之該等檔案後,在該儲存 設備上啟動一第一保全措施以使該第一區域配置為該可寫入存取模式;將該讀取區域中成功掃描之檔案寫入該第一區域;在該儲存設備上啟動一第二保全措施以使該第一區域配置為該唯讀存取模式;及自該讀寫區域中删除該等成功掃描之檔案。
  25. 如請求項24之方法,其中該等可信變量進一步包含一可信掃描時間戳標;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
  26. 一種用於防毒加速之電腦程式產品,其包含:一具有電腦可讀取程式碼儲存於其中之有形的電腦可用媒體,該電腦程式產品中之該電腦可讀取程式碼有效用於:將一儲存設備再分為一第一區域及一讀寫區域,該第一區域可保全地配置於一正常唯讀存取模式與一可寫入存取模式之間,其中該儲存設備回應於將該存取模式配置給該第一區域之一嘗試而施加一保全措施;藉由以下方式快取對該儲存設備之存取:若正被存取之資料在該讀寫區域中,則將讀取存取導向該讀寫區域;若正被存取之資料不在該讀寫區域中,則將讀取存取導向該第一區域; 將寫入存取導向該讀寫區域;在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:在該讀寫區域中之檔案之一目錄;及在該第一區域中之檔案之一目錄;藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描,其中該掃描係藉由以下步驟加速:對照所有已知的非期望的程式碼之辨識符掃瞄在該讀寫區域中之多個檔案;及僅對照新近引入的非期望的程式碼之多個辨識符掃瞄在該第一區域中之多個檔案;在成功掃描在該讀寫區域中之該等檔案後,在該儲存設備上啟動一第一保全措施以使該第一區域配置為該可寫入存取模式;將該讀取區域中成功掃描之檔案寫入該第一區域;在該儲存設備上啟動一第二保全措施以使該第一區域配置為該唯讀存取模式;及自該讀寫區域中删除該等成功掃描之檔案。
  27. 一種用於防毒加速之電腦程式產品,其包含:一具有電腦可讀取程式碼儲存於其中之有形的電腦可 用媒體,該電腦程式產品中之該電腦可讀取程式碼有效用於:在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該等可信變量包含:自一上次掃描後被寫入之檔案之一目錄;及自該上次掃描後未被寫入之檔案之一目錄;及藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中對照所有已知的非期望的程式碼之辨識符來掃描自該上次掃描後被寫入之多個檔案;及其中僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之多個檔案;其中該電腦可讀取程式碼無法直接存取該保全記憶體。
  28. 如請求項27之電腦程式產品,其中該等可信變量進一步包含一可信掃描時間戳標;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
  29. 如請求項27之電腦程式產品,其中自該上次掃描後被寫入之該等檔案儲存於一儲存設備之一讀寫區域中;及其中自該上次掃描後未被寫入之該等檔案駐於一儲存 設備之一第一區域中;及其中回應於以下之一判定,在該第一區域中之該等檔案在一隨後掃描中被繞過:自一先前掃描後該第一區域未被寫入;及在該第一區域中之該等檔案已在一先前掃描中對照所有已知的非期望的程式碼之辨識符而經掃描;在該第一區域中被繞過之該等檔案造成一經繞過之區域。
  30. 如請求項29之電腦程式產品,其中該第一區域可在一正常唯讀狀態與一可寫入狀態之間保全地配置,其中該配置係在該保全子系統的控制下。
  31. 如請求項30之電腦程式產品,其中該程式碼進一步有效用於:在成功掃描該讀寫區域中之該等檔案之後,啟動且驗證該保全子系統之一第一保全措施以使該第一區域配置為該可寫入狀態,其中該驗證係於該保全記憶體之外部執行;將該讀寫區域中成功掃描之該等檔案寫入該第一區域;及在寫入成功掃描之檔案後將該第一區域配置為一唯讀狀態。
  32. 如請求項31之電腦程式產品,其中對該第一保全措施之該驗證為選自由一密碼、一數位簽名及一生物測定組成之群的一驗證。
  33. 如請求項27之電腦程式產品,其中該程式碼進一步有效用於:自該保全子系統請求一可信掃描時間戳標,該可信掃描時間戳標係關於該上次掃描何時被執行,且由於該保全記憶體而被信賴;及對照與已知在一新辨識符日期上產生之惡意程式碼相關聯的一新近引入的辨識符掃描該經繞過之區域,其中該經繞過之區域的該掃描係回應於與該新辨識符日期相關之一新辨識符時間戳標早於該可信掃描時間戳標的一判定而發生;及其中不會針對包括於該經繞過之區域之該上次掃描中之其他已知的惡意程式碼之辨識符而掃瞄該經繞過之區域。
  34. 一種用於防毒加速之電腦程式產品,其包含:一具有電腦可讀取程式碼儲存於其中之有形的電腦可用媒體,該電腦程式產品中之該電腦可讀取程式碼有效用於:在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之多個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該等可信變量包含:一可信掃描時間戳標;及藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描; 其中僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之多個檔案;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
  35. 一種用於防毒加速之裝置,其包含:一處理器;及一主記憶體,其儲存在一操作系統下由該處理器執行之程式碼;一保全子系統,其具有不可由在該操作系統下由該處理器執行之該程式碼存取之一保全記憶體,該保全記憶體儲存關於非期望的程式碼之先前掃描之多個可信變量,該等可信變量包含:一可信掃描時間戳標;其中該儲存設備係操作地耦接至該處理器及該保全子系統且其被再分為一第一區域及一讀寫區域,該第一區域在該保全子系統之控制下可於一正常唯讀狀態與一可寫入狀態之間保全地配置;其中該保全子系統經組態以藉由利用該等可信變量以降低將被掃描之檔案之一數量及/或降低將被用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中自該上次掃描後被寫入之多個檔案被儲存於該讀寫區域中,藉此對照所有已知的非期望的程式碼之辨識 符來掃描自該上次掃描後被寫入之該等檔案;及其中自該上次掃描後未被寫入之多個檔案被儲存於該第一區域中,藉此僅對照藉由參考該等可信變量而經判定之新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之該等檔案。
  36. 一種用於防毒加速之方法,其包含:在一保全子系統之一保全記憶體中儲存關於非期望的程式碼之辨識符之先前掃描之至少一個可信變量,該保全記憶體不可由被一作業系統執行之程式碼存取,該至少一個可信變量包含:一可信掃描時間戳標;藉由利用該至少一個可信變量以降低將被掃描之檔案之一數量及/或降低用於掃描之非期望的程式碼之辨識符之一數量來加速對非期望的程式碼之辨識符之一掃描;其中僅對照新近引入的非期望的程式碼之多個辨識符來掃描自該上次掃描後未被寫入之多個檔案;及其中新近引入的非期望的程式碼之該等辨識符係相對於儲存於該保全記憶體中之該可信掃描時間戳標而經判定。
TW094119349A 2004-07-20 2005-06-10 用於防毒加速之方法、裝置及電腦程式產品 TWI420300B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/894,588 US7581253B2 (en) 2004-07-20 2004-07-20 Secure storage tracking for anti-virus speed-up

