在一个实施例中,一种方法包括使用存储在计算系统的非易失性存储器中的基本输入/输出系统(BIOS)在预引导环境下对计算系统的一部分进行初始化,运行启动管理器以使操作系统(OS)有效载荷能够运行,并且如果所述OS有效载荷未成功启动,则执行存储在所述非易失性存储器中的OS有效载荷部分和防病毒栈,以恢复大容量存储器的完整性。对其它实施例进行描述并且要求其优先权。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】在一个实施例中,一种方法包括使用存储在计算系统的非易失性存储器中的基本输入/输出系统(BIOS)在预引导环境下对计算系统的一部分进行初始化,运行启动管理器以使操作系统(OS)有效载荷能够运行,并且如果所述OS有效载荷未成功启动,则执行存储在所述非易失性存储器中的OS有效载荷部分和防病毒栈,以恢复大容量存储器的完整性。对其它实施例进行描述并且要求其优先权。【专利说明】针对可上网的计算节点提供不变的防病毒有效载荷
实施例涉及各种可上网的计算节点的预引导和弓I导后环境中的操作。
技术介绍
在许多计算机系统中,通过一系列步骤发生系统的启动:在所述步骤中执行初始化、发生自测试、加载并且执行基本输入/输出系统(B1S),并且最后控制可以期满于操作系统(OS)。在许多系统中,经由系统的非易失性存储器中存在的代码启用的预引导的环境可以执行这些操作。因此,存在不可信的或错误的第三方代码可能损坏系统的风险,尤其是在预引导环境中。 作为一个示例,统一可扩展固件接口(UEFI)规范,例如,UEFI规范版本2.3.1(2011年4月8日发布),要求将预引导和启动环境分为若干阶段。然而,在这些阶段中,原始设备制造商(OEM)可信代码和第三方不可信/错误代码二者均可以以相同的权限级别执行,这可能导致系统上的攻击。 随着越来越多的计算设备提供对互联网的移动和快速访问,在主要攻击计算节点个性(例如,注册表)和文件系统的软件病毒的灾害中造成了挑战。在这些常见情形中,病毒攻击可以致使计算节点成为无功能的并且因此无用的,并且可以进一步导致重要的用户数据的丢失。用户可能会尝试不安全的动作来恢复数据,这可能导致其它系统感染相同的病毒。 附加的问题是,防病毒(AV)软件通常安装在包含OS映像和用户数据的同一可读写介质上。在病毒攻击的极端情形下,这同样会造成问题,问题就是AV软件受攻击并且无法发挥作用。 【专利附图】【附图说明】 图1是根据实施例的示出了正常启动路径和恢复路径的高级框图。 图2是根据一个实施例的方法的流程图。 图3是根据一个实施例的用于在全盘加密(FDE)系统中启动系统的启动流程图。 图4是根据一个实施例的用于平台的软件架构的框图。 图5是根据实施例的包括片上系统(SoC)和非易失性存储器的系统的高级框图。 图6是可以与实施例一起使用的另一示例系统的框图。 图7是根据本专利技术另一实施例的系统的框图。 【具体实施方式】 在各种实施例中,为了使可上网的计算设备能够进行更安全的操作,实施例可以在非易失性存储器中提供操作系统(OS)内核有效载荷中的至少一部分连同防病毒(AV)代码。注意,该代码存储器可以与OS的常规位置分离,并且此外应当理解,所述最小的OS部分和AV代码被表示为单个封装,而非不同的代码实体。更进一步地,应当理解,所述代码封装可以与位于计算设备的另一存储器中的完整的OS内核有效载荷分离。注意,所述封装存储器的位置可以取决于平台的类型而不同。实施例可以适用于许多不同的系统类型,如下文进一步描述的:从传统的桌上型个人计算机(PC)到移动、便携式以及其它互联设备,例如,智能电话、超极本?、上网本、膝上型计算机、平板计算机等。因此,实施例不限于任何特定类型的规格,并且可以适用于各种各样的可连接互联网的各种计算设备。 在一些实施例中,收缩封装的OS有效载荷可以被包括在防病毒软件栈中,所述防病毒软件栈可以集成到机载非易失性存储器中(例如,存储B1S的闪存存储器)。在一个实施例中,完整的OS有效载荷可以保持在B1S映像内,其中可以应用闪存保护方案来确保OS映像的完整性。