專利名稱:向經(jīng)過認證的防病毒代理提供掃描存儲器的直接訪問權(quán)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及向經(jīng)過認證的防病毒代理提供掃描存儲器的直接訪問權(quán)。
背景技術(shù):
最近的惡意軟件攻擊以安全軟件為目標并且因而危及主機操作系統(tǒng)。不幸的是, 諸如“Conficker”的計算機蠕蟲可成功危及安全軟件并且因而防止訪問提供防病毒軟件以 供下載的網(wǎng)站。獨立軟件供應(yīng)商(ISV)可提供使防病毒軟件可供下載的網(wǎng)站。其它惡意軟 件攻擊可填補(shim)或隱匿(rootkit)本地防病毒代理以防止它們執(zhí)行諸如針對病毒簽 名掃描盤或存儲器的功能。
發(fā)明內(nèi)容
本發(fā)明涉及一種在計算機平臺中的方法,包括允許將防病毒代理下載到平臺硬件空間,所述平臺硬件空間與耦合到所述計算機 平臺的操作系統(tǒng)隔離;認證所述防病毒代理;以及為所述防病毒代理提供直接掃描耦合到所述計算機平臺的存儲器的訪問權(quán)。本發(fā)明涉及一種設(shè)備,包括包括可管理性引擎的平臺控制集線器,其中所述可管理性引擎用于存儲下載到平臺硬件空間的防病毒代理,所述平臺硬件空間與耦合到所述計算機 平臺的操作系統(tǒng)隔離,認證所述防病毒代理,以及向所述防病毒代理提供直接掃描耦合到所述平臺硬件的存儲器的訪問權(quán)。
附圖中舉例而非限制性地示出本文描述的發(fā)明。為了簡單且清楚地進行說明,附 圖中示出的元件不一定按比例繪制。例如,為了清楚起見,一些元件的尺寸可能相對于其它 元件有所夸大。此外,在認為合適的情況下,附圖中重復(fù)使用附圖標記來指示對應(yīng)或類似的 元件。圖1示出根據(jù)一個實施例的計算機平臺100,它支持向經(jīng)過認證的防病毒代理提 供掃描存儲器和存儲設(shè)備的直接訪問權(quán)的技術(shù)。圖2是示出根據(jù)一個實施例用于向經(jīng)過認證的防病毒代理提供掃描存儲器和存 儲設(shè)備的直接訪問權(quán)的流程圖。圖3示出根據(jù)一個實施例的基于平臺的體系結(jié)構(gòu),它可支持向經(jīng)過認證的防病毒 代理提供掃描存儲器和存儲設(shè)備的直接訪問權(quán)。圖4是示出根據(jù)一個實施例的技術(shù)的流程圖,在該技術(shù)中,圖3中的組件共同向經(jīng) 過認證的防病毒代理提供掃描存儲器和存儲設(shè)備的直接訪問權(quán)。
圖5示出根據(jù)一個實施例的系統(tǒng)500,它向經(jīng)過認證的防病毒代理提供掃描存儲 器和存儲設(shè)備的直接訪問權(quán)。
具體實施例方式以下說明描述根據(jù)一個實施例向經(jīng)過認證的防病毒代理提供掃描存儲器和存儲 設(shè)備的直接訪問權(quán)的計算機平臺的實施例。在以下描述中,闡述了眾多具體細節(jié),例如邏輯 實現(xiàn)、資源分區(qū)、或共享、或復(fù)制實現(xiàn)、系統(tǒng)組件的類型和相互關(guān)系、以及邏輯分區(qū)或集成選 擇,以便更充分地了解本發(fā)明。但是,本領(lǐng)域技術(shù)人員將明白,沒有這些具體細節(jié)也可實現(xiàn) 本發(fā)明。在其它情況下,沒有詳細示出控制結(jié)構(gòu)、門級電路和全軟件指令序列,以免使本發(fā) 明晦澀難懂。