Publications (2)

Publication Number Publication Date
TW200609723A TW200609723A (en) 2006-03-16
TWI420300B true TWI420300B (zh) 2013-12-21

Family

ID=34979552

Family Applications (1)

Application Number Title Priority Date Filing Date
TW094119349A TWI420300B (zh) 2004-07-20 2005-06-10 用於防毒加速之方法、裝置及電腦程式產品

Country Status (7)

Country Link
US (1) US7581253B2 (zh)
JP (1) JP4627547B2 (zh)
CN (1) CN101002156B (zh)
DE (1) DE112005001739B4 (zh)
GB (1) GB2437562B (zh)
TW (1) TWI420300B (zh)
WO (1) WO2006008199A2 (zh)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7409719B2 (en) * 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
US7624443B2 (en) * 2004-12-21 2009-11-24 Microsoft Corporation Method and system for a self-heating device
US7581250B2 (en) * 2005-02-17 2009-08-25 Lenovo (Singapore) Pte Ltd System, computer program product and method of selecting sectors of a hard disk on which to perform a virus scan
US7743417B2 (en) * 2005-02-28 2010-06-22 Hitachi Global Storage Technologies Netherlands B.V. Data storage device with code scanning capability
US7660797B2 (en) * 2005-05-27 2010-02-09 Microsoft Corporation Scanning data in an access restricted file for malware
US7636946B2 (en) * 2005-08-31 2009-12-22 Microsoft Corporation Unwanted file modification and transactions
US7930749B2 (en) * 2006-05-11 2011-04-19 Eacceleration Corp. Accelerated data scanning
EP1870829B1 (en) 2006-06-23 2014-12-03 Microsoft Corporation Securing software by enforcing data flow integrity
US20080155264A1 (en) * 2006-12-20 2008-06-26 Ross Brown Anti-virus signature footprint
US8561204B1 (en) 2007-02-12 2013-10-15 Gregory William Dalcher System, method, and computer program product for utilizing code stored in a protected area of memory for securing an associated system
US8898355B2 (en) * 2007-03-29 2014-11-25 Lenovo (Singapore) Pte. Ltd. Diskless client using a hypervisor
US7941657B2 (en) * 2007-03-30 2011-05-10 Lenovo (Singapore) Pte. Ltd Multi-mode mobile computer with hypervisor affording diskless and local disk operating environments
US8533847B2 (en) * 2007-05-24 2013-09-10 Sandisk Il Ltd. Apparatus and method for screening new data without impacting download speed
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US8307443B2 (en) 2007-09-28 2012-11-06 Microsoft Corporation Securing anti-virus software with virtualization
JP5392494B2 (ja) * 2007-10-09 2014-01-22 日本電気株式会社 ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法
US20090094698A1 (en) * 2007-10-09 2009-04-09 Anthony Lynn Nichols Method and system for efficiently scanning a computer storage device for pestware
US8014976B2 (en) * 2007-10-24 2011-09-06 Microsoft Corporation Secure digital forensics
US8091115B2 (en) * 2008-10-03 2012-01-03 Microsoft Corporation Device-side inline pattern matching and policy enforcement
US20100115619A1 (en) * 2008-11-03 2010-05-06 Michael Burtscher Method and system for scanning a computer storage device for malware incorporating predictive prefetching of data
US8401521B2 (en) * 2008-11-25 2013-03-19 Broadcom Corporation Enabling remote and anonymous control of mobile and portable multimedia devices for security, tracking and recovery
US8205060B2 (en) * 2008-12-16 2012-06-19 Sandisk Il Ltd. Discardable files
US20100153474A1 (en) * 2008-12-16 2010-06-17 Sandisk Il Ltd. Discardable files
US8849856B2 (en) * 2008-12-16 2014-09-30 Sandisk Il Ltd. Discardable files
US9015209B2 (en) * 2008-12-16 2015-04-21 Sandisk Il Ltd. Download management of discardable files
US8375192B2 (en) * 2008-12-16 2013-02-12 Sandisk Il Ltd. Discardable files