在一个实施例中,如果整个内核足够小,那么非易失性存储器中的卷可以存储整个内核,使得内核可以享有相同的B1S保护,例如,利用最小要素来对OS进行优化,例如,文件系统支持、存储器管理等。在其它实施例中,所述OS有效载荷部分可以与内核加载程序相对应。在这样的实施例中,可以使用附加的技术以确保曾经在可变盘(例如,硬盘)上的恢复代码的部分是‘可信的’。虽然本专利技术的范围不限于此,但这些技术可以包括用于盘保护的主机保护区域(ΗΡΑ)、影子主引导记录(MBR)^n UEFI安全启动中的代码签名、带有存储在可信任的平台模块(TPM)中的运行控制策略的可信任执行(TXT)运行或其它这样的技术。同样,在一个实施例中,所有AV代码和恢复内核及其驱动程序都可以存储在存储B1S的非易失性存储器的卷中。在一些实施例中,可以使用诸如系统管理模式(SMM)之类的操作的安全模式来对防病毒栈的病毒定义进行安全地更新。 现在参考图1,示出的是根据本专利技术的实施例说明的正常启动路径和恢复路径的高级框图。如图1所示,系统10可以包括非易失性存储器20,其可以包括B10S25和包括AV代码的OS有效载荷30。在各种实施例中,所述OS有效载荷可以为整个OS内核中相对小的部分(并且其可以为子集),并且可以包括足够的代码以将其自身加载到存储器子系统中,初始化文件系统,并且如果一切适当地进行,则将控制传递到例如位于硬盘驱动器40上的整个OS映像。这因此是正常启动路径50,在其中对预引导环境进行初步启动。在一个实施例中,所述预引导环境可以根据UEFI规范。OS有效载荷30中的AV代码可以运行临时OS映像,所述临时OS映像将对磁盘驱动器40上的永久OS分区的完整性进行验证。这将允许系统修复硬盘映像,同时确保其AV软件充分发挥功能。 如果B1S适当地进行并且系统的所有合适的硬件均正确地初始化并且未指示故障或损坏,则所述正常启动路径50可以使硬盘驱动器40上的整个OS映像能够运行,从而进入到启动环境和正常系统操作中。然而,如果在启动过程期间或代码执行期间在根据正常OS上下文45进行正常操作期间,发生病毒攻击55,使得发生诸如致命病毒错误之类的系统错误,则系统10可以进入到恢复路径60中。 在所述恢复路径60中,控制可以改为通过B10S25进行,并且进入到OS有效载荷30中。如上面提到的,除了 OS代码之外,所述最小的OS内核有效载荷还可以包括AV代码,以用于将自身移入到存储器中并且提供文件系统操作。该AV代码可以包括多种功能,其包括:病毒检查功能,例如,用于根据被存储为病毒定义数据库的病毒定义集(例如,存在于OS有效载荷30或另一位置中),针对病毒来检查系统的各个部件。例如,其它位置可以包括可信任的平台模块(TPM)的非易失性存储器、AV云数据库服务、UEFI验证变量、B1S、系统管理模式或嵌入式服务/安全处理器。此外,该AV代码可以进一步例如在已感染的磁盘驱动器40上执行病毒扫描和清理处理35,以因此修正问题,并且经由重置机制来使启动能够进入到正常系统操作中。虽然以高级的形式示出了图1的实施例,但是理解本专利技术的范围不限于此。 现在参考图2,图2示出了根据本专利技术的一个实施例的方法的流程图。如图2所示,方法100可以在以下两种情况中使用:在正常启动操作期间,也用于处理由于例如在给定的计算机系统中存在病毒所产生的损坏。因此,在方法100中执行的操作可以由硬件、固件和/或软件的组合来执行,包括B1S的代码以及具有合并到系统的非易失性存储器中并且在系统的一个本文档来自技高网...
【技术保护点】
一种装置,包括:非易失性存储器,包括第一卷和第二卷,所述第一卷用于存储基本输入/输出系统(BIOS),所述第二卷用于存储包括防病毒软件栈的操作系统(OS)有效载荷部分,其中,所述OS有效载荷部分与存储在不同的存储器中的OS内核分离并且为其子集,并且所述防病毒软件栈用于在所述不同的存储器损坏之后恢复所述不同的存储器的完整性。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:M·布鲁苏,R·斯旺森,V·齐默,R·B·巴恩森,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。