通過所包含的描述,本領(lǐng)域技術(shù)人員將能夠無需過多試驗而實現(xiàn)合適的功能 性。本說明書中提到“一個實施例”、“實施例”、“示范實施例”時表示,所描述的實施例 可包括特定特征、結(jié)構(gòu)或特性,但不是每個實施例都一定包含該特定特征、結(jié)構(gòu)或特性。而 且,這些短語不一定指相同的實施例。此外,當結(jié)合一個實施例描述特定特征、結(jié)構(gòu)或特性 時,認為本領(lǐng)域技術(shù)人員知道,不管是否明確描述,都可結(jié)合其它實施例影響這些特征、結(jié) 構(gòu)或特性。本發(fā)明的實施例能以硬件、固件、軟件或其任意組合來實現(xiàn)。本發(fā)明的實施例也可 作為存儲在機器可讀介質(zhì)上的指令來實現(xiàn),這些指令可由一個或多個處理器讀取和執(zhí)行。 機器可讀介質(zhì)可包括用于存儲或傳送可供機器(如計算裝置)讀取的形式的信息的任何機 制。例如,機器可讀介質(zhì)可包括只讀存儲器(ROM);隨機存取存儲器(RAM);磁盤存儲 介質(zhì);光存儲介質(zhì);閃速存儲器裝置;電、光、聲或其它類似信號。此外,本文可將固件、軟 件、例行程序和指令作為執(zhí)行某些動作進行描述。但是,應(yīng)明白,這些描述只是為了方便起 見,并且這些動作實際上源自計算裝置、處理器、控制器和用于執(zhí)行這些固件、軟件、例行程 序和指令的其它裝置。在一個實施例中,可利用計算機平臺的硬件邏輯來安全地執(zhí)行經(jīng)過認證的防病毒 代理,同時向經(jīng)過認證的防病毒代理提供掃描存儲器和存儲設(shè)備的直接訪問權(quán)。該方法可 允許經(jīng)過認證的防病毒代理掃描主機操作系統(tǒng)。在一個實施例中,可將一個或多個防病毒 代理下載到與平臺硬件相關(guān)聯(lián)的第三方數(shù)據(jù)源(3pds)或擴展型第三方數(shù)據(jù)源(e3pds)。在 一個實施例中,可在本地通過HECI或在遠程通過帶外機制下載防病毒代理,以確保安裝不 會因在操作系統(tǒng)上運行的惡意軟件而中斷。在下載防病毒代理之后,在將例如防病毒代理的字節(jié)代碼加載到解釋器并執(zhí)行之 前,平臺硬件的固件可認證防病毒代理,并驗證防病毒代理是否是來自可信供應(yīng)商。因為防 病毒代理經(jīng)過驗證,平臺硬件可允許防病毒代理訪問應(yīng)用可編程接口(API)和MECI。在一 個實施例中,對API的訪問可使得能夠通過DMA引擎直接掃描存儲器,而對HECI的訪問可 允許防病毒代理通過虛擬引擎(VE)掃描存儲設(shè)備。因此,在一個實施例中,可允許經(jīng)過認證的防病毒代理訪問計算機系統(tǒng)本地的存 儲設(shè)備和存儲器,同時防病毒代理可得到防篡改平臺硬件的支持。而且,可允許提供防病毒 解決方案的ISV直接下載帶有病毒的數(shù)據(jù)文件并將病毒簽名列入白名單,并且防病毒代理5可生成所識別和/或清理的病毒的示例的日志。圖1中示出可支持向防病毒代理提供掃描存儲器和存儲設(shè)備的直接訪問權(quán)的技 術(shù)的計算機平臺100的實施例。在一個實施例中,計算機平臺100可包括應(yīng)用110、主機操 作系統(tǒng)(OS) 120、平臺硬件150和I/O裝置190。在一個實施例中,應(yīng)用110可包括得到主 機OS 120和平臺硬件150支持的一個或多個應(yīng)用。在一個實施例中,平臺硬件150可包括一個或多個處理核、芯片組、存儲器和其它 這樣類似的硬件組件。