US9104686B2 (en) 2008-12-16 2015-08-11 Sandisk Technologies Inc. System and method for host management of discardable objects
US9020993B2 (en) 2008-12-16 2015-04-28 Sandisk Il Ltd. Download management of discardable files
US20100235473A1 (en) * 2009-03-10 2010-09-16 Sandisk Il Ltd. System and method of embedding second content in first content
US20100235900A1 (en) * 2009-03-13 2010-09-16 Assa Abloy Ab Efficient two-factor authentication
US9032058B2 (en) * 2009-03-13 2015-05-12 Assa Abloy Ab Use of SNMP for management of small footprint devices
US7591019B1 (en) * 2009-04-01 2009-09-15 Kaspersky Lab, Zao Method and system for optimization of anti-virus scan
US8745743B2 (en) * 2009-06-09 2014-06-03 F-Secure Oyj Anti-virus trusted files database
US20100333155A1 (en) * 2009-06-30 2010-12-30 Philip David Royall Selectively using local non-volatile storage in conjunction with transmission of content
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
US8499304B2 (en) 2009-12-15 2013-07-30 At&T Mobility Ii Llc Multiple mode mobile device
JP5573216B2 (ja) * 2010-02-17 2014-08-20 富士通株式会社 ファイル検疫装置およびファイル検疫方法
US8463802B2 (en) 2010-08-19 2013-06-11 Sandisk Il Ltd. Card-based management of discardable files
US8549229B2 (en) 2010-08-19 2013-10-01 Sandisk Il Ltd. Systems and methods for managing an upload of files in a shared cache storage system
KR101217709B1 (ko) 2010-12-31 2013-01-02 주식회사 안랩 악성코드 탐지 장치 및 방법
US8788849B2 (en) 2011-02-28 2014-07-22 Sandisk Technologies Inc. Method and apparatus for protecting cached streams
US9298910B2 (en) 2011-06-08 2016-03-29 Mcafee, Inc. System and method for virtual partition monitoring
US8656494B2 (en) 2012-02-28 2014-02-18 Kaspersky Lab, Zao System and method for optimization of antivirus processing of disk files
US9110595B2 (en) 2012-02-28 2015-08-18 AVG Netherlands B.V. Systems and methods for enhancing performance of software applications
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
GB2506622A (en) * 2012-10-04 2014-04-09 Ibm Anti-virus data management
CN104317952B (zh) * 2014-11-13 2017-10-13 北京奇虎科技有限公司 移动终端中存储空间的扫描方法和装置
US9355248B1 (en) 2015-01-26 2016-05-31 Red Hat, Inc. Container and image scanning for a platform-as-a-service system
US9654497B2 (en) 2015-04-04 2017-05-16 International Business Machines Corporation Virus-release-date-based priority virus scanning
US9858418B2 (en) 2015-05-29 2018-01-02 International Business Machines Corporation Reducing delays associated with restoring quarantined files
CN105320886B (zh) * 2015-09-22 2018-04-06 北京奇虎科技有限公司 检测移动终端中是否存在恶意软件的方法和移动终端
CN106909845A (zh) * 2015-12-23 2017-06-30 北京奇虎科技有限公司 一种程序对象扫描的方法和装置
WO2018127278A1 (de) * 2017-01-04 2018-07-12 Gerhard Schwartz Asymmetrische system- und netzwerkarchitektur
US10511631B2 (en) 2017-01-25 2019-12-17 Microsoft Technology Licensing, Llc Safe data access through any data channel
CN109922045B (zh) * 2019-01-30 2021-07-02 赵东升 一种信息处理装置的控制方法
JP7315844B2 (ja) * 2019-11-20 2023-07-27 株式会社バッファロー 情報処理装置、ウイルス駆除方法、および、コンピュータプログラム
CN114328401B (zh) * 2020-09-30 2025-11-14 华为技术有限公司 文件扫描方法及终端设备
WO2023049215A1 (en) 2021-09-22 2023-03-30 Illumina, Inc. Compressed state-based base calling
US12373571B2 (en) * 2021-12-21 2025-07-29 Acronis International Gmbh Systems and methods for preventing the spread of malware in a synchronized data network
US20230343414A1 (en) 2022-03-25 2023-10-26 Illumina, Inc. Sequence-to-sequence base calling
US12197329B2 (en) * 2022-12-09 2025-01-14 Advanced Micro Devices, Inc. Range-based cache flushing

