專利名稱:虛擬機(jī)的反惡意軟件保護(hù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬機(jī)�����,更具體地����,涉及虛擬機(jī)的反惡意軟件保護(hù)。
背景技術(shù):
虛擬機(jī)(VM)包括在主控計(jì)算機(jī)系統(tǒng)的客分區(qū)上執(zhí)行的軟件�����,該軟件通常好像它是獨(dú)立的物理機(jī)器那樣運(yùn)作��。一個(gè)計(jì)算機(jī)系統(tǒng)可以主控多個(gè)虛擬機(jī)�����,每個(gè)虛擬機(jī)運(yùn)行在一個(gè)虛擬機(jī)監(jiān)視器(VMM)上�����,該虛擬機(jī)監(jiān)視器也被稱為系統(tǒng)管理程序�,它控制計(jì)算機(jī)系統(tǒng)的資源在諸虛擬機(jī)之間的共享��。典型的虛擬機(jī)被運(yùn)行用于以比傳統(tǒng)的程序更加充分的方式來利用物理機(jī)器的硬件資源,并在同一時(shí)間在同一物理機(jī)器上運(yùn)行不同的操作系統(tǒng)�����。虛擬機(jī)變得越來越普遍�,并且像任何計(jì)算機(jī)系統(tǒng)一祥,虛擬機(jī)容易受到惡意的軟件����,即惡意軟件的攻擊。因此���,存在對(duì)于能夠保護(hù)它們的反惡意軟件產(chǎn)品的需求��。這可通過在每個(gè)客分區(qū)上運(yùn)行傳統(tǒng)的反惡意軟件的軟件來實(shí)現(xiàn)����。然而�����,以這樣方式操作存在多個(gè)缺點(diǎn)���,包括反惡意軟件組件在每個(gè)客分區(qū)上的重復(fù)����,由此,每個(gè)分區(qū)為該反惡意軟件組件消耗網(wǎng)絡(luò)���、存儲(chǔ)器以及CPU資源��。此外��,客反惡意軟件產(chǎn)品不能利用虛擬機(jī)服務(wù)的優(yōu)勢(shì)����,諸如快照或回滾的能力���。
發(fā)明內(nèi)容
提供本發(fā)明內(nèi)容以便以簡(jiǎn)化形式介紹將在以下的具體實(shí)施方式
中進(jìn)ー步描述的 ー些代表性概念����。本發(fā)明內(nèi)容不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或必要特征�����,也不旨在以限制所要求保護(hù)的主題的范圍的任何方式來使用�。簡(jiǎn)單來說����,此處所描述的主題的各方面涉及ー種技術(shù)�,通過該技術(shù)�����,對(duì)應(yīng)于虛擬機(jī)環(huán)境中的虛擬機(jī)的多個(gè)客分區(qū)共享ー個(gè)反惡意軟件掃描機(jī)制(例如�����,掃描組件)�����。為此�,客分區(qū)可包括與掃描機(jī)制通信的客反惡意軟件代理,以使用其共享的反惡意軟件掃描資源以及共享的反惡意軟件掃描功能�。例如,反惡意軟件掃描機(jī)制的資源可包括反惡意軟件簽名��, 使得每個(gè)分區(qū)不需要維護(hù)其自身的簽名�����。共享的反惡意軟件掃描功能可包括例如��,執(zhí)行對(duì)諸如從客反惡意軟件代理接收到的對(duì)象(例如文件)之類的數(shù)據(jù)的掃描的代碼。為了利用客操作系統(tǒng)的能力�,客反惡意軟件代理可執(zhí)行由反惡意軟件掃描組件提供的指令,以收集額外的掃描或遙測(cè)信息����,或采取針對(duì)所檢測(cè)到的惡意軟件的補(bǔ)救行動(dòng)。在ー個(gè)方面�����,管理組件被耦合到反惡意軟件掃描機(jī)制���,以便向反惡意軟件掃描機(jī)制提供虛擬機(jī)管理服務(wù)�。例如��,反惡意軟件掃描機(jī)制可與管理組件通信�����,以暫?�?头謪^(qū)�����、恢復(fù)客分區(qū)���、對(duì)客分區(qū)快照����、或?qū)⒖头謪^(qū)回滾到前ー個(gè)快照�。管理組件還可提供共享的編排用于掃描任何客分區(qū)。在一個(gè)實(shí)現(xiàn)中�,反惡意軟件掃描機(jī)制駐留在共享該反惡意軟件掃描機(jī)制的其他客分區(qū)分開的客分區(qū)中。在ー替換實(shí)現(xiàn)中��,反惡意軟件掃描機(jī)制駐留在虛擬機(jī)環(huán)境的根分區(qū)之上�����。結(jié)合附圖閱讀以下具體實(shí)施方式
���,本發(fā)明的其他優(yōu)點(diǎn)會(huì)變得顯而易見��。
作為示例而非限制�����,在附圖中示出了本發(fā)明��,附圖中相同的附圖標(biāo)記指示相同或相似的元素��,附圖中
圖I是表示示例虛擬機(jī)環(huán)境的框圖�,在其中,反惡意軟件掃描機(jī)制運(yùn)行在客分區(qū)上�,并且經(jīng)由客代理由客分區(qū)共享。
圖2是表示示例虛擬機(jī)環(huán)境的框圖����,在其中,反惡意軟件掃描機(jī)制運(yùn)行在根分區(qū)上����,并且經(jīng)由客代理由客分區(qū)共享。
圖3是表示用于實(shí)現(xiàn)虛擬機(jī)環(huán)境中的共享的反惡意軟件掃描機(jī)制的示例步驟的流程圖�。
圖4是表示用于在離線狀態(tài)下掃描客分區(qū)的示例步驟的流程圖。
圖5是代表示例性非限制聯(lián)網(wǎng)環(huán)境的框圖��,其中可實(shí)現(xiàn)此處描述的各種實(shí)施例��。
圖6是代表示例性非限制計(jì)算系統(tǒng)或運(yùn)行環(huán)境的框圖���,其中可實(shí)現(xiàn)此處所描述各種實(shí)施例的一個(gè)或多個(gè)方面�。
具體實(shí)施方式
此處所描述的技術(shù)的各方面一般涉及一種保護(hù)虛擬機(jī)免受惡意軟件危害的有效方式,其中每個(gè)虛擬機(jī)運(yùn)行在一個(gè)客分區(qū)上�。在一個(gè)實(shí)現(xiàn)中,反惡意軟件被分成分開的組件����,包括輕型代理�����、共享的掃描和簽名更新組件��、以及管理組件�����。代理運(yùn)行在所支持的可分區(qū)上并提供實(shí)時(shí)且在線的操作系統(tǒng)交互服務(wù)����。可駐留在分開的客分區(qū)或根分區(qū)上的掃描和簽名更新組件被配置為由其它客代理的每一個(gè)來使用�����。管理組件提供集中報(bào)告以及對(duì)虛擬機(jī)服務(wù)的訪問�����,并且,例如��,可例如駐留在根分區(qū)上���。
