依照本发明专利技术,提供了聚集多个反病毒软件应用程序的知识库的系统、方法和计算机可读介质。诸如反病毒软件应用程序等用户模式应用程序通过通用信息模型获取对文件系统操作的访问,这免除了反病毒软件供应商创建内核模式过滤器的需求。当文件系统操作对反病毒软件应用程序可用时,本发明专利技术会使得每个安装在计算设备上的反病毒软件应用程序执行扫描以便确定数据是否是恶意软件。
【技术实现步骤摘要】
本专利技术涉及计算机设备,尤其涉及保护计算机设备以免受到恶意软件的危害。
技术介绍
随着越来越多的计算机和其他计算设备通过诸如因特网等各种网络互相连接,计 算机的安全性变得愈加重要,尤其是来自在网络和信息流上传递的入侵和攻击。本领域的 技术人员会认识到这些攻击以许多不同的形式出现,包括但当然不限于计算机病毒、计算 机蠕虫、计算机组件更换、拒绝服务攻击、甚至是误用/滥用合法的计算机系统特征,所有 这些都为了非法目的利用一个或多个计算机系统的弱点。虽然本领域的技术人员会认识到 各种计算机攻击在技术上互不相同,但为了本专利技术和描述简单起见,在诸如因特网等计算 机网络上传播的恶意计算机程序在下文中一般会被称为计算机恶意软件或简称为恶意软 件。当计算机系统被计算机恶意软件攻击或“感染”时,有害的结果各不相同,包括禁 用系统设备;擦除或破坏固件、应用程序或数据文件;将潜在的敏感数据发送到网络上的 另一位置;关闭计算机系统;或造成计算机系统瘫痪。然而许多(虽然不是全部)计算机恶 意软件的另一个有害的方面是被感染的计算机系统被用于感染其他系统。对计算机恶意软件,尤其是对计算机病毒和蠕虫的传统防护是市场上可购买的反 病毒软件应用程序。一般而言,反病毒软件应用程序扫描数据、查找与计算机恶意软件相关 联的可标识模式。在检测与计算机恶意软件相关联的模式时,反病毒软件应用程序会通过 隔离恶意软件或删除恶意软件来响应。遗憾的是,反病毒软件应用程序一般对已知的、可标 识的计算机恶意软件有效。这通常是通过将数据中的模式与所谓的恶意软件的“签名”匹 配来完成的。通常,由现有反病毒软件应用程序执行的大部分操作是在操作系统处于“用户模 式”时发生的。如本领域和其他领域的技术人员所公知的,诸如反病毒软件应用程序等计算 机应用程序可以在“内核模式”或“用户模式”中执行。“内核模式”是指在操作系统的最高 特权和保护级别处出现的处理。内核模式程序一直驻留在被保护的存储器中,并提供基本 的操作系统服务。“用户模式”是指在应用程序层出现的处理,在所述的应用程序层中不能 访问内核模式数据。先前,需要访问可从内核模式获得的信息和特征的反病毒软件应用程 序的供应商需要建立与操作系统交互的内核模式过滤器。遗憾的是,要求每个反病毒软件 供应商开发唯一的过滤器来访问从内核模式可用的特征,诸如被调度发生在计算机设备上 的输入/输出(下文中被成为“I/O”)。此外,如果每个反病毒软件应用程序具有相应的内 核模式过滤器来执行本质上相同的任务,计算设备承受具有在几个全异过滤器中执行的重 复代码的性能负担,所述几个全异的过滤器都是在内核中载入的。现有技术的另一个缺点是用户模式界面是不一致的、不统一的并易于出错。因此,需要一种机制,其中被调度为在 计算设备上发生的I/O对反病毒软件应用程序可用,而无需反病毒软件供应商执行内核模 式过滤器。许多软件供应商供应反病毒软件应用程序并维护日益增长的恶意软件签名数据 库。实际上,反病毒软件供应商最重要的资产之一是从已知恶意软件收集的签名的知识库。 然而,商业上可用的反病毒软件应用程序不总是互相兼容的。例如,在某些情况下,当有两 种不同的反病毒软件安装在计算设备上,大家知道会发生数据冲突。结果是用户不能在计 算设备上安装多个反病毒软件应用程序并从每个应用程序的知识库得益。因此,需要一种 机制,用于聚集安装在相同计算设备上的多个反病毒软件应用程序的知识库。
技术实现思路
本专利技术针对上述示出的需求,提供了聚集多个反病毒软件应用程序的知识库以确 定与一计算设备相关联的数据是否是恶意软件的机制。本专利技术的一方面是通过通用信息模 型允许反病毒软件应用程序访问与I/O请求相关联的数据的方法。通用信息模型免除了反 病毒软件供应商通过提供一般可以从内核模式过滤器获取的特征来创建内核模式过滤器 的需求。接着通用信息模式可以使反病毒软件应用程序扫描与计算设备相关联的数据以便 确定该数据是否是恶意软件。当检测到恶意软件,就防止任何读取、存储或执行恶意软件的 尝试O本专利技术的另一方面是确定与计算设备相关联的文件先前是否被标识为恶意软件 或先前是否被确定为安全的方法。本专利技术的这个方面包括当一个或多个反病毒软件应用程 序扫描文件时将一变量与该文件相关联。该变量指示该文件是否是恶意软件并可以在随后 的时间被调用。例如,当用户试图执行该文件时可以调用该变量。如果该变量指示该文件 为恶意软件,则用户执行该文件的任何尝试会失败。相反,如果该变量指示该文件不是恶意 软件,则执行文件的尝试会成功而无需反病毒软件应用程序对文件执行重复的扫描。本专利技术的另一方面是允许反病毒软件应用程序访问文件数据的高效方法。本专利技术 的这个方面包括创建文件映射部分对象,它用于由一个或多个反病毒软件应用程序执行扫 描。接着提供与反病毒应用程序交互的用户模式应用程序以及用于访问文件映射部分对象 的数据。最后,生成反病毒软件应用程序可访问的文件视图。本专利技术的这个方面向反病毒 软件应用程序提供了一组基本的文件系统操作,用于提高执行扫描的速度。本专利技术的又一个方面提供了聚集多个反病毒软件应用程序的知识库的计算设备。 该计算设备包括安全服务应用程序、一个或多个反病毒软件应用程序以及包含扫描高速缓 存和数据映射模块的通用安全过滤器。通用安全过滤器和安全服务应用程序共同工作以便 向反病毒软件应用程序提供通用信息模型。通用信息模型允许反病毒软件应用程序访问被 调度发生在计算设备上的I/O请求。当截取I/O请求时,反病毒软件应用程序会与通用信 息模型交互以便调度扫描。当扫描发生时,安全服务应用程序知道有不同的反病毒软件应 用程序被安装在计算设备上,并且能够防止数据冲突。在另一个实施例中,提供了计算机可读介质,其内容例如使得计算设备依照这里 所述的方法运作的程序。附图说明结合附图参考以下详细描述,本专利技术的上述方面和许多附带有点将变得显而易见 并变得容易理解,附图中图1是示出依照现有技术的计算设备的层次结构的框图;图2是依照现有技术包括适于扫描恶意软件的反病毒软件应用程序的计算设备 的组件的框图;图3是依照本专利技术包括适于标识恶意软件的反病毒软件应用程序的计算设备的 组件的框图;图4是示出依照本专利技术的聚集多个反病毒软件应用程序的知识库的方法的一个 示例性实施例;图5是结合图4中所描述的方法适于存储和调用数据的扫描高速缓存的图示;以 及图6是示出依照本专利技术会与图4中所描述的方法结合使用以向反病毒软件应用程 序提供对文件数据的访问的访问方法的一个示例性实施例的流程图。具体实施例方式依照本专利技术,提供了聚集多个反病毒软件应用程序的知识库的系统、方法和计算 机可读介质。向诸如反病毒软件应用程序等用户模式应用程序提供了通过通用信息模型对 诸如I/O请求等文件系统操作的访问,这免除了反病毒软件应用程序创建内核模式过滤器 的需求。当截取I/O请求时,本专利技术使安装在计算设备上的每个反病毒软件应用程序执行 扫描以便确定与请求相关联的数据是否是恶意软件。虽然会在反病毒软件应用程序的环境 中描述本专利技术,但相关领域和其他领域的技术人员会理解,本专利技术也可用于软件开发的其 他领域。因此,所述的本专利技术的实施例应该在实质上被构建成说明性的而非限制性的。图1是本文档来自技高网...
【技术保护点】
一种在包括用户模式应用程序、内核模式应用程序和文件的计算设备中的计算机实现方法,用于向所述用户模式应用程序提供对所述文件中的数据的访问,所述方法包括:(a)为所述用户模式应用程序创建接口;(b)使所述内核模式应用程序创建文件映射部分对象;(c)向所述接口提供访问所述文件映射部分对象所需的信息;以及(d)创建所述文件的视图。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:AM马瑞尼斯库,AF托马斯,DA戈贝尔,M科斯蒂亚,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。