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0560277A1 (en) * 1992-03-11 1993-09-15 Tong Shao Method and apparatus for controlling read and write of microcomputer hard disk
US6021510A (en) * 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6735700B1 (en) * 2000-01-11 2004-05-11 Network Associates Technology, Inc. Fast virus scanning using session stamping
US20040158730A1 (en) * 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9003890D0 (en) * 1990-02-21 1990-04-18 Rodime Plc Method and apparatus for controlling access to and corruption of information in computer systems
EP0510244A1 (en) * 1991-04-22 1992-10-28 Acer Incorporated Method and apparatus for protecting a computer system from computer viruses
US5367682A (en) * 1991-04-29 1994-11-22 Steven Chang Data processing virus protection circuitry including a permanent memory for storing a redundant partition table
US5649095A (en) * 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
JPH09138733A (ja) 1995-11-14 1997-05-27 Hokkaido Nippon Denki Software Kk 磁気ディスク装置の保護方式
JP3392283B2 (ja) * 1996-02-23 2003-03-31 株式会社日立情報システムズ コンピュータウィルスの侵入防止方法
GB9605338D0 (en) * 1996-03-13 1996-05-15 Arendee Ltd Improvements in or relating to computer systems
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US5969632A (en) * 1996-11-22 1999-10-19 Diamant; Erez Information security method and apparatus
US6094731A (en) * 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6067618A (en) * 1998-03-26 2000-05-23 Innova Patent Trust Multiple operating system and disparate user mass storage resource separation for a computer system
EP1090353A1 (en) * 1998-06-22 2001-04-11 Colin Constable Virtual data storage (vds) system
US6711583B2 (en) * 1998-09-30 2004-03-23 International Business Machines Corporation System and method for detecting and repairing document-infecting viruses using dynamic heuristics
US6272533B1 (en) * 1999-02-16 2001-08-07 Hendrik A. Browne Secure computer system and method of providing secure access to a computer system including a stand alone switch operable to inhibit data corruption on a storage device
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
TW452733B (en) * 1999-11-26 2001-09-01 Inventec Corp Method for preventing BIOS from viruses infection
US6763466B1 (en) * 2000-01-11 2004-07-13 Networks Associates Technology, Inc. Fast virus scanning
CN1187685C (zh) * 2000-01-11 2005-02-02 神达电脑股份有限公司 感染计算机病毒文件的追踪检测方法
US6609219B1 (en) 2000-01-24 2003-08-19 Hewlett-Packard Development Company, L.P. Data corruption testing technique for a hierarchical storage system
US7216366B1 (en) * 2000-11-17 2007-05-08 Emc Corporation Storage based apparatus for antivirus
CA2454107C (en) * 2000-12-29 2005-12-20 Valt.X Technologies Inc. Apparatus and method for protecting data recorded on a storage medium
WO2002093334A2 (en) 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US6922774B2 (en) * 2001-05-14 2005-07-26 The United States Of America As Represented By The National Security Agency Device for and method of secure computing using virtual machines
JP4733323B2 (ja) * 2001-09-17 2011-07-27 株式会社アール・アイ データ一括保護システム
US7340774B2 (en) * 2001-10-15 2008-03-04 Mcafee, Inc. Malware scanning as a low priority task
US7266843B2 (en) * 2001-12-26 2007-09-04 Mcafee, Inc. Malware scanning to create clean storage locations
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
JP2003216445A (ja) * 2002-01-23 2003-07-31 Hitachi Ltd コンピュータウイルスのチェック方法
JP3979285B2 (ja) * 2002-12-17 2007-09-19 株式会社日立製作所 情報処理システム
US7134006B2 (en) * 2003-06-03 2006-11-07 Gateway Inc. Method and system for changing software access level within or outside a host protected area