如將被理解的�,此處所描述的技術(shù)經(jīng)由共享的掃描組件為虛擬機(jī)環(huán)境中的多個(gè)客虛擬機(jī)提供集中的反惡意組件能力���。通過將掃描請(qǐng)求引向共享的掃描組件��,包括客分區(qū)上有可能的按需掃描以及補(bǔ)救(例如��,通過使用由共享的掃描組件所提供的簡(jiǎn)單腳本)��,這有助于實(shí)時(shí)反惡意軟件保護(hù)����。
此外�,管理組件通過運(yùn)行在根組件上,來向掃描組件提供暫停/繼續(xù)/快照/回滾以及檢測(cè)服務(wù)���。這有助于在經(jīng)由管理組件暫?����?头謪^(qū)時(shí)���,或在客沒有運(yùn)行(離線)時(shí)��,由掃描組件執(zhí)行客分區(qū)上的按需掃描和補(bǔ)救�����,而無需客代理的直接協(xié)作(例如,如果客代理被危及或不可用)�����,這可被用來檢測(cè)具有從客代理方面躲過或抵抗的能力的惡意軟件�����。
應(yīng)當(dāng)理解的是���,此處的任何示例均是非限制的���。例如��,雖然描述的是諸如文件之類的對(duì)象的掃描��,但諸如用于網(wǎng)絡(luò)入侵檢測(cè)��、數(shù)據(jù)泄漏�、客校驗(yàn)等等之類的其它內(nèi)容的安全性評(píng)估可受益于此處所描述的技術(shù)���。因此��,本發(fā)明不限制于在此描述的任何具體的實(shí)施例����、方面�����、概念�����、結(jié)構(gòu)���、功能或示例�。相反,此處所描述的實(shí)施例�����、方面�����、概念�、結(jié)構(gòu)、功能或示例中的任一個(gè)都是非限制性的�,并且本發(fā)明一般能夠以在虛擬計(jì)算和/或針對(duì)惡意軟件的保護(hù)方面提供好處和優(yōu)點(diǎn)的各種方式來使用。
圖I示出了配置為具有虛擬機(jī)分布式反惡意軟件的計(jì)算系統(tǒng)102的示例組件�����。該實(shí)例化的實(shí)現(xiàn)中的組件包括駐留在專用掃描客分區(qū)106上的掃描機(jī)制104(包括一個(gè)或多個(gè)反惡意組件)���,以及作為根分區(qū)112上的客管理服務(wù)110的一部分的反惡意軟件管理組件108(可通過局部或遠(yuǎn)程管理控制臺(tái)109與其接ロ )。需要注意的是���,圖1僅僅是ー種可能的部署的非限制性示例����,其它部署也是可行的,包括圖2中所表示的示例部署��。一般來說�,根分區(qū)112包括運(yùn)行中的操作系統(tǒng)環(huán)境,從中可控制其它虛擬機(jī)客分區(qū)106和1141-lHm的狀態(tài)�����。每個(gè)客分區(qū)106和1141_lHm對(duì)應(yīng)于虛擬機(jī)或不是根分區(qū) 112的機(jī)器分區(qū)�����。被提供了實(shí)時(shí)反惡意軟件支持的每個(gè)客分區(qū)1141-lHm包括各自的客代理 1161-116m�,包括為該客分區(qū)提供實(shí)時(shí)保護(hù)服務(wù)以及可能的其它服務(wù)的軟件。每個(gè)客代理 1161-116m對(duì)于被運(yùn)行在其各自的客分區(qū)1141_lHm上的操作系統(tǒng)是專用的��。值得注意的是�����,雖然沒有在圖1中示出�,包含惡意軟件掃描機(jī)制104的客分區(qū)106也可包括這樣ー個(gè)客代理。為了保護(hù)客代理不被成功危及ー個(gè)客分區(qū)的惡意代碼所篡改��,ー個(gè)“特權(quán)”保護(hù)組件(例如運(yùn)行在根分區(qū)或?qū)S冒踩摂M機(jī)內(nèi))可監(jiān)視客虛擬機(jī)的客代理以及其它相關(guān)組件的完整性��。每個(gè)客代理(例如,1161)向?qū)崟r(shí)系統(tǒng)監(jiān)視提供檢測(cè)和阻止訪問對(duì)象的能力���。為此���,客代理1161與掃描客分區(qū)106雙向(例如,高速地)通信�。值得注意的是,任何通信機(jī)制是可行的����,諸如通過根分區(qū)、通過模擬的網(wǎng)絡(luò)接ロ等等�����;然而�,在一個(gè)實(shí)現(xiàn)中�,通信是在高速總線或存在于各分區(qū)之間的共享的存儲(chǔ)器塊上的。任何客代理(例如�,1161)可被配置為具有用戶接ロ,諸如如果客分區(qū)被經(jīng)常交互式地使用的話��。這ー用戶接ロ可將客可視性的交互式用戶提供到客的當(dāng)前安全狀態(tài)中�,或者允許交互式用戶請(qǐng)求反惡意軟件組件開始專用的按需掃描���。每個(gè)諸如代理1161之類的客代理可被(可選地)配置為具有運(yùn)行簡(jiǎn)單腳本的能力,例如由掃描客分區(qū)106通過如此處大致描述的合適的雙向通信而提供的簡(jiǎn)單腳本�。為代理配置運(yùn)行腳本的能力避免了代理用它自身的關(guān)于掃描什么、當(dāng)檢測(cè)到惡意軟件時(shí)做什么之類作出決策的邏輯來編碼的需要�。例如,為了掃描客分區(qū)的文件��,腳本可請(qǐng)求代理將其文件或文件的某些子集饋送給反惡意軟件掃描機(jī)制104�,反惡意軟件掃描機(jī)制對(duì)它們進(jìn)行掃描,可執(zhí)行ー些諸如清理文件之類的必要的補(bǔ)救���,并且可將掃描/補(bǔ)救的結(jié)果返回給代理��,結(jié)果包括具有要采取的動(dòng)作的腳本�����,例如待刪除或隔離的文件���。這些腳本可包括觸碰資源的能力(例如觸發(fā)實(shí)時(shí)傳輸協(xié)議能力),并還可修改或中止/刪除資源��。反惡意軟件掃描機(jī)制104執(zhí)行掃描、補(bǔ)救����、簽名更新操作,以及總的來說與客代理和/或管理組件的協(xié)作強(qiáng)制執(zhí)行安全策略的反惡意軟件方面����。總的來說�����,反惡意軟件掃描機(jī)制104為客代理1161-116m提供反惡意軟件掃描作為服務(wù)�。此外,反惡意軟件掃描機(jī)制 104還可啟動(dòng)針對(duì)客分區(qū)的掃描或補(bǔ)救動(dòng)作����,諸如協(xié)作地使用客代理的服務(wù),或(例如當(dāng)客分區(qū)暫停/離線時(shí))可替換地通過管理組件108的支持而無需客分區(qū)的知曉或同意�����。對(duì)于實(shí)時(shí)監(jiān)視���,反惡意軟件掃描機(jī)制104與客代理1161-116m雙向通信,包括在一個(gè)實(shí)現(xiàn)中標(biāo)識(shí)從客分區(qū)傳輸而來的內(nèi)容中的任何惡意軟件??偟膩碚f,對(duì)于實(shí)時(shí)監(jiān)視����,每個(gè)代理將諸如對(duì)象集(包括一個(gè)或多個(gè)諸如文件、注冊(cè)表數(shù)據(jù)���、進(jìn)程之類的對(duì)象)之類的數(shù)據(jù)饋送給反惡意軟件掃描機(jī)制104����,反惡意軟件掃描機(jī)制隨后針對(duì)反惡意軟件簽名對(duì)數(shù)據(jù)進(jìn)行評(píng)估���,并返回結(jié)果�,可能采取補(bǔ)救動(dòng)作(例如�����,清理對(duì)象)和/或包括用于代理諸如經(jīng)由腳本采取補(bǔ)救動(dòng)作(例如移除文件或隔離文件)的腳本指令��。
值得注意的是�,向客代理1161-116m的一些或全部提供一些它們自身的掃描能力 /智能是可行的,而不是讓它們簡(jiǎn)單地轉(zhuǎn)發(fā)對(duì)象并接收和執(zhí)行腳本結(jié)果��。例如,如果某個(gè)病毒當(dāng)前正廣泛傳播��,反惡意軟件掃描機(jī)制104可向客代理提供簽名的一個(gè)子集來針對(duì)給定文件或文件類型進(jìn)行查找�,藉此客代理可在遇到這類文件的情況下自己處理掃描或補(bǔ)救。 這可經(jīng)由腳本和/或在某種程度上通過將基本掃描功能編入代理來實(shí)現(xiàn)��。
共享的掃描機(jī)制104的另一好處是簽名以及其它掃描組件可以被更新而無需經(jīng)過明顯的掃描停止時(shí)間����。此外,信息可被上傳到一遠(yuǎn)程位置�,諸如數(shù)據(jù)、報(bào)告和樣本對(duì)象遞交以供后續(xù)分析等等��。共享的掃描機(jī)制104的這一方面在圖I中通過簽名/遙測(cè)/云服務(wù) 118示出���。值得注意的是�,其它客分區(qū)1141-11 不需要具有訪問因特網(wǎng)的能力��,例如�,可仍然獲益于共享的客分區(qū)106的更新和遙測(cè)訪問。
另外���,反惡意軟件掃描機(jī)制104的遠(yuǎn)程訪問能力可包括與共享的“云掃描”服務(wù)通信��,用于針對(duì)還未匹配于簽名的可疑內(nèi)容的決策(感染的或干凈的)���。反惡意軟件掃描機(jī)制 104可代表多個(gè)客進(jìn)行這類詢問,使得客享受到云服務(wù)的益處而無需直接的因特網(wǎng)訪問�����。并且���,反惡意軟件掃描機(jī)制104可對(duì)結(jié)果進(jìn)行高速緩存���,使得即使多個(gè)客在查看同樣的可疑內(nèi)容,也僅必須對(duì)云服務(wù)進(jìn)行一次請(qǐng)求��。
反惡意軟件掃描機(jī)制104還具有與反惡意管理組件108的通信鏈接�����。如以上所描述的��,這為反惡意軟件掃描機(jī)制104提供了將反惡意軟件掃描與虛擬機(jī)管理能力集成的能力���。例如�����,反惡意軟件掃描機(jī)制104可請(qǐng)求管理組件108暫??头謪^(qū),由此為掃描機(jī)制104 提供離線地掃描客分區(qū)(或其快照)的能力����,和/或操縱離線客分區(qū)(或其快照)以移除惡意軟件的能力。如果檢測(cè)到嚴(yán)重的問題����,即,諸如如果客崩潰了�,或如果不能被清理的操作系統(tǒng)文件被感染但是因?yàn)樵撐募沁\(yùn)行操作系統(tǒng)所必須的不能被在線替換,可響應(yīng)性地執(zhí)行離線掃描�。還可主動(dòng)執(zhí)行離線掃描,例如�����,在啟動(dòng)客分區(qū)之前��;如果分區(qū)已知在啟動(dòng)時(shí)是未被感染的���,但隨后在運(yùn)行中被感染����,則可作出快速診斷。這一集成能力還提供在不被客代理所支持的客上執(zhí)行掃描和補(bǔ)救的能力����。
管理組件108因而包括具有能夠訪問虛擬機(jī)管理服務(wù)110的組件�����。在圖I的例示實(shí)現(xiàn)中�,管理組件108是虛擬機(jī)管理服務(wù)110的一部分,并與掃描機(jī)制104通信����,但不與個(gè)別的客代理1161-116m通信。在其操作中�,管理組件108可監(jiān)視掃描組件的狀態(tài),使得如果掃描組件和/或掃描分區(qū)變得無反應(yīng)����,管理組件108可重新啟動(dòng)掃描組件或掃描分區(qū),和/ 或發(fā)出警報(bào)����。值得注意的是���,一些惡意軟件活動(dòng)嘗試禁用反惡意軟件保護(hù),并且具有用于監(jiān)視客的共享的掃描服務(wù)��,有助于使代理抗篡改地運(yùn)行在客中����。
此外,管理組件108能夠用作與安全管理控制臺(tái)109通信往來的集中收集點(diǎn)和中介���。管理組件108可為掃描分區(qū)106提供在線能力以操縱客分區(qū)����,包括停止受感染的客或?qū)⒖头謪^(qū)恢復(fù)到快照����。管理組件108可向掃描機(jī)制104提供離線操縱客分區(qū)的能力。
值得注意的是����,盡管管理組件108具有訪問虛擬機(jī)管理服務(wù)110的能力和與掃描組件104協(xié)調(diào)的能力,以及通過任何中央安全管理服務(wù)報(bào)告(并且可能被重新配置)的能力����,管理組件108是與虛擬機(jī)管理���、反惡意軟件管理、以及掃描機(jī)制104不同的組件����。管理組件108甚至不需要位于與這些組件相同的計(jì)算機(jī)系統(tǒng)上,只要它們能夠例如通過網(wǎng)絡(luò)連接通信�����。然而�,將管理組件108部署在根分區(qū)112上(如圖I中所例示的)總體減少了與掃描分區(qū)106和虛擬機(jī)管理服務(wù)110通信的等待時(shí)間�����。
如圖I中所示�,掃描機(jī)制104可駐于專用的掃描客分區(qū)106上;(值得注意的是����, 此處所使用的“專用的”指的是具有為掃描功能所保留的資源,而不是意味著這一分區(qū)不能也被用于其它目的)����。這一實(shí)現(xiàn)提供了反惡意軟件掃描機(jī)制104 (其組件經(jīng)常被安全缺陷所定位)與根分區(qū)112之間的安全邊界��。盡管沒有明確示出�,但可使用多個(gè)掃描分區(qū)�,諸如用于失效備援能力,例如如果一個(gè)掃描分區(qū)故障�,另一個(gè)掃描分區(qū)可快速地繼續(xù)并代替它。負(fù)載平衡和/或工作負(fù)載分布����,例如,在單個(gè)掃描分區(qū)不能滿足掃描需要的情況下��,是另一種可能的多掃描分區(qū)應(yīng)用����。
在一個(gè)替換實(shí)現(xiàn)中,如圖2大致表示的(其中相同的組件被標(biāo)記為2xx�,替代圖I 中的Ixx),掃描組件204 (或不止一個(gè))可被部署在根分區(qū)212中�。這具有顯著優(yōu)化的可能,其在提供對(duì)于管理組件和所存儲(chǔ)的客分區(qū)狀態(tài)的直接訪問的同時(shí)節(jié)省了整個(gè)客分區(qū)/ 操作系統(tǒng)的開銷��。然而����,這要求掃描組件對(duì)被部署在根分區(qū)212上的操作系統(tǒng)可用��,并且減少了對(duì)根分區(qū)212的針對(duì)來自在客分區(qū)上找到的內(nèi)容的可能使用進(jìn)行的保護(hù)�。
通過概述的方式��,圖3示出了可被采用來使用上述的組件提供反惡意軟件保護(hù)的示例步驟���。步驟302和304分別表示運(yùn)行客分區(qū)和反惡意軟件代理�����,以及運(yùn)行共享的反惡意軟件掃描機(jī)制��;值得注意的是���,雖然僅示出了一個(gè)代理�,可以理解的是類似步驟可與被運(yùn)行的多個(gè)代理的其它的每一個(gè)代理一起被執(zhí)行。還值得注意的是��,步驟302和304由圖I 中的實(shí)現(xiàn)中的虛擬機(jī)管理來執(zhí)行�,然而步驟304可由圖2中的實(shí)現(xiàn)中的其它根分區(qū)軟件來執(zhí)行,在圖2中�����,共享的反惡意軟件掃描機(jī)制沒有被運(yùn)行在客分區(qū)中。
步驟306-318表示由反惡意軟件掃描機(jī)制執(zhí)行并且從反惡意軟件掃描機(jī)制的視角執(zhí)行的示例動(dòng)作�,其中代理依賴于用于掃描的反惡意軟件掃描機(jī)制。步驟306表示向代理提供諸如腳本的信息�����。在不是實(shí)時(shí)掃描的掃描中���,腳本可標(biāo)識(shí)提供什么文件�����、文件夾�����、或其它操作系統(tǒng)資源來掃描���、提供什么文件類型等等。在實(shí)時(shí)掃描中����,信息可以是告訴代理掃描被開啟�、以及代理將為反惡意軟件掃描機(jī)制提供各個(gè)合適的對(duì)象用于實(shí)時(shí)掃描的指示之類����。
步驟308表示代理向反惡意軟件掃描機(jī)制提供諸如對(duì)象集(例如,一個(gè)或多個(gè)文件���、注冊(cè)表數(shù)據(jù)或其它數(shù)據(jù)塊)之類的數(shù)據(jù)��,反惡意軟件掃描機(jī)制接收數(shù)據(jù)用于掃描�,如步驟310所表示的���。如果數(shù)據(jù)包含惡意軟件����,步驟312針對(duì)該數(shù)據(jù)采取動(dòng)作�����,如步驟314所表示的�。如上所述的�����,這可通過在反惡意軟件掃描機(jī)制中執(zhí)行補(bǔ)救來實(shí)現(xiàn),例如在返回?cái)?shù)據(jù)之前清理數(shù)據(jù)��,和/或構(gòu)建指示代理采取一些補(bǔ)救動(dòng)作(例如���,移除文件�����、隔離文件�����、將經(jīng)清理的文件寫回)的結(jié)果����。
值得注意的是�����,有時(shí)���,惡意軟件不能被已危及的虛擬機(jī)所清理���。在沒有被配置為虛擬環(huán)境的計(jì)算機(jī)系統(tǒng)中���,人類操作員干預(yù)是需要的,通常通過重新安裝機(jī)器來實(shí)現(xiàn)���。然而�����, 在虛擬環(huán)境中��,管理組件可自動(dòng)(可能在尋求管理員授權(quán)之后)將虛擬機(jī)恢復(fù)到先前的已知的好的快照���,或者通過重建虛擬機(jī)鏡像來實(shí)現(xiàn)。
步驟316將結(jié)果返回給代理��,結(jié)果可包括代理將執(zhí)行的一個(gè)或多個(gè)動(dòng)作的腳本�����, 和/或?qū)τ谙乱粩?shù)據(jù)集的請(qǐng)求�。步驟318表示如果掃描完成則結(jié)束掃描過程,或者如果需要更多掃描則繼續(xù)該掃描過程����,這可能是由于存在至少一個(gè)更多數(shù)據(jù)集待掃描,或者由于掃描是實(shí)時(shí)監(jiān)視操作�,實(shí)時(shí)監(jiān)視操作通過持續(xù)地不確定的等待下一數(shù)據(jù)集來實(shí)現(xiàn)。
圖4是客分區(qū)的離線掃描的示例��,在步驟402處開始�,在步驟402,管理組件108接收(例如�,來自反惡意軟件掃描機(jī)制104的)將客分區(qū)改為離線狀態(tài)的請(qǐng)求。一旦處于離線狀態(tài)��,步驟406-412表示由自反惡意軟件掃描機(jī)制104執(zhí)行的示例動(dòng)作或者從自反惡意軟件掃描機(jī)制104的視角執(zhí)行的示例動(dòng)作�����。如果在掃描(步驟406)期間在步驟408碰到了惡意軟件����,則在步驟410執(zhí)行補(bǔ)救。值得注意的是��,代理是離線的�,并且因此不能參與補(bǔ)救,補(bǔ)救可包括清理����、移動(dòng)或隔離文件�����、以及可能地替換在在線狀態(tài)下不能被替換的毀壞的操作系統(tǒng)文件��。還值得注意的是���,步驟410表示存儲(chǔ)惡意軟件補(bǔ)救的結(jié)果,用于分析目的��、 用于告知客分區(qū)碰到了什么����、用于上傳遙測(cè)數(shù)據(jù)等等。步驟412重復(fù)掃描����,直到掃描完成, 例如�,所有的合適的文件系統(tǒng)文件已經(jīng)被掃描。當(dāng)完成后�����,步驟414和416由管理組件108執(zhí)行來將客分區(qū)恢復(fù)到在線狀態(tài),例如����,如反惡意軟件掃描機(jī)制104所請(qǐng)求的。示例性聯(lián)網(wǎng)以及分布式環(huán)境本領(lǐng)域技術(shù)人員可以理解����,此處描述的各實(shí)施例和方法可結(jié)合任何計(jì)算機(jī)或其它客戶機(jī)或服務(wù)器設(shè)備來實(shí)現(xiàn)�����,其可被部署為計(jì)算機(jī)網(wǎng)絡(luò)的部分或在分布式計(jì)算環(huán)境中�����,并且可以被連接到任何類型ー個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)���。在這一點(diǎn)上�,此處描述的各實(shí)施例可在具有任何數(shù)量的存儲(chǔ)器或存儲(chǔ)單元的���、并且任何數(shù)量的應(yīng)用和進(jìn)程跨任何數(shù)量的存儲(chǔ)單元發(fā)生的任何計(jì)算機(jī)系統(tǒng)或環(huán)境中實(shí)現(xiàn)����。這包括但不限于具有部署在具有遠(yuǎn)程或本地存儲(chǔ)的網(wǎng)絡(luò)環(huán)境或分布式計(jì)算環(huán)境中的服務(wù)器計(jì)算機(jī)和客戶計(jì)算機(jī)的環(huán)境。分布式計(jì)算通過計(jì)算設(shè)備和系統(tǒng)之間的通信交換來提供計(jì)算機(jī)資源和服務(wù)的共享��。這些資源和服務(wù)包括信息的交換�、對(duì)于諸如文件之類的對(duì)象的高速緩存存儲(chǔ)和盤存儲(chǔ)。 這些資源和服務(wù)還包括多個(gè)處理単元之間的處理能力共享以便進(jìn)行負(fù)載平衡�����、資源擴(kuò)展����、 處理專門化等等。分布式計(jì)算利用網(wǎng)絡(luò)連接�����,從而允許客戶機(jī)利用其集體力量來使整個(gè)企業(yè)受益�。就此,各種設(shè)備可具有可如參考本發(fā)明的各實(shí)施例描述地參與資源管理機(jī)制的應(yīng)用��、對(duì)象或資源�����。圖5提供了示例性的聯(lián)網(wǎng)或分布式計(jì)算環(huán)境的示意圖�。該分布式計(jì)算環(huán)境包括計(jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520、522�����、524����、526、5觀等�����,這些計(jì)算對(duì)象或設(shè)備可包括如由示例應(yīng)用530��、532��、534�、536���、538表示的程序����、方法���、數(shù)據(jù)存儲(chǔ)���、可編程邏輯等���。可以理解����,計(jì)算對(duì)象510、512等以及計(jì)算對(duì)象或設(shè)備520��、522�、524、526���、5觀等可包括不同的設(shè)備�,諸如個(gè)人數(shù)字助理(PDA)����、音頻/視頻設(shè)備、移動(dòng)電話��、MP3播放器���、個(gè)人計(jì)算機(jī)����、膝上型計(jì)算機(jī)等。每個(gè)計(jì)算對(duì)象510��、512等以及計(jì)算對(duì)象或設(shè)備520����、522、524��、526��、5沘等可經(jīng)由通信網(wǎng)絡(luò)540直接或間接地與一個(gè)或多個(gè)其他計(jì)算對(duì)象510��、512等以及計(jì)算對(duì)象或設(shè)備520��、 522����、524�����、526、5 等通信�����。盡管在圖5中被示為單個(gè)元件�����,但通信網(wǎng)絡(luò)540可包括向圖5的系統(tǒng)提供服務(wù)的其他計(jì)算對(duì)象和計(jì)算設(shè)備和/或可表示未示出的多個(gè)互連網(wǎng)絡(luò)���。每個(gè)計(jì)算對(duì)象510�����、512等或計(jì)算對(duì)象或設(shè)備520����、522����、524、526�、5觀等還可以包含應(yīng)用,諸如可以利用API或其他對(duì)象�����、軟件、固件和/或硬件的���、適于根據(jù)本發(fā)明的各實(shí)施例所提供的應(yīng)用實(shí)現(xiàn)與其進(jìn)行通信的應(yīng)用530���、532、534����、536、538����。存在支持分布式計(jì)算環(huán)境的各種系統(tǒng)、組件和網(wǎng)絡(luò)配置�����。例如�,計(jì)算系統(tǒng)可由有線或無線系統(tǒng)�、本地網(wǎng)絡(luò)或廣泛分布的網(wǎng)絡(luò)連接在一起。當(dāng)前�,許多網(wǎng)絡(luò)被耦合至因特網(wǎng)�,后者為廣泛分布的計(jì)算提供了基礎(chǔ)結(jié)構(gòu)并包含許多不同的網(wǎng)絡(luò)���,但任何網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)都可用于便于與如各實(shí)施例中所描述的系統(tǒng)的示例性通信���。
由此,可使用諸如客戶機(jī)/服務(wù)器���、對(duì)等��、或混合體系結(jié)構(gòu)之類的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主機(jī)�?��!翱蛻魴C(jī)”是使用與其無關(guān)的另一類或組的服務(wù)的一類或組中的成員�?�?蛻魴C(jī)可以是進(jìn)程�����,例如����,大致上是請(qǐng)求另一程序或進(jìn)程所提供的服務(wù)的一組指令或任務(wù)�?����?蛻魴C(jī)進(jìn)程使用所請(qǐng)求的服務(wù)�,而無需“知道”關(guān)于其他程序或服務(wù)本身的任何工作細(xì)節(jié)。
在客戶機(jī)/服務(wù)器體系結(jié)構(gòu)中����,尤其在聯(lián)網(wǎng)系統(tǒng)中,客戶機(jī)通常是訪問另一計(jì)算機(jī)(例如���,服務(wù)器)所提供的共享網(wǎng)絡(luò)資源的計(jì)算機(jī)���。在圖5的圖示中,作為非限制性示例���,計(jì)算對(duì)象或設(shè)備520��、522、524��、526�、528等可被認(rèn)為是客戶機(jī)而計(jì)算對(duì)象510�、512等可被認(rèn)為是服務(wù)器�,其中計(jì)算對(duì)象510、512等作為提供數(shù)據(jù)服務(wù)的服務(wù)器�,諸如從客戶機(jī)計(jì)算對(duì)象或設(shè)備520、522�����、524�、526、528等接收數(shù)據(jù)�����、存儲(chǔ)數(shù)據(jù)�、處理數(shù)據(jù)、向客戶機(jī)計(jì)算對(duì)象或設(shè)備520�、522、524����、526、528等發(fā)送數(shù)據(jù)���,但任何計(jì)算機(jī)都可取決于環(huán)境而被認(rèn)為是客戶機(jī)�����、服務(wù)器���、或兩者���。
服務(wù)器通常是可通過諸如因特網(wǎng)或無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之類的遠(yuǎn)程網(wǎng)絡(luò)或本地網(wǎng)絡(luò)訪問的遠(yuǎn)程計(jì)算機(jī)系統(tǒng)?��?蛻魴C(jī)進(jìn)程可在第一計(jì)算機(jī)系統(tǒng)中活動(dòng)�����,而服務(wù)器進(jìn)程可在第二計(jì)算機(jī)系統(tǒng)中活動(dòng)����,它們通過通信介質(zhì)相互通信���,由此提供分布式功能并允許多個(gè)客戶機(jī)利用服務(wù)器的信息收集能力��。
在通信網(wǎng)絡(luò)540或總線是因特網(wǎng)的網(wǎng)絡(luò)環(huán)境中���,例如,計(jì)算對(duì)象510��、512等可以是其他計(jì)算對(duì)象或設(shè)備520�、522、524��、526���、528等經(jīng)由諸如超文本傳輸協(xié)議(HTTP)之類的多種已知協(xié)議中的任一種與其通信的Web服務(wù)器�����。計(jì)算對(duì)象510�、512等作為服務(wù)器還可用作例如計(jì)算對(duì)象或設(shè)備520���、522����、524�����、526、528等的客戶機(jī)�����,這可以是如分布式計(jì)算環(huán)境的特性�����。
示例性計(jì)算設(shè)備
如上所述���,有利地�����,本文所描述的技術(shù)可應(yīng)用于任何設(shè)備�����。因此�����,應(yīng)當(dāng)理解�����,構(gòu)想了結(jié)合各實(shí)施例使用的所有種類的手持式���、便攜式和其它計(jì)算設(shè)備和計(jì)算對(duì)象�。因此����,以下在圖6中所述的通用遠(yuǎn)程計(jì)算機(jī)只是計(jì)算設(shè)備的一個(gè)示例��。
各實(shí)施例可部分地經(jīng)由操作系統(tǒng)來實(shí)現(xiàn)��,以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用和/ 或被包括在用于執(zhí)行此處所述的各實(shí)施例的一個(gè)或多個(gè)功能方面的應(yīng)用軟件內(nèi)����。軟件可以在由諸如客戶機(jī)工作站、服務(wù)器或其它設(shè)備等一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行的諸如程序模塊等計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述�����。本領(lǐng)域的技術(shù)人員可以理解�,計(jì)算機(jī)系統(tǒng)具有可用于傳遞數(shù)據(jù)的各種配置和協(xié)議,并且由此沒有特定配置或協(xié)議應(yīng)當(dāng)被認(rèn)為是限制性的�。
圖6由此示出了其中可實(shí)現(xiàn)本文所述的各實(shí)施例的一個(gè)或多個(gè)方面的合適的計(jì)算系統(tǒng)環(huán)境600的一個(gè)示例,盡管如上所述�����,計(jì)算系統(tǒng)環(huán)境600僅為合適的計(jì)算環(huán)境的一個(gè)示例,并非對(duì)使用范圍或功能提出任何限制��。此外�����,也不應(yīng)當(dāng)將計(jì)算系統(tǒng)環(huán)境600解釋為對(duì)在示例性計(jì)算系統(tǒng)環(huán)境600中所示的組件中的任何一個(gè)或其組合有任何依賴���。
參考圖6���,用于實(shí)現(xiàn)一個(gè)或多個(gè)實(shí)施例的示例性遠(yuǎn)程設(shè)備包括計(jì)算機(jī)610形式的通用計(jì)算設(shè)備。計(jì)算機(jī)610的組件可包括��,但不限于�����,處理單元620�、系統(tǒng)存儲(chǔ)器630、以及將包括系統(tǒng)存儲(chǔ)器的各種系統(tǒng)組件耦合到處理單元622的系統(tǒng)總線620�����。
計(jì)算機(jī)610通常包括各種計(jì)算機(jī)可讀介質(zhì),并且可以是可由計(jì)算機(jī)610訪問的任何可用介質(zhì)�����。系統(tǒng)存儲(chǔ)器630可包括諸如只讀存儲(chǔ)器(ROM)和/或隨機(jī)存取存儲(chǔ)器(RAM) 之類的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)���。作為示例而非限制�,系統(tǒng)存儲(chǔ)器630還可包括操作系統(tǒng)�、應(yīng)用程序��、其他程序模塊��、以及程序數(shù)據(jù)���。用戶可通過輸入設(shè)備640向計(jì)算機(jī)610輸入命令和信息��。監(jiān)視器或其他類型的顯示設(shè)備也經(jīng)由諸如輸出接ロ 650之類的接ロ連接到系統(tǒng)總線622�。除監(jiān)視器以外�,計(jì)算機(jī)還可包括諸如揚(yáng)聲器和打印機(jī)之類的其他外圍輸出設(shè)備,它們可通過輸出接ロ 650連接����。計(jì)算機(jī)610可使用到ー個(gè)或多個(gè)其他遠(yuǎn)程計(jì)算機(jī)(諸如遠(yuǎn)程計(jì)算機(jī)670)的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作�����。遠(yuǎn)程計(jì)算機(jī)670可以是個(gè)人計(jì)算機(jī)���、服務(wù)器、路由器�、網(wǎng)絡(luò)PC、對(duì)等設(shè)備或其他常見網(wǎng)絡(luò)節(jié)點(diǎn)����、或者任何其他遠(yuǎn)程媒體消費(fèi)或傳輸設(shè)備,并且可包括以上關(guān)于計(jì)算機(jī)610所述的任何或全部元件�。圖6所示的邏輯連接包括諸如局域網(wǎng)(LAN) 或廣域網(wǎng)(WAN)之類的網(wǎng)絡(luò)672,但也可包括其他網(wǎng)絡(luò)/總線�。這些聯(lián)網(wǎng)環(huán)境在家庭、辦公室��、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)����、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。如上所述�����,盡管結(jié)合各種計(jì)算設(shè)備和網(wǎng)絡(luò)體系結(jié)構(gòu)描述了各示例性實(shí)施例,但基本概念可被應(yīng)用于其中期望改進(jìn)資源使用的效率的任何網(wǎng)絡(luò)系統(tǒng)和任何計(jì)算設(shè)備或系統(tǒng)���。而且�����,存在實(shí)現(xiàn)相同或相似功能的多種方法����,例如適當(dāng)?shù)腁PI�����、工具箱����、驅(qū)動(dòng)程序代碼���、操作系統(tǒng)�、控件����、獨(dú)立或可下載軟件對(duì)象等�����,它們使得應(yīng)用和服務(wù)能夠使用此處提供的技木����。由此��,此處的各實(shí)施例從API (或其他軟件對(duì)象)的觀點(diǎn)以及從實(shí)現(xiàn)如此處描述的ー 個(gè)或多個(gè)實(shí)施例的軟件或硬件對(duì)象構(gòu)想�����。由此�,此處所述的各實(shí)施例可具有完全采用硬件、 部分采用硬件并且部分采用軟件��、以及采用軟件的方面�。本文中所使用的詞語“示例性”意味著用作示例、實(shí)例�����、或說明�����。為避免疑惑,本文所公開的主題不限于這些示例��。另外����,在此所述的被描述為“示例性”的任意方面或設(shè)計(jì)并不一定要被解釋為相比其它方面或設(shè)計(jì)更優(yōu)選或有利。此外��,在使用術(shù)語“包括”�、“具有”、 “包含”和其他類似詞語的程度上��,為避免疑惑�����,這些術(shù)語旨在當(dāng)用于權(quán)利要求中時(shí)以類似于術(shù)語“包括”作為開放的過渡詞的方式是包含性的而不排除任何附加或其他元素�����。如所述的��,此處所述的各種技術(shù)可結(jié)合硬件或軟件或��,在適當(dāng)時(shí)����,以兩者的組合來實(shí)現(xiàn)。如此處所使用的�,術(shù)語“組件”、“模塊”����、“系統(tǒng)”等同樣旨在指計(jì)算機(jī)相關(guān)實(shí)體,或者是硬件�����、硬件和軟件的組合���、軟件或者是執(zhí)行中的軟件�。例如��,組件可以是�����,但不限干�����,在處理器上運(yùn)行的進(jìn)程、處理器�����、對(duì)象����、可執(zhí)行碼、執(zhí)行的線程�、程序和/或計(jì)算機(jī)。作為說明�����,在計(jì)算機(jī)上運(yùn)行的應(yīng)用和計(jì)算機(jī)都可以是組件���。一個(gè)或多個(gè)組件可駐留在進(jìn)程和/或執(zhí)行的線程內(nèi)����,并且組件可位于ー個(gè)計(jì)算機(jī)上和/或分布在兩個(gè)或更多的計(jì)算機(jī)之間�����。如前所述的系統(tǒng)已經(jīng)參考若干組件之間的交互來描述���?����?梢岳斫?���,這些系統(tǒng)和組件可包括組件或指定的子組件����、某些指定的組件或子組件和/或附加的組件,并且根據(jù)上述內(nèi)容的各種置換和組合����。子組件還可作為通信地耦合到其他組件的組件來實(shí)現(xiàn),而不是被包括在父組件內(nèi)(層次性)�����。另外�����,應(yīng)注意到一個(gè)或多個(gè)組件可被組合成提供聚集功能的單個(gè)組件,或被分成若干単獨(dú)的子組件�����,且諸如管理層等任何ー個(gè)或多個(gè)中間層可被設(shè)置成通信耦合到這樣的子組件以便提供集成功能�。此處所述的任何組件也可與ー個(gè)或多個(gè)此處未專門描述的但本領(lǐng)域技術(shù)人員一般已知的其他組件進(jìn)行交互。鑒于本文所述的示例性系統(tǒng)�����,可根據(jù)參考各附圖的流程圖還可理解根據(jù)所述的主題來實(shí)現(xiàn)方法�。盡管為了說明簡(jiǎn)潔起見,作為一系列框示出和描述的方法����,但是應(yīng)當(dāng)理解,各實(shí)施例不僅僅限于框的次序�����,因?yàn)橐恍┛蚩梢耘c此處所描繪和描述的框不同的次序發(fā)生和/或與其他框并發(fā)地發(fā)生��。盡管經(jīng)由流程圖示出了非順序或分支的流程���,但可以理解����,可實(shí)現(xiàn)達(dá)到相同或類似結(jié)果的各種其他分支����、流程路徑和框的次序。此外�����,某些示出的框在實(shí)現(xiàn)下文所述的方法中是可選的�����。
結(jié)論
盡管本發(fā)明易于作出各種修改和替換構(gòu)造�,但其某些說明性實(shí)施例在附圖中示出并在上面被詳細(xì)地描述。然而應(yīng)當(dāng)了解����,這不旨在將本發(fā)明限于所公開的具體形式,而是相反地���,旨在覆蓋落入本發(fā)明的精神和范圍之內(nèi)的所有修改�、替換構(gòu)造和等效方案�����。
除此處所述的各實(shí)施例以外,應(yīng)當(dāng)理解��,可使用其他類似實(shí)施例����,或者可對(duì)所述實(shí)施例作出修改和添加以便執(zhí)行對(duì)應(yīng)實(shí)施例的相同或等效功能而不背離這些實(shí)施例。此外��, 多個(gè)處理芯片或多個(gè)設(shè)備可共享此處所述的一個(gè)或多個(gè)功能的性能�,并且類似地,存儲(chǔ)可跨多個(gè)設(shè)備實(shí)現(xiàn)�����。因此����,本發(fā)明不應(yīng)限于任何單個(gè)實(shí)施例,而是應(yīng)當(dāng)根據(jù)所附權(quán)利要求書的廣度�、精神和范圍來解釋。
權(quán)利要求
1.一種在計(jì)算環(huán)境中的系統(tǒng)��,包括對(duì)應(yīng)于虛擬機(jī)環(huán)境中的虛擬機(jī)的多個(gè)客分區(qū)(1141-lHm,2141-2Hn)�����,每個(gè)客分區(qū)包括客反惡意軟件代理(1161-116m�����,2161-216n)��;以及包括一個(gè)或多個(gè)與反惡意軟件相關(guān)的組件的反惡意軟件掃描機(jī)制(104���,204),所述反惡意軟件掃描機(jī)制被配置為與所述客分區(qū)上的客反惡意軟件代理通信���,反惡意軟件掃描機(jī)制進(jìn)ー步被配置為經(jīng)由所述客反惡意軟件代理向所述客分區(qū)提供共享的反惡意軟件掃描資源和共享的反惡意軟件掃描功能���。
2.如權(quán)利要求1所述的系統(tǒng),其特征在干����,進(jìn)ー步包括被配置成保護(hù)所述客代理的管理組件,所述管理組件駐留在根分區(qū)中并且被進(jìn)ー步配置成懸停��、繼續(xù)�、恢復(fù)和重建虛擬機(jī)以啟用對(duì)感染進(jìn)行掃描和補(bǔ)救�,或者被耦合到所述反惡意軟件掃描機(jī)制的管理組件��,所述管理組件被配置成向所述反惡意軟件掃描機(jī)制提供虛擬機(jī)管理服務(wù)��,或者兩者����。
3.如權(quán)利要求2所述的系統(tǒng),其特征在干��,所述反惡意軟件掃描機(jī)制與管理組件通信以使用所述管理服務(wù)來暫??头謪^(qū)、繼續(xù)客分區(qū)�、對(duì)客分區(qū)進(jìn)行快照、將客分區(qū)回滾到先前已知的好的快照���、重建虛擬機(jī)圖形���、或?qū)⒖头謪^(qū)置于離線狀態(tài)以供所述反惡意軟件掃描機(jī)制掃描。
4.如權(quán)利要求1所述的系統(tǒng)����,其特征在干,所述反惡意軟件掃描機(jī)制被進(jìn)ー步配置為從遠(yuǎn)程數(shù)據(jù)位置獲取簽名更新、將遙測(cè)數(shù)據(jù)上傳至遠(yuǎn)程數(shù)據(jù)位置�、或與云服務(wù)就獲取對(duì)可疑內(nèi)容的決策進(jìn)行通信,或被進(jìn)ー步配置為從遠(yuǎn)程數(shù)據(jù)位置獲取簽名更新�����、將遙測(cè)數(shù)據(jù)上傳至遠(yuǎn)程數(shù)據(jù)位置����、或與云服務(wù)就獲取對(duì)可疑內(nèi)容的決策進(jìn)行通信的任意組合。
5.一種在計(jì)算環(huán)境中��、至少部分地在至少ー個(gè)處理器上執(zhí)行的方法��,包括在虛擬機(jī)環(huán)境中運(yùn)行(30 多個(gè)客分區(qū)���;以及運(yùn)行共享的編排機(jī)制用于掃描(310,406)或恢復(fù)(314�,410)客分區(qū)。
6.如權(quán)利要求5所述的方法�����,其特征在于��,運(yùn)行所共享的編排機(jī)制包括將客分區(qū)置于離線狀態(tài),在處于離線狀態(tài)時(shí)掃描離線的客分區(qū)���,以及采取針對(duì)離線狀態(tài)采取任何需要的補(bǔ)救動(dòng)作����,或在所述共享的編排機(jī)制和掃描組件之間進(jìn)行通信��,以將客分區(qū)恢復(fù)到先前狀態(tài)����,或?qū)⒖头謪^(qū)置于離線狀態(tài),在處于離線狀態(tài)時(shí)掃描離線的客分區(qū)���,以及采取針對(duì)離線狀態(tài)采取任何需要的補(bǔ)救動(dòng)作�,并且在所述共享的編排機(jī)制和掃描組件之間進(jìn)行通信��,以將客分區(qū)恢復(fù)到先前狀態(tài)��。
7.如權(quán)利要求5所述的方法��,其特征在干��,還包括在客分區(qū)上運(yùn)行客反惡意軟件代理�����,接收由客代理在掃描機(jī)制處提供的數(shù)據(jù),在掃描機(jī)制處掃描數(shù)據(jù)�����,以及對(duì)應(yīng)于掃描結(jié)果將信息返回給客代理��,其中接收所述數(shù)據(jù)和掃描所述數(shù)據(jù)包括執(zhí)行實(shí)時(shí)監(jiān)視操作�����,或離線操作�����。
8.如權(quán)利要求5所述的方法����,其特征在于����,還包括將來自掃描機(jī)制的指令提供給客反惡意軟件代理供客反惡意軟件代理執(zhí)行,包括請(qǐng)求待掃描的至少ー個(gè)對(duì)象的指令���,或包括規(guī)定客反惡意軟件代理待執(zhí)行的補(bǔ)救動(dòng)作的至少ー個(gè)指令�,或請(qǐng)求待掃描的至少ー個(gè)對(duì)象的指令以及規(guī)定客反惡意軟件代理待執(zhí)行的補(bǔ)救動(dòng)作的至少ー個(gè)指令兩者。
9.ー個(gè)或多個(gè)具有計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)��,所述計(jì)算機(jī)可執(zhí)行指令在被執(zhí)行時(shí)執(zhí)行以下步驟�����,包括在共享的反惡意軟件掃描機(jī)制處接收(308)來自運(yùn)行在虛擬機(jī)環(huán)境的第一客分區(qū)中的第一客代理的一個(gè)或多個(gè)對(duì)象����;在所述共享的掃描機(jī)制處執(zhí)行對(duì)第一對(duì)象集的反惡意軟件掃描(310),并且將對(duì)應(yīng)于掃描的結(jié)果的信息返回給所述第一客代理�;在共享的反惡意軟件掃描機(jī)制處接收來自運(yùn)行在虛擬機(jī)環(huán)境的第二客分區(qū)中的第二客代理的一個(gè)或多個(gè)對(duì)象;在所述共享的掃描機(jī)制處執(zhí)行對(duì)第二對(duì)象集的反惡意軟件掃描(310)����,并且將對(duì)應(yīng)于掃描的結(jié)果的信息返回給所述第二客代理。
10.如權(quán)利要求9所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)��,其特征在于�����,還具有計(jì)算機(jī)可執(zhí)行指令��,包括在所述共享的掃描機(jī)制處對(duì)至少一個(gè)對(duì)象執(zhí)行補(bǔ)救,或在所述共享的掃描機(jī)制處構(gòu)建指示第一代理對(duì)至少一個(gè)對(duì)象執(zhí)行補(bǔ)救的結(jié)果����,或既在所述共享的掃描機(jī)制處對(duì)至少一個(gè)對(duì)象執(zhí)行補(bǔ)救,又在所述共享的掃描機(jī)制處構(gòu)建指示第一代理對(duì)至少一個(gè)對(duì)象執(zhí)行補(bǔ)救的結(jié)果��。
全文摘要
本發(fā)明涉及虛擬機(jī)的反惡意軟件保護(hù)���。本主題公開涉及以資源有效方式保護(hù)客分區(qū)上的虛擬機(jī)免受惡意軟件的危害���。反惡意程序軟件被分為在每個(gè)防惡意軟件的客分區(qū)上運(yùn)行的輕型代理、共享的掃描和簽名更新機(jī)制�����、以及管理組件�。每個(gè)代理向掃描機(jī)制提供待掃描惡意軟件的文件,諸如通過運(yùn)行腳本�,并且接收來自掃描機(jī)制的結(jié)果,結(jié)果包括待執(zhí)行的可能的補(bǔ)救動(dòng)作�。管理組件向掃描機(jī)制提供對(duì)虛擬機(jī)服務(wù)的訪問��,諸如用于如掃描機(jī)制所請(qǐng)求的暫停���、繼續(xù)����、快照和回滾客分區(qū)。
文檔編號(hào)G06F21/22GK102542207SQ20111043043
公開日2012年7月4日 申請(qǐng)日期2011年12月7日 優(yōu)先權(quán)日2010年12月7日
發(fā)明者A·F·托馬斯, D·S·巴徹爾德, E·J·尼斯塔德特, J·J·約翰遜, M·S·雅瑞特, V·卡珀 申請(qǐng)人:微軟公司