在一個實施例中,平臺硬件150可支持諸如固件、可管理性引擎(ME) 和虛擬器引擎(VE)的組件。在一個實施例中,平臺硬件150可認證本地或遠程下載的防病 毒代理,然后安全地執(zhí)行經(jīng)過認證的防病毒代理,同時向經(jīng)過認證的防病毒代理提供掃描 存儲器和存儲裝置的直接訪問權(quán)。該方法可允許經(jīng)過認證的防病毒代理掃描主機操作系統(tǒng)。在一個實施例中,I/O裝 置190-A至190-N之一可包括諸如硬盤、基于通用串行總線(USB)的裝置的存儲裝置。而 且,諸如網(wǎng)絡(luò)接口卡(NIC)的I/O裝置190-A至190-N之一可支持帶外通信機制。圖2的流程圖中示出可支持向防病毒代理提供掃描存儲器和存儲設(shè)備的直接訪 問權(quán)的技術(shù)的計算機平臺100的操作的實施例。在方框210,平臺硬件150可認證可下載到計算機平臺150的防病毒代理。在一個 實施例中,計算機平臺150可根據(jù)簽名驗證或基于行為的驗證來認證防病毒代理。在方框250,平臺硬件150可安全地執(zhí)行經(jīng)過認證的防病毒代理,同時向防病毒代 理提供掃描主機存儲器和存儲設(shè)備的直接訪問權(quán)。在一個實施例中,因為在執(zhí)行防病毒代 理的字節(jié)代碼之前防病毒代理經(jīng)過認證,平臺硬件150可允許防病毒代理直接掃描主機存 儲器和存儲設(shè)備。圖3中示出平臺體系結(jié)構(gòu)300的實施例,平臺體系結(jié)構(gòu)300包括支持向防病毒代 理提供掃描存儲器和存儲設(shè)備的直接訪問權(quán)的技術(shù)的硬件和固件組件。在一個實施例中, 平臺硬件150可包括中央處理單元320和芯片組325,芯片組325可支持平臺控制集線器 (PCH) 330ο在一個實施例中,CPU 320可支持主機OS 305,主機OS 305可管理可在平臺硬 件150中使用的資源。在一個實施例中,平臺控制器集線器PCH 330可包括可管理性引擎ME 340、虛擬 器引擎VE 350、I/O控制器360、DMA引擎365和存儲器370。在一個實施例中,存儲裝置 390和遠程服務(wù)器392可耦合到平臺硬件150。在一個實施例中,可管理性引擎(ME) 340可 包括ME接口 ;341、ME控制器;342、數(shù)據(jù)存儲塊;343、認證引擎;345、解釋器;346、掃描至DMA接 口 347和帶外(OOB)通信塊348。在一個實施例中,虛擬器引擎350可包括虛擬器引擎(VE) 控制器邪4和VE接口 355。在一個實施例中,虛擬器引擎VE 350可包括虛擬器引擎(VE)控制器邪4和虛擬 器引擎(VE)接口 355。在一個實施例中,VE接口 355可支持VE 350、ME 340和I/O控制器 360之間的信息交換。在一個實施例中,VE接口 355可支持防病毒代理的下載,而VE控制 器邪4可通過可管理性引擎控制接口(MECI)向ME 340發(fā)送表示防病毒代理的字節(jié)代碼。 在一個實施例中,VE控制器邪4和VE接口 355可允許通過主機嵌入式控制接口(HECI)下 載本地存儲在諸如USB存儲裝置的裝置上的防病毒代理。在其它實施例中,可通過受到OOB 塊348支持的帶外通信通道將受到遠程服務(wù)器390支持的防病毒代理遠程下載到ME 340。
在一個實施例中,ME接口 341可接收表示防病毒代理的字節(jié)代碼,并將這些字節(jié) 代碼存儲在數(shù)據(jù)存儲設(shè)備343中。在一個實施例中,ME接口 341可從VE 360或從OOB塊 348接收防病毒代理的字節(jié)代碼。在一個實施例中,字節(jié)代碼可表示java字節(jié)代碼。在一 個實施例中,ME接口 341可在將字節(jié)代碼存儲在數(shù)據(jù)存儲塊343中之后向ME控制器342提 供第一信號。在一個實施例中,ME接口 341可接收掃描主機OS 305的請求,該請求可由遠 程服務(wù)器392生成并通過OOB塊348發(fā)送。在一個實施例中,ME接口 341可響應(yīng)接收到來 自遠程服務(wù)器392的請求而向ME控制器342提供第二信號。在一個實施例中,數(shù)據(jù)存儲塊343可表示第三方數(shù)據(jù)存儲設(shè)備(3pds)或擴展型第 三方數(shù)據(jù)存儲設(shè)備。在一個實施例中,存儲在數(shù)據(jù)存儲塊343中的字節(jié)代碼可用于認證防 病毒代理。在一個實施例中,獨立軟件供應(yīng)商(ISV)可利用數(shù)據(jù)存儲塊343和OOB通信塊 348來直接下載帶有病毒的數(shù)據(jù)文件并將可供防病毒代理用來掃描數(shù)據(jù)文件并提供所識別 或清理的示例的日志的簽名列入白名單。在一個實施例中,可將防病毒代理下載到可能被 虛擬器引擎350侵占的硬盤空間。在一個實施例中,認證引擎345可通過利用一個或多個認證標準來認證防病毒代 理,并確認腳本引擎(例如受ME控制器342支持的腳本引擎334)的有效性。在一個實施 例中,認證引擎345可在執(zhí)行存儲在可管理性引擎340的存儲器(如SRAM)中的腳本引擎 334之前確認腳本引擎334的有效性。在一個實施例中,認證引擎345可將腳本引擎334的 簽名與可存儲在可管理性引擎閃速存儲器349中的密鑰進行比較,該密鑰可在制造期間熔 合或由主機驅(qū)動器加載在可選ROM中。在一個實施例中,確認腳本引擎334的有效性可防 止惡意代碼在可管理性引擎340的隔離環(huán)境中得到執(zhí)行。在一個實施例中,在成功驗證腳 本引擎334之后,認證引擎345可根據(jù)防病毒代理的指示執(zhí)行掃描操作以檢測通過網(wǎng)絡(luò)OOB 發(fā)送的未識別的或惡意的簽名。在一個實施例中,認證引擎345用來認證防病毒代理的認證標準可包括檢查防病 毒代理是否是得到許可的代理,并檢查這些防病毒代理的來源。在一個實施例中,認證引擎 345可包括固件棧,并且在一個實施例中,固件??蓹z查防病毒代理以確定所下載的防病毒 代理是否來自可信獨立軟件供應(yīng)商,并且防病毒代理是否與有效許可證相關(guān)聯(lián)。在一個實 施例中,認證引擎345可認證防病毒代理以確定防病毒代理是否通過認證標準。在一個實 施例中,認證引擎345可在確定防病毒代理經(jīng)過認證之后生成第一指示,并且如果防病毒 代理沒有通過認證,則可生成第二指示。在一個實施例中,可響應(yīng)第一指示的生成向解釋器346提供經(jīng)過認證的字節(jié)代 碼。在一個實施例中,解釋器346可翻譯表示防病毒代理的經(jīng)過認證的字節(jié)代碼,并可執(zhí)行 這些防病毒代理。在一個實施例中,解釋器346可在完成表示防病毒代理的字節(jié)代碼的執(zhí) 行之后向ME控制器342發(fā)送信號。在一個實施例中,ME控制器342可包括腳本引擎334、控制邏輯335和處理器狀態(tài) 提供器344。在一個實施例中,腳本引擎334可提供用于獨立于操作系統(tǒng)的狀態(tài)處理防病毒 代理的隔離環(huán)境。在一個實施例中,可利用Java Applet來實現(xiàn)腳本引擎334,它可通過認 證引擎345進行驗證。一個實施例中,如果腳本引擎334沒有通過由認證引擎345執(zhí)行的 認證,則控制邏輯335可從SRAM刪除腳本引擎334。一個實施例中,為了啟動防病毒代理的認證,控制邏輯335可向認證引擎345發(fā)送信號。在一個實施例中,控制邏輯335可響應(yīng)從ME接口 341接收到第一信號而將防病毒代 理存儲在數(shù)據(jù)存儲塊343中。在一個實施例中,控制邏輯335可利用由認證引擎345生成的 指示,然后處理由解釋器346生成的字節(jié)代碼的解釋版本。在一個實施例中,控制邏輯335 可響應(yīng)接收到第一指示而向解釋器346提供字節(jié)代碼。在接收到第一指示并將字節(jié)代碼提供給解釋器346之后,在一個實施例中,控制 邏輯335可處理由解釋器346解釋的字節(jié)代碼。在一個實施例中,控制邏輯335可處理防 病毒代理的經(jīng)過認證的字節(jié)代碼,并可允許防病毒代理訪問掃描至DMA引擎接口 347。在 一個實施例中,控制邏輯335可響應(yīng)從認證引擎345接收到第二指示而禁止或不向解釋器 346提供字節(jié)代碼。在一個實施例中,控制邏輯335可響應(yīng)從ME接口 341接收到第二信號而啟動處理 器狀態(tài)提供器344。在一個實施例中,可響應(yīng)從遠程服務(wù)器392接收到掃描主機OS 305的 請求而生成第二信號。在一個實施例中,如果ME 340的計算能力有限,則可由遠程服務(wù)器 392生成掃描主機OS 305的請求。但是,在其它實施例中,如果ME 340包括足以支持本地 掃描引擎的計算資源,則本地掃描引擎可利用CPU320的處理器狀態(tài)來執(zhí)行對主機OS 305 的掃描。在一個實施例中,不管是在ME 340的本地內(nèi)得到支持還是得到遠程服務(wù)器392的 支持,掃描引擎都需要處理器狀態(tài)以執(zhí)行對主機OS 305的掃描。在一個實施例中,處理器狀態(tài)提供器344可通過直接訪問CPU寄存器322來收 集處理器狀態(tài)。在其它實施例中,處理器狀態(tài)提供器344可通過訪問可存儲處理器狀態(tài) 的存儲器位置來收集處理器狀態(tài),并且可通過掃描至DMA接口 347檢索處理器狀態(tài)信息。 例如,在一個實施例中,處理器狀態(tài)可包括CPU控制寄存器CR0-CR4、中斷描述符表寄存器 (IDTR)、全局描述符表寄存器(GDTR)和擴展型頁表指針(EPTP)。在一個實施例中,控制寄 存器可指向虛擬/線性存儲器映射/頁目錄的訪客物理地址,IDTR可指向中斷描述符表的 線性地址,⑶TR和EPTP可指向保存訪客物理到物理存儲器映射的根目錄的物理地址。在一 個實施例中,處理器狀態(tài)提供器344可將處理器狀態(tài)提供給控制邏輯335,而控制邏輯335 可提供掃描引擎,掃描引擎可在本地得到ME 340的支持,或者得到遠程服務(wù)器392的支持, 以使得掃描引擎能夠掃描主機OS 305。在一個實施例中,掃描至DMA引擎接口 347可允許防病毒代理利用直接存儲器訪 問(DMA)通道365掃描存儲器370。在一個實施例中,掃描至DMA引擎接口 347可允許防病 毒代理獲得存儲器370的無阻視圖。在一個實施例中,掃描至DMA引擎接口 347可在給定地 址讀取物理存儲器,并在給定簽名模式下,可允許直接掃描物理存儲頁。在一個實施例中, 掃描至DMA引擎接口 347可作為Java虛擬機(JVM)環(huán)境內(nèi)的基類來實現(xiàn)。在一個實施例 中,掃描至DMA引擎接口 347也可允許防病毒代理利用虛擬器引擎350掃描存儲裝置390。 在一個實施例中,掃描至DMA引擎接口 347可提供訪問DMA通道365或虛擬器引擎350的 接口。在一個實施例中,DMA引擎365可提供對存儲器370的直接且無阻的訪問。在一 個實施例中,DMA引擎365可表示ME內(nèi)核中的驅(qū)動器。在一個實施例中,DMA引擎365可在 PCI-e請求業(yè)務(wù)中設(shè)置“翻譯位”,可訪問存儲器370,并且不受直接I/O虛擬化技術(shù)(VT_d) 的阻礙。在一個實施例中,遠程服務(wù)器392可包括防病毒服務(wù)395和黑名單病毒數(shù)據(jù)庫396。在一個實施例中,防病毒服務(wù)395可支持用于認證防病毒代理的精巧掃描算法和多個 掃描引擎。運行這些精巧掃描算法以檢測可能存在的惡意代碼的存在。在一個實施例中, 黑名單病毒數(shù)據(jù)庫396可包括可供防病毒服務(wù)395用來認證掃描引擎的病毒的簽名。在一 個實施例中,遠程服務(wù)器392可響應(yīng)在遠程服務(wù)器392上支持掃描引擎時向ME 340發(fā)送掃 描主機OS 305的請求而接收處理器狀態(tài)。在一個實施例中,遠程服務(wù)器392可利用處理器 狀態(tài)來掃描主機OS 305。圖4中示出流程圖,該流程圖示出支持向防病毒代理提供掃描存儲器和存儲設(shè)備 的直接訪問權(quán)的技術(shù)的圖3中的平臺組件的操作。在方框410,平臺硬件150可允許將可解釋的防病毒代理下載到第三方或擴展型 第三方數(shù)據(jù)存儲區(qū)或被侵占的硬盤空間(stolen hard-disk space)。在一個實施例中,平 臺硬件150可支持通過VE 350從本地裝置或通過OOB通信通道348下載防病毒代理。在方框420,平臺硬件150可確保防病毒代理的下載不會被在0S305中運行的惡意 軟件中斷。在一個實施例中,平臺硬件150可允許將防病毒代理存儲在不會被在OS 305中 運行的惡意軟件影響的隔離的ME環(huán)境中。在方框430,平臺硬件150可認證可解釋的防病毒代理和掃描引擎。在一個實施 例中,在認證防病毒代理和掃描引擎之前,可管理引擎340的認證引擎345可驗證或檢查來 源、許可證以及其它類似這樣的認證標準。在方框440,平臺硬件150可檢查防病毒代理和掃描引擎是否通過認證,并且如果 防病毒代理和掃描引擎通過認證測試,則控制轉(zhuǎn)到方框450。在方框450,平臺硬件150可允許將防病毒代理加載到解釋器396。在方框460,平 臺硬件150可執(zhí)行防病毒代理。在一個實施例中,ME控制器342可處理經(jīng)過解釋的防病毒 代理。在一個實施例中,ME控制器342可允許防病毒代理訪問掃描至DMA接口 347的API, 這些API可允許防病毒代理直接掃描存儲器370和存儲裝置390。參考圖5,計算機系統(tǒng)500可包括通用處理器502和圖形處理器單元(GPU)505,通 用處理器502包括單指令多數(shù)據(jù)(SIMD)處理器。在一個實施例中,除了執(zhí)行各種其它任務(wù) 或存儲指令序列之外,處理器502還可執(zhí)行增強操作,以在機器可讀存儲介質(zhì)525中提供增 強操作。但是,指令序列也可存儲在存儲器520或任何其它合適的存儲介質(zhì)中。盡管圖5中描繪了獨立的圖形處理器單元505,但在一些實施例中,作為另一實 例,圖形處理器單元505可用于執(zhí)行增強操作。操作計算機系統(tǒng)500的處理器502可以是 耦合到邏輯530的一個或多個處理器核。邏輯530可耦合到可提供到計算機系統(tǒng)500的接 口的一個或多個I/O裝置560。例如,在一個實施例中,邏輯530可以是芯片組邏輯。邏輯 530耦合到存儲器520,存儲器520可以是任何種類的存儲設(shè)備,包括光、磁或半導體存儲設(shè) 備。圖形處理器單元505通過幀緩沖器510耦合到顯示器M0。邏輯530可支持可管理性引擎ME 532和虛擬器引擎VE 536。在一個實施例中, ME 532可類似于上文參考圖3描述的ME 340,而VE 536可類似于上文參考圖3描述的VE 350。在一個實施例中,邏輯530可接收來自獨立軟件供應(yīng)商的防病毒代理,在允許防病毒 代理直接掃描存儲器或存儲裝置之前認證防病毒代理。在一個實施例中,邏輯530可支持 防病毒代理的下載,認證所下載的防病毒代理,并允許防病毒代理在獨立于主機操作系統(tǒng) 503的ME 532的隔離環(huán)境中直接掃描存儲器和存儲裝置。在一個實施例中,可在本地從諸9如USB裝置的裝置或在遠程通過帶外通信通道從遠程服務(wù)器下載防病毒代理。在一個實施例中,遠程控制臺580可發(fā)送掃描主機OS 503的請求,并且邏輯530 上的ME 532可收集CPU控制寄存器504的處理器狀態(tài)信息,然后將處理器狀態(tài)信息提供給 遠程控制臺580。在一個實施例中,遠程控制臺580可利用處理器狀態(tài)信息來掃描主機OS 503。參考示范實施例描述了本發(fā)明的某些特征。但是,不希望以限制意義解釋本描述。 對于本發(fā)明所屬領(lǐng)域技術(shù)人員來說顯而易見的示范實施例的各種修改以及本發(fā)明的其它 實施例被視為落在本發(fā)明的精神和范圍內(nèi)。
權(quán)利要求
1.一種在計算機平臺中的方法,包括允許將防病毒代理下載到平臺硬件空間,所述平臺硬件空間與耦合到所述計算機平臺 的操作系統(tǒng)隔離;認證所述防病毒代理;以及為所述防病毒代理提供直接掃描耦合到所述計算機平臺的存儲器的訪問權(quán)。
2.如權(quán)利要求1所述的方法,其中通過驗證下載所述防病毒代理的來源來認證所述防 病毒代理,其中將所述防病毒代理下載到在所述平臺硬件內(nèi)提供的第三方數(shù)據(jù)存儲設(shè)備。
3.如權(quán)利要求2所述的方法,其中如果所述防病毒代理的所述認證失敗,則禁止處理 所述防病毒代理。
4.如權(quán)利要求2所述的方法,其中如果所述防病毒代理的所述認證成功,則向所述防 病毒代理提供掃描耦合到所述計算機平臺的存儲裝置的直接訪問權(quán)。
5.如權(quán)利要求4所述的方法,其中如果所述防病毒代理的所述認證成功,則向所述防 病毒代理提供通過直接存儲器訪問引擎掃描所述存儲器的直接訪問權(quán)。
6.如權(quán)利要求1所述的方法,包括在利用腳本引擎來支持所述防病毒代理通過所述 直接存儲器訪問弓I擎掃描所述存儲器之前認證所述腳本弓I擎。
7.如權(quán)利要求6所述的方法,包括通過利用密鑰驗證所述腳本引擎的簽名來認證所述 腳本引擎,其中所述密鑰存儲在閃速裝置中。
8.如權(quán)利要求7所述的方法,其中如果所述腳本引擎的簽名與存儲在所述閃速裝置中 的所述密鑰不匹配,則從靜態(tài)隨機存取存儲器刪除所述腳本引擎。
9.如權(quán)利要求2所述的方法,其中向所述防病毒代理提供通過虛擬器引擎掃描所述存 儲裝置的直接訪問權(quán)。
10.如權(quán)利要求1所述的方法,還包括利用處理器狀態(tài)信息來掃描所述操作系統(tǒng),其中 遠程服務(wù)器響應(yīng)接收到所述處理器狀態(tài)信息執(zhí)行所述掃描。
11.一種設(shè)備,包括包括可管理性引擎的平臺控制集線器,其中所述可管理性引擎用于存儲下載到平臺硬件空間的防病毒代理,所述平臺硬件空間與耦合到所述計算機平臺 的操作系統(tǒng)隔離,認證所述防病毒代理,以及向所述防病毒代理提供直接掃描耦合到所述平臺硬件的存儲器的訪問權(quán)。
12.如權(quán)利要求11所述的設(shè)備,所述可管理性引擎還包括認證引擎,其中所述認證引 擎通過驗證下載所述防病毒代理的來源來認證所述防病毒代理,其中將所述防病毒代理下 載到在所述平臺硬件內(nèi)提供的第三方數(shù)據(jù)存儲設(shè)備。
13.如權(quán)利要求12所述的設(shè)備,所述可管理性引擎還包括控制器塊,其中所述控制器 塊在所述防病毒代理的所述認證失敗時禁止所述防病毒代理得到處理。
14.如權(quán)利要求12所述的設(shè)備,其中所述控制器在所述防病毒代理的所述認證成功時 向所述防病毒代理提供掃描耦合到所述計算機平臺的存儲裝置的直接訪問權(quán)。
15.如權(quán)利要求14所述的設(shè)備,所述可管理性引擎還包括直接存儲器訪問引擎,其中 如果所述防病毒代理的所述認證成功,則所述直接存儲器訪問引擎支持所述防病毒代理直 接掃描所述存儲器。
16.如權(quán)利要求10所述的設(shè)備,其中所述控制器支持腳本引擎,其中所述認證引擎在 利用所述腳本引擎來支持所述防病毒代理通過所述直接存儲器訪問引擎掃描所述存儲器 之前認證所述腳本引擎。
17.如權(quán)利要求16所述的設(shè)備,其中所述認證引擎通過利用密鑰驗證所述腳本引擎的 簽名來認證所述腳本引擎,其中所述密鑰存儲在閃速裝置中。
18.如權(quán)利要求17所述的設(shè)備,其中如果所述腳本引擎的簽名與存儲在所述閃速裝置 中的所述密鑰不匹配,則所述控制器從靜態(tài)隨機存取存儲器刪除所述腳本引擎。
19.如權(quán)利要求12所述的設(shè)備,還包括虛擬器引擎,其中所述虛擬器引擎向所述防病 毒代理提供通過所述虛擬器引擎掃描所述存儲裝置的直接訪問權(quán)。
20.如權(quán)利要求11所述的設(shè)備,所述可管理性引擎向遠程服務(wù)器提供用于掃描所述操 作系統(tǒng)的處理器狀態(tài)信息。
全文摘要
一種計算機平臺可支持防病毒代理,可向這些防病毒代理提供直接掃描存儲器的訪問權(quán)。該計算機平臺可包括平臺控制集線器,平臺控制集線器可包括可管理性引擎和虛擬器引擎,其中可管理性引擎可允許將防病毒代理下載到與操作系統(tǒng)隔離的平臺硬件空間。可管理性引擎可認證防病毒代理,并為防病毒代理提供直接掃描耦合到平臺硬件的存儲器或存儲裝置的訪問權(quán)。
文檔編號G06F13/28GK102054138SQ201010538430
公開日2011年5月11日 申請日期2010年10月29日 優(yōu)先權(quán)日2009年10月30日
發(fā)明者D·M·德哈姆, 森德 D·N·科拉, H·M·霍斯拉維 申請人:英特爾公司