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0560277A1 (en) * 1992-03-11 1993-09-15 Tong Shao Method and apparatus for controlling read and write of microcomputer hard disk
US6021510A (en) * 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6735700B1 (en) * 2000-01-11 2004-05-11 Network Associates Technology, Inc. Fast virus scanning using session stamping
US20040158730A1 (en) * 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device

Also Published As

Publication number Publication date
CN101002156A (zh) 2007-07-18
TW200609723A (en) 2006-03-16
GB2437562B (en) 2008-10-08
US20060021032A1 (en) 2006-01-26
JP2008507055A (ja) 2008-03-06
WO2006008199A3 (en) 2006-04-13
DE112005001739T5 (de) 2007-06-14
US7581253B2 (en) 2009-08-25
JP4627547B2 (ja) 2011-02-09
CN101002156B (zh) 2010-05-05
GB2437562A (en) 2007-10-31
WO2006008199A2 (en) 2006-01-26
DE112005001739B4 (de) 2019-10-24
GB0701190D0 (en) 2007-02-28

Similar Documents

Publication Publication Date Title
TWI420300B (zh) 用於防毒加速之方法、裝置及電腦程式產品
US7581252B2 (en) Storage conversion for anti-virus speed-up
US11061566B2 (en) Computing device
JP4782871B2 (ja) デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置
US7624283B2 (en) Protocol for trusted platform module recovery through context checkpointing
US20100005531A1 (en) Isolated multiplexed multi-dimensional processing in a virtual processing space having virus, spyware, and hacker protection features
CN112805708B (zh) 保护计算机系统上的选定磁盘
US20080168545A1 (en) Method for Performing Domain Logons to a Secure Computer Network
JP7146812B2 (ja) 独立した復元領域を有する補助記憶装置およびこれを適用した機器
JP2010527075A (ja) マルウェア検出のための信頼できる動作環境
US9219728B1 (en) Systems and methods for protecting services
GB2527569A (en) Booting a computer from a user trusted device with an operating system loader stored thereon
EP1709536A2 (en) Isolated multiplexed multi-dimensional processing in a virtual processing space having virus, spyware, and hacker protection features
GB2441909A (en) Scanning files in subdivided storage area for malicious code
KR20070030931A (ko) 안티-바이러스 속도 향상을 위한 안전 저장 추적 방법
US20240126882A1 (en) Instructions to process files in virtual machines
WO2007022687A1 (en) System and method for security control of operating system
JP4564477B2 (ja) シンクライアント、シンクライアントシステム、及びプログラム
HK40018996B (zh) 安全存储装置与计算机安全性方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees