计算平台安全方法和装置与流程

本公开总地涉及计算平台，并且更具体地涉及计算平台安全方法和装置。

背景

计算平台通常包括多于一个处理单元。例如，计算平台可包括中央处理单元(CPU)和图形处理单元(GPU)。GPU典型地与图形驱动器协作以生成将被传递到显示设备(例如，监视器或屏幕)的输出(例如，图像或一系列图像)。

附图说明

图1是根据本公开的教导构建的示例计算平台的图示。

图2是图1的示例扫描管理器的示例实现的框图。

图3是图1的示例通知模块的示例实现的框图。

图4示出与图1的示例网络接口驱动器相关联的通道。

图5是图1的示例认证模块、图1的示例应用驱动器、图1的示例卸载进程保护器和图1的示例管理程序提供的示例保护的图示。

图6是图1的示例认证模块的示例实现的框图。

图7是图1的示例应用驱动器的示例实现的框图。

图8是图1的示例卸载进程保护器的示例实现的框图。

图9是图1的示例扫描器的示例实现的框图。

图10是示出图1和/或9的示例扫描器的示例操作的示图。

图11是表示可以被执行以实现图1和/或2的示例扫描管理器的示例机器可读指令的流程图。

图12是表示可以被执行以实现图1和/或3的示例通知模块的示例机器可读指令的流程图。

图13是表示可以被执行以实现图1和/或4的示例网络接口驱动器的示例机器可读指令的流程图。

图14是表示可以被执行以实现图1和/或6的示例认证模块的示例机器可读指令的流程图。

图15是表示可以被执行以实现图1和/或7的示例应用驱动器的示例机器可读指令的流程图。

图16是表示可以被执行以实现图1和/或8的示例卸载进程保护器的示例机器可读指令的流程图。

图17是表示可以被执行以实现图1和/或9的示例扫描器的示例机器可读指令的流程图。

图18是示例处理系统通过执行图11的示例机器可读指令实现图1和/或2的示例扫描管理器、通过执行图12的示例机器可读指令实现图1和/或3的通知模块、通过执行图13的示例机器可读指令实现图1和/或4的示例网络接口驱动器、通过执行图14的示例机器可读指令实现图1和/或6的示例认证模块、通过执行图15的示例机器可读指令实现图1和/或7的示例应用驱动器、通过执行图16的示例机器可读指令实现图1和/或8的示例卸载进程保护器、和/或通过执行图17的示例机器可读指令实现图1和/或9的示例扫描器的框图。

具体实施方式

本文中所公开的示例方法和装置为计算平台提供增强的保护。典型地，安全应用(例如，恶意软件检测程序)配置和实现一个或多个安全任务以检测和/或移除计算平台上的一个或多个恶意元素(例如，恶意软件、可疑通信、病毒等等)。在已知的系统中，由计算平台的中央处理单元(CPU)执行安全任务(例如，程序、应用、进程、功能、操作、工作负荷计算等等)。然而，用于安全任务(例如，与恶意软件检测相关联的存储器扫描)的CPU的利用通常消耗大量的CPU循环，其可能负面地在例如用户可见性能、电池寿命、吞吐量等等的方面影响计算平台。一些计算平台建立CPU循环和/或要求应用在应用可以在计算平台上安装和/或执行之前满足的功率约束或限制(例如，基准测试)。因此，CPU利用的减少通常是有益的。

本文中所公开的示例通过将一个或多个计算任务(例如，安全任务)卸载到图形处理单元(GPU)来缓和、减轻和/或消除在CPU上执行计算任务(例如，安全任务和/或其他类型的计算任务)的负面影响。由示例公开的被卸载到GPU的计算任务不消耗CPU循环，从而减少CPU的计算负担和CPU消耗的功率的量。由于应用消耗的CPU循环的数量和/或应用消耗的与CPU相关的功率的量通常被用于测量应用的性能，本文中所公开的示例尤其对于例如被要求满足设置在CPU循环和/或功率消耗上的限定或限制(例如，基准测试)的独立软件供应商(ISV)和其他类型的开发者有吸引力。

此外，当被卸载到GPU的任务是安全任务时，本文中所公开的示例使得计算平台对于诸如恶意软件的安全威胁更激进。即，本文中所公开的示例缓和、减轻和/或消除与对安全任务的CPU执行相关联的成本，并且因此实现对安全任务更频繁的执行。例如，在GPU而非CPU执行存储器扫描的情况下，本文中所公开的示例减少或消除与存储器扫描相关联的任意CPU消耗考虑。在只利用CPU用于安全任务的系统中，此类CPU消耗可能已经阻止或延迟一次或多次存储器扫描的迭代。因为恶意软件是可以在任意时刻发生的持续的威胁，此类阻止或延迟降低了计算平台高效地防止其本身受恶意软件影响的能力。相反，除了CPU之外或替代CPU，通过利用GPU用于安全任务执行，本文中所公开的示例减少或消除对过多的CPU消耗的考虑，使得可以更激进地(例如，更频繁地、跨更多存储器、搜索更多模式等等)执行存储器扫描和/或其他恶意软件检测技术。

此外，本文中所公开的示例认识到，GPU通常比CPU更好地适于执行某些安全任务。例如，恶意软件检测技术通常涉及处理对已知对应于恶意代码(例如，高级持续威胁(APT))的一个或多个模式的大部分存储器搜索的扫描操作。将GPU设计为渲染和加速显示信息，其涉及快速地访问和缓冲大部分存储器。当将GPU设计为快速和高效地处理此类扫描操作时，GPU较慢和较低效地处理条件逻辑操作，尤其是相对于CPU。因此，相对于CPU很好地执行的涉及决定和状态评估(例如，数学操作)的条件计算任务，恶意软件检测计算任务很好地适于在GPU上执行。换言之，本文中所公开的示例认识到涉及存储器扫描(例如，模式检测)的计算任务对于卸载到GPU是好的候选对象，因为GPU被设计为处理此类任务。此外，在许多系统中，GPU比CPU消耗更少的功率。因此，通过将处理沉重的任务(例如，存储器扫描)卸载远离CPU并朝向GPU，改善了功率消耗性能。因此，除了减少或消除安全任务的CPU消耗，本文中所公开的示例提供更快、更高效和更少功率消耗的对安全任务的执行。本文中所公开的示例提供的该增强进一步使安全应用能更激进地(例如，更频繁地、跨更多存储器、搜索更多模式等等)执行恶意软件检测操作，因为可以在更短的时间周期内完成更多操作。

此外，本文中所公开的示例认识到和面临涉及将任务卸载到GPU的挑战。例如，尽管对GPU的某些方面的访问有时受限制，本文中所公开的方法和装置提供了监视和传递关于被卸载到GPU的任务的状态的信息的能力。具体而言，本文中所公开的示例包括将关于被卸载到GPU的任务(例如，被安全应用卸载的安全任务和/或任何其他类型的任务)的状态信息提供给与被卸载的任务相关联的组件的图形驱动器。例如，本文中所公开的图形驱动器确定被卸载到GPU的安全任务已经开始执行、已经结合优先级调度被延迟、已经被先占、已经完成，和/或获得任意其他合适的类型的状态指示。本文中所公开的示例使图形驱动器能通知与被跟踪的被卸载的任务相关联的组件确定的状态。在本文中所公开的一些示例中，图形驱动器将状态信息以安全方式提供给与被卸载的任务相关联的组件。例如，本文中所公开的示例提供的对状态信息的通知在特定的特权等级(例如，架构中的环0)被传递到组件，以确保状态信息不会被例如尝试拦截状态信息以对于计算平台不利地使用的恶意软件滥用。经由本文中所公开的示例接收状态信息的组件可以测量当前任务的进度、考虑待定任务的处理延迟、调节分配到当前或未来任务的优先级、和/或详细检查负责安全任务的延迟和/或先占的一个或多个组件。因此，本文中所公开的示例安全地为安全应用(和/或将任意类型的任务卸载到GPU的任意类型的应用)提供有价值的信息以增强例如恶意软件检测技术以更好地保护计算平台。

此外，尽管将任务卸载到GPU可能涉及对敏感数据的传递，本文中所公开的示例将保护提供给卸载进程和/或已经被卸载到GPU的任务。即，将计算任务卸载到硬件而不是CPU可能涉及风险。例如，在已知的系统中，GPU执行的计算任务经受与CPU执行的计算任务不同的特权等级监视。由此，本文中所公开的示例认识到试图保持不被检测的恶意软件可能利用已知系统的较不安全的GPU。在一些实例中，在被卸载的计算任务的伪装下，恶意软件(例如，在架构中具有环-0许可的恶意代码)可以破坏和/或修改与GPU相关联的代码和/或存储器。该漏洞尤其关于想要利用GPU的安全应用(例如，恶意软件检测器)，因为对于安全应用，安全代码本身的完整性是重要的。

为了维持该完整性，本文中所公开的示例为计算平台提供增强的保护，在该计算平台中一个或多个计算任务被卸载到GPU。本文中所公开的示例利用保护机制强化控制GPU的图形驱动器以减少(如果未消除的话)被GPU执行的恶意软件的实例。在本文中所公开的一些示例中，图形驱动器要求尝试将计算任务卸载到GPU的任意应用驱动器以与图形驱动器建立受信任通道。例如，本文中所公开的示例建立的受信任通道要求在可以由应用将计算任务卸载到GPU之前图形驱动器和与应用相关联的驱动器之间的相互认证。在本文中所公开的示例提供的受信任通道就位的情况下，图形驱动器可以信任接收自相互认证的应用驱动器的数据，从而减少(如果未消除的话)结合卸载进程将恶意代码传递到GPU的图形驱动器的实例。

由于对被卸载到GPU的计算任务的附加或替代保护，本文中所公开的示例包括被实现在操作系统(OS)和GPU之间的保护层。在本文中所公开的一些示例中，保护层由诸如例如在OS外部执行的存储器受保护的管理程序(例如，提供的受信任存储器服务层(TMSL))的管理程序实现。在本文中所公开的一些示例中，保护层在OS和GPU之间以确保恶意软件不会破坏GPU执行的计算任务。公开的示例的管理程序具有可能在计算平台上的最高特权等级(例如，环-1特权)，并且因此能够监视任意特权等级的应用作出的存储器访问尝试。本文中所公开的示例经由保护层创建存储器的被隔离的(例如，对OS不可见的)区域，在其中执行被卸载到GPU的计算任务。由此，将被卸载的计算任务与将由传统GPU任务(例如，图像渲染)利用的存储器的其他无特权的区域隔离。

在本文中所公开的一些示例中，保护层的管理程序检测对被隔离的存储器的尝试的访问，并且向例如图形驱动器报告尝试的访问。此类检测可以对应于尝试访问被隔离的存储器的恶意软件。由此，本文中所公开的示例在攻击的存储器访问被准许之前检测恶意软件攻击GPU的尝试，从而挫败恶意软件并且保护在与GPU相关联的被隔离的存储器中执行的被卸载的计算任务。在本文中所公开的一些示例中，用于与本文中所公开的受信任通道相关联的相互认证的一个或多个密钥被存储在被隔离的存储器中，使得对密钥的访问被本文中所公开的示例保护层监视。因此，本文中所公开的示例将多个保护增强提供给计算平台，在计算平台中一个或多个计算任务被从CPU卸载到GPU上。

此外，本文中所公开的示例包括网络通信技术，其使计算平台能更高效地和更快速地检测、修复、和/或移除当前感染计算平台的恶意软件。在一些已知的系统中，从多个端点设备(例如，计算平台)收集(例如，经由网络)恶意软件检测信息以标识在可能对应于恶意软件和/或邪恶网络通信量的多个设备上看到的模式。此类数据聚集系统在标识威胁和获得对威胁的知晓中是有用的。为了进一步利用跨多个设备收集的信息，本文中所公开的示例使从收集的信息获得的知识能被实时地反馈回各个端点设备(例如，在受到计算和/或传输约束下尽可能快)，使得各个端点设备可以利用收集的知识来检测、修复、和/或移除对应的恶意软件。换言之，本文中所公开的示例利用网络遥测以提供收集自一组设备的信息到各个端点，从而使在各个端点的对收集的信息的利用能在恶意软件可能是活动的(例如，当前感染和/或以其他方式作用于计算平台)的时刻更好地处理恶意软件。

例如，根据本文中所公开的示例构建的在第一计算平台上执行的恶意软件检测器经由网络接收来自第二计算平台的涉及可能的恶意软件模式的数据。根据本文中所公开的示例，第一计算平台的恶意软件检测器将该数据用于对第一计算平台的存储器扫描(例如，在对应的CPU和/或对应的GPU上执行)。在此类示例中，对在网络上活动的恶意软件的检测的知识(如第二计算平台和/或被配置为接收来自第一和第二计算平台的信息的聚集器所认识的)与第一计算平台共享以使当恶意软件是活动的(例如，在第一计算平台上执行)时第一计算平台能更高效地和快速地解决恶意软件。尽管本文中所公开的一些示例涉及被卸载到GPU的安全任务，可以结合由任意合适的组件(诸如例如，CPU)执行的安全任务利用本文中所公开的示例网络通信技术。

此外，本文中所公开的示例包括增强计算平台例如搜索指示恶意软件的模式的能力的存储器扫描技术。具体而言，本文中所公开的示例提供执行数据并行功能(例如，OpenCL内核)的能力以结合例如恶意软件检测任务来搜索存储器。如下文详细地公开的，本文中所公开的示例将存储器区域的固定尺寸的滑动窗口映射到用户模式客户机的虚拟地址空间。本文中所公开的示例提供的滑动窗口能够包括源自多个进程(例如，对应于多个进程的存储器)的数据。由此，对应的扫描(例如，用于指示恶意软件的模式)可以并行地在对应于多个进程的存储器上操作。这与已知的系统相反，在已知的系统中函数或进程仅能访问该函数或进程明确地映射(例如，经由缓冲器)的存储器。即，在已知的系统中，诸如OpenCL任务的功能已经倾向于被本地地处理。相反，在高吞吐量由于存储器扫描操作的并行化，本文中所公开的示例实现对存储器系统范围的分析。

图1示出根据本公开的教导构建的示例计算平台100。图1的示例计算平台100包括操作系统(OS)102、具有图形处理器单元(GPU)106和中央处理单元(CPU)108的计算复合体104、网络接口110、存储器112、安全应用114、图形驱动器116、非安全应用118、网络接口驱动器120、应用驱动器122和管理程序124。在图1所示的示例中，计算平台与服务器126通信(例如，经由诸如因特网或私有网络的网络)。在图1所示的示例中，服务器126与示例安全应用114相关联。例如，示例服务器126将与指示恶意软件的模式相关联的更新传递到安全应用114和/或将一个或多个安全服务(例如，恶意软件修复服务)提供给安全应用114。

在图1所示的示例中，图1的安全应用114包括根据本公开的教导构建的扫描管理器128。图1的示例扫描管理器128促进与安全应用114相关联的一个或多个安全任务以保护示例计算平台100。结合图2在下文中详细地公开图1的扫描管理器128的示例实现。如下文详细地公开的，图1的示例扫描管理器128利用计算平台100的示例GPU 106以执行一个或多个任务，例如安全任务。在一些示例中，图1的扫描管理器128将安全任务卸载到GPU 106而不是利用CPU 108来执行安全任务。例如，图1的扫描管理器128将用于找出恶意软件的模式的对示例存储器112的一个或多个部分的扫描卸载到GPU 106。如下文结合图2详细地描述的，相对于只利用CPU 108和使CPU 108负担执行安全任务的系统，图1的示例扫描管理器128提供的将安全任务卸载到GPU 106实现更高效的和更激进的扫描(例如，更频繁的扫描、在被测试的模式的数量方面更综合的扫描、和/或在存储器被扫描的量的方面更密集的扫描)。

在图1所示的示例中，图形驱动器116包括根据本公开的教导构建的通知模块130。结合图3在下文中详细地公开图1的通知模块130的示例实现。如下文所公开的，除了促进OS 102和GU 106的元件之间的交互，图1的示例图形驱动器116利用示例通知模块130来安全地为GPU 106的消费者(例如，利用GPU 106来执行操作的应用和/或驱动器)提供与被卸载到GPU 106的任务相关联的状态通知。例如，当示例安全应用114(例如，经由扫描管理器128)将存储器卸载到GPU 106时，图1的示例通知模块130通知安全应用114已经启动了存储器扫描、已经完成了存储器扫描、已经先占了存储器扫描、特定进程已经先占了存储器扫描、先占了存储器扫描的特定进程的身份、和/或任意其他合适的状态信息。附加地或替代地，当非安全应用118将非安全任务卸载到GPU 106时，图1的示例通知模块130通知非安全应用118已经启动了存储器扫描、已经完成了存储器扫描、已经先占了存储器扫描、特定进程已经先占了存储器扫描、先占了存储器扫描的特定进程的身份、和/或任意其他合适的状态信息。值得注意的是，图1的示例通知模块130以安全方式(例如，在仅受信任组件享有的特权等级，例如英特尔架构的环0)提供通知，使得通知的信息不会被例如恶意软件恶意地使用。

如下文所详细描述的，GPU 106的消费者(例如，安全应用114或非安全应用118)可以以任意合适的方式(包括例如增强安全应用114的恶意软件检测能力)利用示例通知模块130提供的状态信息。此外，图1的示例通知模块130使GPU 106的消费者能将调度和/或优先级分配提供给被卸载到GPU 106的任务。由此，图1的示例通知模块130使利用GPU 106的组件(例如，安全应用114和/或非安全应用118)能基于例如任务的重要性将优先级等级分配到去往GPU 106或已经被GPU 106执行的任务。

在图1所示的示例中，图形驱动器116包括根据本公开的教导构建的认证模块132。图1的示例认证模块132与根据本公开的教导构建的示例应用驱动器122协作以保护将任务卸载到GPU(例如，如示例扫描管理器128所促进的)。在图1所示的示例中，应用驱动器122与示例安全应用114相关联。结合图5在下文中详细地公开图1的认证模块132的示例实现。结合图6在下文中详细地公开图1的应用驱动器122的示例实现。如下文所公开的，示例认证模块132和示例应用驱动器122建立相互认证以确保将任务卸载到GPU 106的进程并且对应的数据被保护(例如，通过仅由受信任组件处理)。

在图1所示的示例中，管理程序124包括根据本公开的教导构建的卸载进程保护器134。结合图7在下文中详细地公开图1的卸载进程保护器134的示例实现。如下文所公开的，图1的示例卸载进程保护器134利用管理程序124的特权等级以监视组件处理卸载进程和对应的数据。例如，卸载进程保护器134监视专用于被卸载到GPU 106的任务的存储器112的被隔离的片段136并且响应于访问存储器112的被隔离的片段136的尝试来执行一次或多次检查或验证。

在图1所示的示例中，根据本公开的教导构建网络接口驱动器120。结合图10在下文中公开网络接口驱动器120的示例实现。如下文所公开的，除了促进计算平台100的元件(例如，OS 102)之间的交互，图1的示例网络接口驱动器120与示例网络接口110协作以在网络(例如，因特网)上将涉及安全操作的信息发送到其他计算平台(例如，端点设备和/或收集来自端点设备的信息的网络节点)和接收来自其他计算平台的涉及安全操作的信息。为了增强与例如安全应用114相关联的安全操作，图1的示例网络接口驱动器120接收来自其他计算平台的关于在该其他计算平台上检测到的可能的恶意软件的数据。例如，可以将在其他计算平台中的一个或多个上检测到的一个或多个模式实时(例如，没有延迟或合理地尽可能的快)地传递到网络接口110。图1的示例网络接口驱动器120接收信息并且使信息实时(例如，没有延迟或合理地尽可能的快)地可用于例如安全应用114。由此，当对应的恶意软件可能在网络上是活动的并且因此在示例计算平台100上是活动的时，图1的示例网络接口驱动器120接收指示恶意软件的信息。因此，图1的示例网络接口驱动器110增强和/或改善例如当恶意软件是活动的和非混淆的(例如，未打包的或解密的)时图1的安全应用114检测恶意软件的能力。图2的示例网络接口驱动器120促进对与在任意合适的组件(例如GPU 106和/或CPU 108)上的正在被执行的安全任务或将要被执行的安全任务相关联的数据的交换。

在图1所示的示例中，安全应用114包括根据本公开的教导构建的扫描器138。结合图8在下文中详细地公开图1的扫描器138的示例实现。如下文中所公开的，图1的示例扫描器138实现对跨对应于多个进程或功能的存储器的区域的扫描操作的并行化，从而改善一个或多个扫描操作(例如，搜索存储器中的指示恶意软件的模式)的吞吐量。

图2是图1的示例安全应用114的示例扫描管理器128的示例实现的框图。图1的示例安全应用114承担保护示例计算平台100免受恶意软件的影响的任务，而示例扫描管理器128承担管理实现该保护的存储器扫描的任务。图2的示例扫描管理器128将已经被(例如，安全应用114的开发者、与示例服务器126相关联的实体和/或诸如图4的外部计算平台400的其他计算平台)标识的多个指示恶意软件的模式200维持为可能对应于正在被恶意软件感染的计算平台100。图2的示例指示恶意软件的模式200对应的示例恶意软件包括混淆的(例如，加密的和/或打包的)文件、多态的恶意软件、和/或非文件的恶意软件(例如互联网蠕虫、浏览器利用、和/或利用反射DLL注入技术的恶意代码)。在图2所示的示例中，示例安全应用114利用的指示恶意软件的模式200(例如，经由服务器126)被例如与安全应用114相关联的实体(例如，安全应用114的开发者)填充。

图2的示例扫描管理器128促进或管理对计算平台100的一个或多个元素(例如，存储器112的一个或多个片段)的扫描(例如，搜索)用于指示恶意软件的模式200以确定计算平台100是否具有恶意软件的问题。在图2所示的示例中，扫描管理器128包括卸载器202、扫描启动器204、触发事件分析器206、扫描模式选择器208、扫描目标选择器210和安全服务通信器212。图2的示例卸载器202与图1的示例图形驱动器116协作以将扫描中的一个或多个卸载到图1的示例GPU 106。在图2所示的示例中，卸载器202默认将扫描卸载到GPU 106。附加地或替代地，图2的示例卸载器202可以将扫描中的选择性的一些和/或某些扫描的选择性的方面卸载到GPU 106，同时使CPU 108承担执行扫描中的其他扫描和/或某些扫描的其他方面的任务。在一些示例中，图2的卸载器202基于CPU 108的当前工作负荷和/或GPU 106的当前工作负荷选择将扫描中的哪个或哪些卸载到GPU 108。附加地或替代地，图2的示例卸载器202基于扫描的类型和/或尺寸选择将扫描中的哪个或哪些卸载到GPU 108。附加地或替代地，(例如，由下文所描述的扫描启动器204、扫描模式选择器208、和/或扫描目标选择器210)将扫描特定地设计或配置为用于在GPU 106或CPU 108上执行。在此类示例中，卸载器202检测在对应的扫描上的此类配置设定，并且基于检测到的设定指定扫描卸载到GPU 106或在CPU 108上执行。图2的示例卸载器202可以使对卸载到GPU 106的扫描的选择基于附加的或替代的因素。如在下文中所描述的，图2的示例卸载器202和对GPU 106对应的利用为指示恶意软件的模式200实现更激进的扫描。例如，通过利用GPU 106，图2的示例卸载器202实现扫描更频繁、将被扫描的目标更大、将被搜索的模式更多等等。

图2的示例扫描启动器204确定何时将执行扫描以及在确定的时刻启动扫描。在一些示例中，图2的扫描启动器204将扫描的频率和/或时间基于计算平台100的当前风险等级。在此类示例中，图2的扫描启动器204根据例如一个或多个防火墙、网络设备、事件聚集器(例如，McAfee的加入威胁情报(JTI))、一个或多个传感器、和/或任意其他合适的系统监视器提供的数据获得和/或跟踪计算平台100的风险等级。当计算平台100的当前风险等级高于阈值时，图2的示例扫描启动器204增加扫描的频率。当计算平台的当前风险等级低于阈值时，图2的示例扫描启动器204减少或维持扫描的频率。在一些示例中，图2的示例扫描启动器204考虑中间阈值。在一些示例中，如果在连续的扫描中未发现威胁，则图2的扫描启动器204逐渐地降低扫描的频率。附加地或替代地，图2的示例扫描启动器204使扫描的频率和/或时间基于CPU 108上的当前负荷、GPU 108上的当前负荷、和/或功率可用性。

附加地或替代地，图2的示例扫描启动器204响应于来自触发事件分析器206的指令启动扫描。图2的示例触发事件分析器206监视计算平台100的方面和/或接收来自计算平台100的组件的涉及例如导致担忧的一个或多个状况的数据，并且因此保证扫描的启动。下文讨论触发示例安全应用114的扫描的示例事件。

图2的示例扫描模式选择器208选择指示恶意软件的模式200中的一个或多个作为调度的扫描的主体。在一些示例中，图2的扫描模式选择器208基于例如扫描被调度给在计算平台100上相对低的活动的时刻来选择所有指示恶意软件的模式200。在一些示例中，图2的扫描模式选择器208为被调度的扫描选择指示恶意软件的模式200的随机子集。在一些示例中，图2的扫描模式选择器208基于如示例触发事件分析器206所检测到的触发了扫描的事件选择指示恶意软件的模式200的子集。在一些示例中，图2的扫描模式选择器208基于接收自图1的示例网络接口驱动器120的信息选择指示恶意软件的模式200中的一个或多个。例如，如结合图4在下文中详细地公开的，网络接口驱动器120接收来自其他计算平台(例如，图4的外部计算平台400)的数据，该数据指示例如指示恶意软件的模式200中的特定的一个当前是活动的、可能很快将是活动的、和/或最近是活动的。由此，图2的示例扫描模式选择器208可以根据经由网络接口驱动器120接收的数据来选择指示恶意软件的模式200中的对应的一个或多个。附加地或替代地，图2的示例网络接口驱动器120接收来自一个或多个外部计算平台(例如，图4的外部计算平台400)的指示恶意软件的模式并且将接收的指示恶意软件的模式提供给示例扫描模式选择器208。在一些示例中，将经由网络接口驱动器120接收的指示恶意软件的模式添加到示例安全应用114的示例指示恶意软件的模式200。

图2的示例扫描目标选择器210选择将被扫描的一个或多个目标(例如，用于被扫描模式选择器208选择的指示恶意软件的模式200中的一个或多个)。例如，扫描目标选择器210选择存储器112的一个或多个特定片段、其他存储器的一个或多个片段、与一个或多个进程相关联的存储器、与一个或多个线程相关联的存储器、与一个或多个程序相关联的存储器、专用于一个或多个特定模块的存储器范围、专用于一个或多个代码片段的存储器范围、专用于一个或多个数据片段的存储器范围、堆存储器(heap memory)等等。在一些示例中，图2的扫描目标选择器210根据例如一个或多个防火墙、网络设备、事件聚集器(例如，McAfee的JTI)、一个或多个传感器、和/或任意其他合适的系统监视器提供的数据使对目标存储器的选择基于计算平台100的当前风险等级。当计算平台100的当前风险等级高于阈值时，图2的示例扫描目标选择器210增加将被扫描的存储器的量。当计算平台的当前风险等级低于阈值时，图2的示例扫描目标选择器210减少或维持将被扫描的存储器的量。在一些示例中，图2的示例扫描目标选择器210考虑中间阈值。在一些示例中，如果在连续的扫描中未发现威胁，则图2的扫描目标选择器210逐渐地减少将被扫描的存储器的量。附加地或替代地，图2的示例扫描目标选择器210基于来自图2的触发事件分析器206的指令来选择将被扫描的目标存储器。下文讨论触发示例安全应用114的扫描的示例事件。附加地或替代地，图2的示例扫描目标选择器210基于经由示例网络接口驱动器120接收的来自外部计算平台(例如，图4的外部计算平台400)的信息来选择将被扫描的目标存储器。例如，结合图4在下文中详细地公开的，图1的网络接口驱动器120接收来自其他计算平台(例如，图4的外部计算平台400)的数据，数据指示例如存储器的特定片段或特定类型的存储器尤其易受外部计算平台上和/或网络上的当前正在被检测的恶意软件的攻击。由此，图2的示例扫描目标选择器210可以根据经由网络接口驱动器120接收的数据来选择将被扫描的目标存储器。

当扫描已经被配置时(例如，调度执行、选择将被搜索的扫描模式、和选择目标存储器的时刻)，示例卸载器202促进将扫描任务卸载到示例GPU 106。作为响应，GPU 106执行对应于被配置的扫描的指令。图2的示例卸载器202指示GPU 106(例如，经由图形驱动器116)以将扫描的结果提供给安全应用114。即，通知示例安全应用114，扫描发现了指示恶意软件的模式200中的一个或多个，或未发现指示恶意软件的模式200中的任意一个。如果在GPU 106执行的扫描期间发现了指示恶意软件的模式200中的一个或多个，则示例安全应用114采取任意合适的修复动作。图2的示例扫描管理器128包括安全服务通信器212以与配置为缓和、减轻和/或移除来自计算平台100的恶意软件的恶意软件修复组件协作。

在图2所示的示例中，安全服务通信器212将与恶意软件检测相关联的数据传递到在示例计算平台100上执行的安全服务(例如，恶意软件移除工具或程序)，安全服务采取修复动作。附加地或替代地，图2的安全服务通信器212将与恶意软件检测相关联的数据传递到在计算平台100外部的设备(例如，服务器126)上执行的外部安全服务，外部安全服务采取修复动作。附加地或替代地，图2的安全服务通信器212将与恶意软件检测相关联的数据传递到安全应用114的另一组件，安全应用114的另一组件采取修复动作。

因此，图2的示例扫描管理器128促进对可能被卸载到图1的GPU 106的一个或多个扫描的调度、启动和配置。如上文所公开的，对GPU 106的利用减少CPU 108上的负担。此外，如上文所公开的，GPU 106通常比CPU 108更好地适于(例如，更快的)与安全应用114相关联的扫描的类型(例如，模式搜索扫描)。因此，图2的示例卸载器202和对GPU 106对应的利用使例如扫描启动器204相对于只能访问CPU 108的安全应用114能更激进地调度和/或启动一个或多个动作(例如，存储器扫描)。例如，尽管可以在任意时间执行对存储器的扫描，在运行时间为指示恶意软件的模式200扫描存储器是检测可能以其他方式躲避检测的某些威胁的有效方法。例如，当对应的威胁是活动的以及在恶意软件代码执行之后，恶意软件代码和/或相关的伪像可以是未混淆的(例如，未打包的)。相反，当对应的威胁是不活动的时，恶意软件可能是混淆的(例如，打包的或加密的)，并且因此更难以检测。因此，在当某些恶意软件是活动的时的运行时间扫描存储器是有益的。然而，由于CPU性能影响上的限定，计算平台100可能不允许在运行时间经由CPU 108执行存储器扫描。此类限定被图2的示例卸载器202和对GPU 106对应的利用避免，从而使图2的示例扫描启动器204能在运行时间调度和/或启动存储器扫描(例如，在所有运行时间或比其他方式所允许的更频繁地)。

此外，图2的示例卸载器202和对GPU 106对应的利用使例如扫描模式选择器208能更激进地选择用于在扫描期间搜索的模式。例如，图2的扫描模式选择器208能够选择更大数量的指示恶意软件的模式200，安全应用114可以保护计算平台100免受该指示恶意软件的模式200影响，因为例如GPU 106不受施加在CPU 108上的约束，并且因为GPU 106比CPU 108更好地适于(例如，在扫描操作更快、更功率高效、并且更不可能被其他操作占据)模式搜索操作。

此外，图2的示例卸载器202和对GPU 106对应的利用使例如扫描目标选择器201能更激进地为指示恶意软件的模式200选择将被搜索的目标。例如，图2的扫描目标选择器210能够为指示恶意软件的模式200选择更宽和/或更大数量的将被扫描的存储器地址范围，因为例如GPU 106不受施加在CPU 108上的约束，并且因为GPU 106比CPU 108更好地适于(例如，在扫描操作更快、更功率有效、并且更不可能被其他操作占据)模式搜索操作。

此外，图2的示例卸载器202和对GPU 106对应的利用改善计算平台114的功率消耗性能。例如，因为GPU 106被设计为渲染和加速显示信息，其涉及快速地访问和缓冲大部分存储器，GPU 106更高效地执行大存储器操作。因此，经由对为至少一个扫描操作代替CPU 108的GPU 106的利用降低与安全应用114相关联的扫描消耗的功率的量。

此外，图2的示例卸载器202和对GPU 106对应的利用增加安全应用114可以响应(例如，通过启动存储器扫描)的事件的数量和/或类型。由此，图2的示例触发事件分析器206可以为可以被扫描启动器204使用以启动扫描的更大数量的事件监视计算平台100。例如，图2的触发事件分析器206响应于在示例计算平台100上的可疑网络通信量触发存储器扫描。可疑网络通信量的示例包括对大量不同的IP地址的快速请求、到未知或不受信任的目的地的通信量、和/或在IRC(互联网中继聊天)协议通信是不常用的或异常的环境中的IRC通信协议通信。在此类示例中，图2的触发事件分析器206通过触发对发送进程(例如，与对来自计算平台100的可疑响应的传递相关联的应用)和/或关键系统进程的扫描响应于可疑传出网络通信量。附加地或替代地，示例可疑网络通信量包括接收来自未知或不受信任的源的数据。在此类示例中，图2的触发事件分析器206通过触发对接收进程(例如，与对可疑数据的接收相关联的应用)和/或关键系统进程的扫描响应于可疑传入网络通信量。

附加地或替代地，图2的示例触发事件分析器206响应于某些网络浏览器事件触发存储器扫描。将被图2的示例触发事件分析器206监视的示例网络浏览器事件包括对网络浏览器渲染来自未知或不受信任的源的网页的完成。将被图2的示例触发事件分析器206监视的另一示例网络浏览器事件包括浏览器助手对象(BHO)或插件被加载。在此类示例中，图2的触发事件分析器206通过触发对网络浏览器进程的扫描响应于浏览器活动。

附加地或替代地，图2的示例触发事件分析器206响应于被加载进例如文档阅读器和/或编辑器的文档触发存储器扫描。在一些示例中，特定考虑的文档包括实例，在实例中实现诸如宏处理的活动的内容。在此类示例中，触发事件分析器206通过触发对与加载了文档的主机进程相关联的存储器的扫描响应于文档加载。

附加地或替代地，图2的示例触发事件分析器206响应于脚本被执行触发存储器扫描。在此类示例中，图2的触发事件分析器206通过触发对拥有脚本的进程和/或关键系统进程的扫描响应于脚本执行。

附加地或替代地，图2的示例触发事件分析器206响应于来自例如访问开启文件监视器的可疑文件访问尝试触发存储器扫描。示例可疑文件访问尝试包括访问安全应用文件的尝试。另一示例可疑文件访问事件是隐匿程序(rootkit)，隐匿程序允许对应的文件出现在直接的列表中，但拒绝用户和/或安全软件访问读取那些文件。在此类示例中，图2的触发事件分析器206通过触发对负责文件访问尝试的进程的扫描响应于可疑文件访问事件。

附加地或替代地，图2的示例触发事件分析器206响应于改变注册表的可疑尝试触发存储器扫描。示例改变注册表的可疑尝试包括改变安全应用的注册表值、虚拟化软件的注册表值、和/或隐匿程序的注册表值的尝试。在此类示例中，图2的触发事件分析器206通过触发对与对应的调用进程相关联的存储器的扫描响应于改变注册表的可疑尝试。

附加地或替代地，图2的示例触发事件分析器206响应于改变关键的盘区域的可疑尝试而触发存储器扫描。示例关键盘区域包括MBR(主引导记录)、VBR(卷引导记录)、或EFI(可扩展固件接口)系统分区。在此类示例中，图2的触发事件分析器206通过触发对与对应的调用进程相关联的存储器的扫描响应于改变关键盘区域的可疑尝试。

附加地或替代地，图2的示例触发事件分析器206响应于外部安全应用检测到的安全事件而触发存储器扫描。示例外部检测到的安全事件包括传感器和/或监视器(例如，McAffee的JTI)。在此类示例中，图2的触发事件分析器206通过触发对对应的存储器的扫描、触发完全系统扫描、和/或改变当前或调度的扫描的激进度来响应于外部安全事件。

附加地或替代地，图2的示例触发事件分析器206响应于建立谱系(genealogy)的进程而触发存储器扫描。例如，网络浏览器发起第一子进程和第二随后进程使得图2的触发事件分析器206触发对由于访问恶意网页产生的远程代码执行利用的扫描。对网络浏览器进程本身的扫描可能导致对在存储器中徘徊的利用代码的标识，而利用可执行文件怎样被发起的知识对产生的进程的扫描可以提供关于攻击的附加情报。例如，用户选择的通过网络浏览器运行的应用可以遵循特定进程路径命名惯例，而利用导致非预期的路径。

附加地或替代地，图2的示例触发事件分析器206响应于在进程创建期间应用参数被传递而触发存储器扫描。例如，典型地用于开发和测试的本机工具(例如，的bcdedit.exe)可以传递参数(例如，bcdedit.ext设定TESTSIGNIG ON)。在此类实例中，该布置可以被例如隐匿程序分发器滥用以绕过驱动器签名实施保护。由此，图2的示例触发事件分析器206响应于检测到此类事件触发扫描。在一些示例中，如果页面改变通知是可用的(例如，经由架构中的TMSL或EPT)，可以将扫描限制到自从上一扫描以来已经改变的存储器页面和/或包含自从上一扫描以来已经被改变的页面的进程。

附加地或替代地，图2的示例触发事件分析器206响应于可疑用户动作触发存储器扫描。示例可疑用户动作包括对来自因特网面向程序的应用的手动执行，例如对电子邮件附件的执行。另一示例可疑用户动作包括用户跟随电子邮件或即时消息中发送的超链接，其引向被分类为未知或未分类的网络、或全新的站点。在此类示例中，图2的触发事件分析器206通过触发对存储器中的基于浏览器的利用的扫描来响应于可疑用户动作。

如上文所公开的，图2的示例扫描管理器128为示例计算平台100提供多个益处。尽管在任意合适的场景实现这些益处，示例场景包括不具有被加载到计算平台100上的可识别签名的混淆的(例如，打包的)文件(例如，经由电子邮件附件，由下载或其他机制驱动)。即，混淆的文件是非受信任的或“灰名单”文件。如果此类文件包括恶意软件，由于文件是混淆的(和不能将文件拆包)和/或文件的多态性，恶意软件可能不被检测到。即，当文件保持为混淆的时，执行的存储器扫描可能不会导致恶意软件检测。因此，在具有零星的存储器扫描的系统中，文件在大多数时间段可以被发起并且可以是活动的。相反，当文件是未打包的时，示例扫描管理器128实现连续的和/或频繁的将快速地检测文件的存储器扫描。例如，当文件是未打包的时，进入计算平台100的作为混淆的、不受信任的源的文件被指定(例如，由触发事件分析器206)为立即(例如，没有延迟或实时地)被扫描的“灰名单”文件。

在其中实现图2的示例扫描管理器128提供的益处的另一示例场景是非文件的恶意软件被加载到计算平台100上。在此类实例中，恶意软件在计算平台100上经由浏览器利用(例如缓冲器溢出)变成活动的。因为恶意软件是非文件的，没有文件被写入到盘，并且因此在已知的系统中未发生文件扫描。相反，由于例如能够连续地监视诸如操作系统服务的高风险进程，图2的实例扫描管理器128实现连续的和/或频繁的将检测利用的存储器扫描。

在其中实现图2的示例扫描管理器128提供的益处的另一示例场景是在没有来自基于文件的扫描器的检测的情况下，混淆的高级持续威胁(APT)或基于时间的恶意软件被加载到计算平台100的存储器212中。APT可能不会立即将包括恶意软件的有效载荷拆包或解密。在某个时间段或其他触发之后，APT有效载荷被拆包或解密以用于执行。因此，在具有零星的存储器扫描的系统中，文件在大多数时间段可以被发起并且可以是活动的。相反，当文件是未打包的或被解密的时，图2的示例扫描管理器128实现连续的和/或频繁的将快速地检测APT的存储器扫描。

在其中实现图2的示例扫描管理器128提供的益处的另一示例场景是用户将网络浏览器导航到未知或不受信任的网站。因为图2的示例扫描管理器128实现连续的和/或频繁的存储器扫描和使诸如网络浏览器的高风险进程优先，恶意网站立即被列入黑名单，并且浏览器立即被隔离和/或终止。

虽然图2示出了实现图1的扫描管理器128的示例方式，图2所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图2的示例卸载器202、示例扫描启动器204、示例触发事件分析器206、示例扫描模式选择器208、示例扫描目标选择器210、示例安全服务通信器212和/或更一般地示例扫描管理器128可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图2的示例卸载器202、示例扫描启动器204、示例触发事件分析器206、示例扫描模式选择器208、示例扫描目标选择器210、示例安全服务通信器212和/或更一般地示例扫描管理器128中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图2的示例卸载器202、示例扫描启动器204、示例触发事件分析器206、示例扫描模式选择器208、示例扫描目标选择器210、示例安全服务通信器212和/或更一般地示例扫描管理器128中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例扫描管理器128可以包括除图2中所示的之外的一个或多个元件、进程和/或设备或作为图2中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图3是图1的示例通知模块130的示例实现的框图。图3的示例通知模块130包括分派器300以接收来自GPU 106的消费者的请求并且将接收的请求添加到例如多个请求队列302中的合适的一个。例如，图3的分派器300接收与GPU 106的本地操作(诸如例如来自涉及显示此类数据的应用(例如，图1的非安全应用118)的显示渲染任务)相关联的请求。作为响应，图3的示例分派器300将显示渲染任务添加到图3的示例请求队列302中的对应的一个(例如，专用于显示渲染任务的队列)。

此外，图3的示例分派器300接收与GPU 106的非本地操作(诸如例如来自图1和/或2的示例安全应用114的涉及模式匹配扫描的安全任务)相关联的请求。作为响应，图3的示例分派器300将安全任务添加到图3的示例请求队列302中的对应的一个(例如，专用于安全任务的队列)。尽管图1的示例包括示例安全应用114和非安全应用118，任意合适数量的应用和/或对应的驱动器或应用和/或对应的驱动器的任意合适的组合可以经由示例图形驱动器116与GPU 106交互。在图3所示出的示例中，分派器300提取或以其他方式获得与任务相关联的情境数据(例如，进程标识符、线程标识符等等)，并且将情境数据与条目包括在请求队列302中。此外，以任意合适的方式配置图3的示例请求队列302。例如，可以将不同类型的安全任务的每一个分配到请求队列302中的专用请求队列。

图3的示例通知模块130包括调度器304以调度将要在GPU 106上执行的任务。图3的示例调度器304实现调度逻辑以将请求队列302的任务排序。结合示例调度器304的调度逻辑考虑的示例因素和/或条件包括队列深度、分配到各个任务的优先级等级、用于先占的时间片、和/或任意其他合适的因素。示例GPU 106按请求队列302中的排序执行任务。

此外,图3的示例调度器304获得在GPU 106上正在被执行(例如，并行地)的任务的状态。例如，图3的调度器304确定特定的任务是否已经被启动、已经被先占、已经被完成等等。在图3所示的示例中，调度器304检测到特定的任务的状态已经从一个状态转换到另一个状态。此外，在GPU 106上的执行已经被先占以及GPU 106的情境需要被恢复到上一执行的点的情况下，图3的示例调度器304跟踪GPU 106的情境信息。

在图3所示的示例中，当调度器304检测到任务的特定状态或任务已经从一个状态转换到另一个状态，示例调度器304将指示检测的数据传递到示例通知模块130的通知器306。图3的示例通知器306接收状态信息并且将信息传递到例如此类信息的请求者。在图3所示的示例中，通知器306接收来自例如GPU 106的消费者308的通知的请求。然而，图3的示例通知器306可以接收和处理来自任意合适的应用或组件的请求。图3的GPU消费者308包括例如安全应用114，安全应用114请求关于被卸载到GPU 106的安全任务的状态的通知。附加地或替代地，图2的GPU消费者308包括非安全应用118，非安全应用118请求关于被卸载到GPU 106的非安全任务的状态的通知。图3的示例GPU消费者308包括任意合适的应用、程序和/或组件。在一些示例中，接收自GPU消费者308的请求包括特定状态(例如，先占的、启动的、完成的等等)和/或期望回调的特定事件(例如，先占)。图3的示例通知器306经由例如通知请求的列表来跟踪接收的请求。响应于接收自调度器304的关于与正在被GPU 106执行的任务相关联的状态和/或事件的信息，图3的示例通知器306通过遵循每个请求的细节来满足通知请求。在一些示例中，通知器306提取与任务和/或GPU 106相关联的元数据，并且将与任务和/或GPU 106相关联的元数据包括在与被请求的组件的通信中。

图3的示例通知器306提供的通知被安全地传递到GPU消费者308中的对应的一个(例如，安全应用114)使得信息对于不受信任组件不可用。在图3所示的示例中，通知器306在安全特权等级(例如，仅受信任组件享有的特权等级，诸如英特尔架构的环0，而不是不受信任组件不享有的环3)将通知和相关的数据传递到请求组件(例如，GPU消费者308)。附加地或替代地，在可以将信息传递到请求组件之前，图3的示例通知器306与请求组件(例如，GPU消费者308)建立相互认证。可以采取附加的或替代的认证措施。

如上所述，在一些实例中，图1和/或2的示例安全应用114是接收来自图3的示例通知器306的状态信息的组件。在一些示例中，安全应用114使用接收的状态信息来实现和/或触发一个或多个安全动作。例如，响应于图3的示例通知器306通知安全应用114特定进程先占了安全任务，图2的示例触发事件分析器206触发一个或多个安全动作(诸如例如对与先占了安全任务的特定进程相关联的存储器的扫描、完整存储器扫描、特定进程上的限定)。此外,不受信任进程的连续的或重复的先占可以被视为敌意行为，并且示例安全应用114触发针对不受信任进程的防御修复(例如，经由示例安全服务通信器212)。在一些示例中，安全应用114以附加的或替代的方式和/或为了附加的或替代的目的而使用图3的示例通知器306提供的通知信息。例如，图2的示例扫描启动器204可以使用状态信息以测量正在GPU 106上执行的安全任务的进程和/或当调度安全任务时可以考虑处理延迟。附加地或替代地，图2的示例扫描目标选择器210可以使用先占了正在GPU 106上执行的安全任务的进程或线程的进程标识符(例如，如由示例通知器306所提供的)以为扫描选择与进程或线程相关联的存储器。

虽然图3示出了实现图1的通知模块130的示例方式，图3所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图3的示例分派器300、示例调度器304、示例通知器306和/或更一般的示例通知模块130可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图3的示例分派器300、示例调度器304、示例通知器306和/或更一般的示例通知模块130中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图3的示例分派器300、示例调度器304、示例通知器306和/或更一般的示例通知模块130中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例通知模块130可以包括除图3中所示的之外的一个或多个元件、进程和/或设备或作为图3中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图4是图1的示例网络接口驱动器120的示例实现的框图。图4的示例网络接口驱动器120改善示例计算平台100检测和/或修复恶意软件的能力。一些已知系统包括跨多个设备聚集数据以标记异常的通信量，并且使用被标记的通信量信息来阻止可疑网络通信量的特定主机或源。然而，此类已知系统不会将威胁从主机或源移除，并且因此在主机或源上的恶意软件继续感染主机或源。即，即使此类系统的管理员将网络配置为拒绝所有来自被感染的主机的外传通信量，此类方法将不会停止恶意软件执行。此外，此类方法可能显著地减少系统对于预期使用的生产值。此外，尽管管理员可以响应于被标记的主机启动主机上的扫描，对在已知系统中的扫描的启动不包括共享触发了该标记的特定模式或可疑通信量。即，已知系统启动的扫描可能使用与当前被检测的模式不同的检测逻辑。此外，使用此类安全方式的便携设备(例如，智能电话、平板、笔记本等等)上的恶意软件可以简单地等待直到用户连接到不同网络以漏出数据或执行恶意软件的有效载荷。

图4的示例网络接口驱动器120使计算平台100和与计算平台100相关联的安全服务(例如，安全应用114)能获得来自外部计算平台400的恶意软件的知识以用于在示例计算平台100上处理恶意软件。此外，图4的示例网络接口驱动器120将恶意软件的知识传递到外部计算平台以用于在外部计算平台400上处理恶意软件。因此，图4的示例网络接口驱动器120和安装在外部计算平台400的单独的一个外部计算平台上的类似的组件实现共享可能在阻止恶意软件影响计算平台100、400中有用的涉及恶意软件的信息。在示出的示例中，外部计算平台400包括例如端点设备、服务器、网络聚集器、和/或任意其他合适的计算平台。

值得注意的是，图4的示例网络接口驱动器120与外部计算平台400实时地(例如，没有延迟)共享信息，反之亦然。例如，当示例外部计算平台400中的一个检测到可疑模式(和/或其他类型的恶意软件指示)时，图4的示例网络接口驱动器120立即接收关于可疑模式的信息。为了将信息提供给外部计算平台400，图4的示例网络接口驱动器120包括实时报告器402。例如，当示例安全应用114检测到恶意代码时，示例安全应用114(例如，经由安全服务通信器212)与示例实时报告器402协作以促进将对应信息传递到例如外部计算平台400。在一些示例中，经由图4的实时报告器402传递的信息包括例如应是对应的扫描(例如，由示例外部计算平台100进行)的目标的存储器和/或进程的类型的指令或指示。

此外，为了接收来自外部计算平台400的信息，图4的示例网络接口驱动器120包括实时接收器404。通过实时地(例如，没有经受例如传输和/或处理时间的延迟)发送和接收指示恶意软件的信息，图4的示例实时报告器402和/或图4的示例实时报告器404增加例如图1和/或2的安全应用114检测对应的恶意软件的能力。具体而言，在图4的实时接收器404接收的指示恶意软件的信息对应于活动的恶意软件。换言之，因为实时地在图4的示例实时接收器404接收指示恶意软件的信息，指示恶意软件的信息可能对应于正在网络(包括示例计算平台100)上执行的恶意软件。由此，对于接收的指示恶意软件的信息的存储器扫描更可能检测到恶意软件，因为恶意软件是活动的，并且因此是未打包的和/或非混淆的。

在此类实例中，图2的示例触发事件分析器206可以触发对例如存储器112的一个或多个片段的立即扫描，并且图2的示例扫描目标选择器210可以将接收的指示恶意软件的信息用作存储器扫描的目标。附加地或替代地，图2的示例扫描启动器204可以基于在图4的示例实时接收器404接收的信息使存储器扫描的启动优先。附加地或替代地，图1和/或2的示例安全应用114可以利用在图4的示例实时接收器404接收的信息以调整或改变调度的、待定的、和/或当前的存储器扫描。例如，图2的示例扫描启动器204可以重新排定在调度之前执行的一个或多个存储器扫描的优先级。

如上文所公开的，图4的示例网络接口驱动器120为示例计算平台100提供多个益处。尽管在任意合适的场景实现这些益处，示例场景包括被示例外部计算平台400中的一个或多个和/或计算平台100本身检测到的网络蠕虫。例如，外部计算平台400和/或计算平台100可以包括经由例如剖析外传网络通信量来检测高容量IP扫描(例如，到顺序的外部IP地址的多个快速请求)的网关或安全设备(例如，入侵预防系统(IPS)、防火墙、代理等等)。例如，所讨论的IP地址可以与外部计算平台400和/或计算平台100中的对应的一个不同(例如，在网络和/或地域方面)。在此类实例中，与检测到蠕虫的计算平台相关联的图4的示例实时报告器402使所讨论的IP地址可用于其他计算平台作为在各个机器上查找的特征。在一些示例中，此类场景涉及计算平台100请求的被检测为在外部计算平台400中的一个或多个上可疑的IP地址，并且一个或多个外部计算平台400将可疑IP地址特征馈送回计算平台100以作为扫描的主体。

另一示例场景涉及对互联网中继聊天(IRC)僵尸的检测。例如，网络设备可以标识IRC协议被用于以给定的用户名来尝试连接到远程服务器和通道。在一些实例中，此类检测违反一条或多条规则。作为响应，与检测到违反的计算平台相关联的图4的实例实时报告器402将诸如用户名和/或IP地址的对应细节传递到其他计算平台，使得其他计算平台可以查找按类似方式被使用的用户名。

另一示例场景涉及对跨多个节点的外部HTTP用户-代理的检测。例如，当发送HTTP请求时，恶意软件可以使用定制的用户-代理。具有外来的用户-代理的单独的系统可能不会是对恶意软件的扫描的原因。然而，对多个节点发送此类通信量的观察可能超过扫描发生的阈值。在此类实例中，网络安全设备可以标识不同的网络节点作出的相同但外来的HTTP请求。在此类实例中，与检测到外部HTTP请求的计算平台相关联的图4的示例实时报告器402可以将诸如用户-代理字符串的部分的一个或多个细节传递到其他计算平台。可以利用该信息以更好地检测在其他计算平台上的对应的恶意软件。

因此，基于在例如图4的实时接收器404接收的指示恶意软件的信息的模式搜索可以包括为了相关的字符串(ANSI和/或统一码)和/或字节模式而扫描存储器。如果扫描返回匹配，可以通过将对应的存储器映射到冒犯性(offending)进程来标识冒犯性进程或线程。结合图2如上所述，示例安全服务通信器212接收存储器扫描的结果，并且可以采取任意合适的补救动作。附加地或替代地，图4的示例实时接收器404接收的信息可以将与可疑网络通信量相关联的标准提供给例如跨图1的示例网络接口110扫描数据的网络过滤器驱动器。

虽然图4示出了实现图1的网络接口驱动器120的示例方式，图4所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图4的示例实时报告器402、示例实时接收器404和/或更一般的示例网络接口驱动器120可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图4的示例实时报告器402、示例实时接收器404和/或更一般的示例网络接口驱动器120中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图4的示例实时报告器402、示例实时接收器404和/或更一般的示例网络接口驱动器120中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例网络接口驱动器120可以包括除图4中所示的之外的一个或多个元件、进程和/或设备或作为图4中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图5示出通过图1的示例认证模块132、示例应用驱动器122、示例管理程序124和示例卸载进程保护器134提供的示例保护。在图5的示例中，图形驱动器116控制OS 102和GPU 106的组件之间的交互。例如，图形驱动器116控制可以包括利用GPU 106的显示功能的非安全应用118和GPU 106之间的交互。此外，示例图形驱动器116控制图1和/或2的示例安全应用114和GPU 106之间的交互。如上所述，示例安全应用114经由示例图形驱动器116将一个或多个任务(例如，诸如存储器扫描的安全任务)卸载到GPU 106。尽管图5的示例包括安全应用114和非安全应用108，任意合适数量的应用可以经由示例图形驱动器116与GPU 106交互。此外，尽管以下描述安全应用114和安全任务被安全应用114卸载到GPU 106，任意合适类型的应用可以利用示例认证模块132、示例应用驱动器122、示例管理程序124和/或示例卸载进程保护器134提供的示例保护以安全地将一个或多个计算任务卸载到示例GPU 106。

在图5的示例中，安全应用114经由示例应用驱动器122(和示例图形驱动器116)与GPU 106交互(例如，将数据传递到)。因此，图1的示例安全应用114将任务卸载到示例GPU 106，任务经由示例图形驱动器116和示例应用驱动器122之间的通信被卸载。在已知系统中，未被监视的到GPU的访问将应用(例如，诸如恶意软件的恶意代码)提供给内核等级代码。在此类实例中，恶意软件可以更容易地(例如，相对于包括CPU的特权环境)修改和/或破坏GPU 106正在执行的代码。与此类已知系统相反，示例认证模块132、示例应用驱动器122、示例管理程序124和/或示例卸载进程保护器134提供安全卸载进程并且保护被卸载的计算任务的执行。具体而言，在示例图形驱动器116和示例应用驱动器122之间建立受信任通道500。在图5的示例受信任通道500就位的情况下，认证来自示例应用驱动器122在示例图形驱动器116接收的计算任务和/或其他类型的数据(例如，经由相互认证过程被验证为接收自受信任源)。换言之，经由图5的示例受信任通道500接收自示例应用驱动器122的计算任务和/或其他类型的数据被确认为已经源自受信任源(例如，示例安全应用114)，并且因此未对示例计算平台100造成威胁。在图形驱动器116和示例应用驱动器122之间建立的图5的示例受信任通道500提供从应用驱动器122到示例GPU 106的安全隧道502。由此，在示例应用驱动器122和示例图形驱动器116之间建立的图5的示例受信任通道500确保恶意计算任务不被传递到以其他方式易受攻击的GPU 106。结合图6和7在下文中详细公开图5的示例受信任通道500和图5的对应的示例安全隧道502的示例实现。

在图5所示的示例中，示例计算平台100的管理程序124为将计算任务卸载504到示例GPU 106提供特权等级保护方案。在图5所示的示例中，管理程序124补充提供安全隧道502的示例受信任通道500提供的保护。在一些示例中，未实现管理程序124，并且示例计算平台100依赖于示例受信任通道500以确保卸载进程的完整性。在一些示例中，在图5的示例受信任通道500未就位的情况下实现图1的管理程序124。例如，除了或代替经由示例图形驱动器116提供的示例安全隧道502，管理程序124可以监视在应用驱动器122和GPU 106以及被卸载的计算任务504之间直接地映射(例如，使用用于直接的I/O的英特尔虚拟化技术(VT-d))的通信路径505。在一些此类实例中，与安全隧道502相关联的图形驱动器116的组件中的至少一些未被利用于与直接通信路径505结合。因此，可以单独地和/或结合地使用图5的示例管理程序124和示例受信任通道500以保护示例被卸载的计算任务504。

在图5所示的示例中，管理程序124包括卸载进程保护器134。在图5所示的示例中，管理程序124和/或示例卸载进程保护器134由存储器受保护的管理程序(例如，提供的受信任存储器服务层(TMSL))实现。因为图5的示例卸载进程保护器134经由管理程序124实现，图5的示例卸载进程保护器134具有示例计算平台100的最高特权等级(例如，环-1特权等级)。具有最高特权等级使示例卸载进程保护器134能监视例如存储器的被隔离的区域136。在示出的示例中，管理程序124创建存储器的被隔离的(例如，对OS 102不可见的)区域136，并且指定存储器的被隔离的区域136用于被卸载的计算任务504的执行。由此，将被卸载的计算任务504与将由传统GPU任务(例如，图像渲染)利用的存储器的其他无特权的区域隔离。因为示例卸载进程保护器134监视示例存储器的被隔离的区域136，示例卸载进程保护器134保护计算平台100免受具有任意特权等级的代码的尝试的访问的影响。例如，在架构中，图5的示例卸载进程保护器134可以通过具有环-0、环-1、环-2、和/或环-3特权等级的程序检测对被隔离的存储器136的尝试的访问。因此，具有管理程序特权的示例卸载进程保护器134甚至检测到在环-0特权等级尝试访问被隔离的存储器136的程序。由此，示例卸载进程保护器134用作被隔离的存储器136的保卫者。因为某些恶意软件在特权等级架构的环-0中执行，所以具有管理程序特权的示例卸载进程保护器134确保即使在环-0上操作的恶意软件也不能访问被卸载的计算任务504。

在一些示例中，当建立被隔离的存储器136时，管理程序124使用共享虚拟存储器(SVM)配置被隔离的存储器136。SVM是设计用于GPU 106直接地访问主机存储器的并行页表结构。SVM为被卸载的计算任务提供附加的或替代的保护。例如，SVM提供可以限制GPU 106到存储器的访问的访问控制属性，特定地允许读取存储器页但不允许写入访问。在其中GPU 106为恶意软件扫描的示出的示例中，不需要到主机存储器的写入访问。此外，SVM允许到存储器的选择性的访问。例如，当使用SVM配置被隔离的存储器136时，示例管理程序124可以允许一些页面对于GPU 106是不可访问的，诸如例如包括不应被公开给任意第三方的秘密数据和/或关键材料的存储器页。此外，SVM允许对于例如访客操作系统、被破坏的操作系统、恶意软件、和/或其他设备可能是不可访问的特定存储器被映射到GPU 106。特定存储器可以包括GPU 106需要以执行受保护的工作负荷(例如，被卸载的计算任务)的代码和/或数据。此外，SVM允许GPU 106映射所有主机存储器。这允许在GPU 106中运行的存储器扫描器访问主机存储器而不涉及例如CPU 108、虚拟机监视器、和/或驱动器按需重新映射或复制被缓冲的存储器。这增加GPU 106执行的扫描的自治，同时降低服务GPU 106消耗的CPU循环。对所有主机存储器的访问使GPU 106能查询跟踪来自CPU 108的存储器访问的驻留在存储器中的其他结构。例如，页面丢失日志(PML)提供列表或存储器中的最近被修改的页面。存储器扫描器将对这些页面特别感兴趣，因为这些页面已经改变并且应该被重新扫描。未改变或最近已经被访问的页面可能不需要被重新扫描，因为它们未被改变。附加地或替代地，扩展页表和OS页表包括可被用于确定最近被访问的存储器的位(例如，访问/脏(Dirty)位)。附加地或替代地，可以标识最近访问存储器的设备。例如，与计算平台100交互的其他设备的虚拟化表可以包括跟踪设备是否尝试了访问存储器、读取或写入访问、以及哪个存储器地址被寻址了的位。因此，通过利用SVM表结合GPU 106，图1的示例管理程序124使GPU 106能适当地访问存储器(例如，用于只读扫描操作)并且保护SVM表免于被改变(例如，被诸如恶意软件、APT等等的恶意实体)。在一些示例中，管理程序124通过配置VT-d表以阻止其他设备对SVM表的访问以及通过配置扩展页表(EPT)以阻止访客操作系统和它们可能包括的任意可能的恶意软件对受保护的SVM表的访问来保护SVM表。在一些示例中，准许GPU 106对受保护的SVM表的只读访问，使得GPU 106的硬件出于为恶意软件扫描(或其他受保护的工作负荷操作)的目的正确地访问和/或映射主机存储器。

示例卸载进程保护器134向例如图形驱动器116和/或示例应用驱动器122报告对被隔离的存储器136的尝试的访问。在图5所示的示例中，接收报告的示例图形驱动器116和/或示例应用驱动器122确定是否应该允许或拒绝尝试的访问。在一些示例中，卸载进程保护器134确定对被隔离的存储器136的尝试的访问是否与未经授权的应用或代码相关联，并且如果是，拒绝对被隔离的存储器136的访问。即，在一些示例中，卸载进程保护器134处理对访问的拒绝，而在其他示例中，卸载进程保护器134可以与示例图形驱动器116和/或示例应用驱动器122协作以拒绝对被隔离的存储器136的访问。

因此，示例管理程序124和示例卸载进程保护器134通过例如监视对被隔离的存储器136的访问(或尝试的访问)来保护被卸载的计算任务504。此外，通过建立和维持被隔离的存储器136，示例管理程序124将存储器的被隔离的区域136与对应于由GPU 106执行的未被卸载的计算任务的存储器的其他区域506分开。未被卸载的计算任务由应用而不是示例安全应用114经由示例图形驱动器116指示示例GPU 106的正常使用，例如程序希望在显示设备上渲染信息。如文本中所公开的，示例安全应用114经由例如图形驱动器116和应用驱动器122之间的相互认证被建立为GPU 106的有特权的、受信任的用户(例如，以卸载以其他方式旨在用于CPU 108的安全相关的计算任务)。然而，图1的示例图形驱动器116保持负责促进其他应用对GPU 106的利用，其他应用的一个示例由图5中的非安全应用118表示。图5的非安全应用118例如是显示应用。在图5所示的示例中，非安全应用118利用GPU 106用于图像渲染任务而不是用于将旨在以其他方式在CPU 108上执行的计算任务卸载到GPU 106。图5的非安全应用118是用于说明目的，作为经由未被卸载的计算任务利用GPU 106的示例类型的应用。由于示例图形驱动器116出于卸载目的经由安全隧道502促进对GPU 106的利用，以及来自非安全应用118的非安全路径508，示例管理程序124将在其中执行被卸载的计算任务504的被隔离的受保护的存储器136与在其中执行未被卸载的计算任务的不受保护的存储器506(至少不被示例卸载进程保护器134保护，但可能被其他组件或软件模块保护)隔离。

在示出的示例中，将存储器的受保护的区域136与不受保护的存储器506隔离由示例管理程序124对存储器的一个或多个片段的虚拟化(例如，经由TMSL虚拟化技术)提供。因此，示例管理程序124通过对例如OS 102和与OS 102相关联的其他软件隐藏存储器的被监视的、被隔离的区域136来保护被卸载的计算任务504免受可能的恶意代码影响。示例管理程序124通过例如不向OS 102和/或其他软件暴露存储器的被隔离的区域136的虚拟实例来隐藏存储器的被隔离的区域136。此外，在一些示例中，用于建立图5的示例受信任通道500的密钥和/或其他类型的认证信息被存储在由示例管理程序124维持以及由示例卸载进程保护器134监视的示例存储器的受保护的区域136。因此，图形驱动器116和应用驱动器122使用的用于相互认证彼此的密钥由示例管理程序124保护。

因此，在示例受信任通道500的保护下，示例安全应用114将一个或多个计算任务安全地转移到示例GPU 106以在图1的示例管理程序124的保护下执行。如上文所公开的，图1的示例安全应用114包括适于由示例GPU 106执行的一个或多个恶意软件检测任务。例如，涉及扫描和转移缓冲器和存储器中的大量数据的GPU 106的图形渲染硬件被装备成处理为指示恶意软件(例如，高级持续威胁(APT))的模式搜索计算平台100的扫描操作。此外，示例安全应用114提供的被设计为向计算平台100提供连续安全的安全措施将以其他方式(如果未被卸载到GPU 106)消耗大量的CPU循环。因此，本文中所公开的图5的受保护的对示例计算任务的卸载504提供在不消耗大量CPU循环的情况下(如果有的话)连续地为恶意软件扫描计算平台100的能力。在此类实例中，被卸载的计算任务1504经由安全隧道502报告回示例安全应用114。在图5所示的示例中，可以由示例安全应用114将报告的数据传递到服务器126和/或到示例计算平台100的一个或多个组件。

此外，图5的示例包括可以向例如安全应用114提供附加的或替代的保护的安全容器510。例如，使用提供安全“飞地”的软件防护扩展实现图5的安全容器510。在此类实例中，在示例安全容器510和GPU 106的图形微控制器514之间建立安全通道512。在图5所示的示例中，经由安全容器510和微控制器514之间的密钥交换和/或相互认证建立安全通道512。在一些示例中，安全通道512进一步被示例卸载进程保护器134监视。

图6是图1的示例图形驱动器116的示例认证模块132的示例实现的框图。为了建立图5的示例受信任通道500，图6的示例认证模块132包括认证器600。图6的示例认证器600实现涉及例如使公共的和/或私有的密钥可用于示例图形驱动器116的任意合适的认证技术。在图6所示的示例中，被示例认证器600利用的密钥被存储在示例被隔离的存储器136中，如上所述，示例被隔离的存储器136由示例卸载进程保护器134保护(例如，监视访问)。作为示例受信任通道500的建立后面的相互认证的一部分，图6的示例认证器600请求来自例如应用驱动器122和/或希望将一个或多个计算任务卸载到示例GPU 106的任意其他驱动器的合适的密钥。此外，因为图1的示例受信任通道500基于相互认证，图6的示例认证器600响应于其他驱动器对合适的密钥的需求。因为数据在例如应用驱动器122和示例图形驱动器116之间交换，图6的示例认证器600检查数据以确定数据是否例如经过合适的密钥签名。如果图6的示例认证器600确定数据不能被认证(例如，呈现错误的密钥)，则示例图形驱动器116拒绝与对应的应用或程序通信。在图6所示的示例中，示例认证器600使用的密钥被存储在存储器的被隔离的区域136中，并且因此被示例管理程序124监视。

图6的示例认证模块132包括策略定义器602以建立管理由图1的示例卸载进程保护器134提供的保护的一条或多条规则或定义。在图6所示的示例中，策略定义器602定义存储器的哪个或哪些部分(例如，地址)将被示例卸载进程保护器134监视。例如，图6的策略定义器602将特定多个(例如，顺序地址和/或虚拟地址块或组)存储器地址指定为示例被隔离的存储器136。在图6所示的示例中，策略定义器602定义被GPU 106暴露的哪个或哪些接口将被示例卸载进程保护器134监视。

例如，图6的策略定义器602将在OS 102和GPU 106之间被图2的示例图形驱动器116促进的某个或某些接口指定为有特权的接口604。由此，图6的示例有特权的接口604是对应于图5的示例被卸载的计算任务504的接口。在图6所示的示例中，有特权的接口604被作为管理程序的能够监视有特权的接口604上的所有通信的示例卸载进程保护器134监视。如果卸载进程保护器134确定有特权的接口604中的一个或多个正被恶意(例如，未被识别的和/或未被邀请的)应用或程序使用，则示例卸载进程保护器134发出警告，如结合图8在下文中详细描述的。即，图6的示例策略定义器602定义卸载进程保护器134怎样响应于对例如对被卸载的计算任务504的可能的攻击的一个或多个检测。此外，在图6所示的示例中，策略定义器602负责在示例OS 102和示例GPU 106之间注入示例管理程序124。例如，图6的策略定义器602在运行时间生成示例管理程序124(和对应的图1的示例卸载进程保护器134)的实例，使得例如卸载进程保护器134的监视功能在应用驱动器122和/或图形驱动器116的操作期间执行。

尽管上文将示例策略定义器602描述为由示例图形驱动器116实现，诸如示例应用驱动器122和/或示例管理程序124的附加的或替代的组件可以实现示例策略定义器602。

图6的示例认证模块132包括一个或多个无特权的接口606，对应于将GPU 106暴露给例如非安全应用118和/或将GPU 106用于传统地旨在用于GPU 106的任务(例如图像渲染任务)的其他应用。在图6所示的示例中，无特权的接口606对应于图5的非安全路径508。在图6所示的示例中，卸载进程保护器134不监视示例无特权的接口606。然而，图形驱动器116的替代示例可能不包括任何无特权的接口。即，示例卸载进程保护器134可以监视示例GPU 106的所有接口。

虽然图6示出了实现图1的认证模块132的示例方式，图6所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图6的示例认证器600、示例策略定义器604、示例有特权的接口604、示例无特权的接口606和/或更一般的示例认证模块132可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图6的示例认证器600、示例策略定义器604、示例有特权的接口604、示例无特权的接口606和/或更一般的示例认证模块132中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图6的示例认证器600、示例策略定义器604、示例有特权的接口604、示例无特权的接口606和/或更一般的示例认证模块132中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例认证模块132可以包括除图6中所示的之外的一个或多个元件、进程和/或设备或作为图6中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图7示出图1的示例应用驱动器122的示例实现。图7的示例应用驱动器122包括与图6的示例图形驱动器116的示例认证器600交互的认证器700。图7的示例认证器700与图6的示例认证器600协作以相互认证示例应用驱动器122和示例图形驱动器116。与图6的示例认证器600类似，图7的示例认证器700利用任意合适的认证技术来发送认证信息和要求认证信息。在图7所示的示例中，认证器700利用一个或多个公共的和/或私有的密钥来与示例图形驱动器116通信。在示出的示例中，被图7的示例认证器700利用的密钥被存储在被隔离的存储器136中，并且因此对密钥的访问由示例卸载进程保护器134监视。

图7的示例应用驱动器122包括经由示例图形驱动器116将图5的示例被卸载的计算任务504从示例安全应用114传递到示例GPU 106的卸载器702。在一些示例中，图7的示例卸载器702与示例安全应用114的图2的示例卸载器202协作以促进将安全任务卸载到GPU 106。在图7所示的示例中，直到应用驱动器122已经与示例图形驱动器116相互认证，卸载器702才能将计算任务传递到示例图形驱动器116。当建立了相互认证时，在将任意必需的认证信息传递到图形驱动器116之前，示例卸载器702将任意必需的认证信息结合到将被卸载的计算任务中。例如，在将会话密钥传递到示例图形驱动器116之前，图7的卸载器702将会话密钥附加到计算任务数据。在一些示例中，图7的卸载器702接收来自示例安全应用114的关于哪些计算任务将被卸载的指令。附加地或替代地，示例卸载器702可以基于例如很好地适用于在图1的示例GPU 106上执行的计算任务的类型来确定哪个或哪些计算任务将被卸载。在一些示例中，经由示例卸载器702将安全应用114的每个计算任务卸载到GPU 106。

图7的示例应用驱动器122包括接收例如由图1的示例卸载进程保护器134引起的警告的回调接收器704。如上所述，示例卸载进程保护器134监视例如在其中执行示例被卸载的计算任务504的被隔离的存储器136，并且当例如恶意代码尝试访问存储器的被监视的区域时生成警告。在图7所示的示例中，应用驱动器122的回调接收器704接收警告并且生成对检测到的可能的攻击的记录。在示出的示例中，回调接收器704对接收的警告作出时间戳，并且记录针对可能的攻击的细节(例如，存储器地址和/或标识与所谓的攻击者相关联的数据)的时间。在一些示例中，回调接收器704包括管理计算平台100将对可能的攻击怎样作出响应的多个响应和定义。当在示例应用驱动器122接收警告时，示例回调接收器704查询具有与警告相关联的信息的查找表以标识响应。图7的示例回调接收器704使用从查找表获得的信息来指令图1的示例卸载进程保护器134，以例如停止对被卸载的计算任务504的执行和/或将对被卸载的计算任务504的执行移动到示例CPU 108。附加地或替代地，图7的示例回调接收器704可以将该警告通知给示例图形驱动器116，和/或指令示例图形驱动器116检查该警告的代码的完整性。

图7的示例应用驱动器122包括服务器接口706以与例如图1的服务器126通信。图7的示例服务器接口706将例如示例回调接收器704记录的攻击信息传递到图1的服务器126，服务器126经由示例服务器接口706将更新提供给示例应用驱动器122。

虽然图7示出了实现图1的应用驱动器122的示例方式，图7所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图7的示例认证器700、示例卸载器702、示例回调接收器704、示例服务器接口706和/或更一般的示例应用驱动器122可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图7的示例认证器700、示例卸载器702、示例回调接收器704、示例服务器接口706和/或更一般的示例应用驱动器122中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图7的示例认证器700、示例卸载器702、示例回调接收器704、示例服务器接口706和/或更一般的示例应用驱动器122中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例应用驱动器122可以包括除图7中所示的之外的一个或多个元件、进程和/或设备或作为图2中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图8示出图1的示例卸载进程保护器134的示例实现。图8的示例卸载进程保护器134由管理程序实现或被实现为管理程序，管理程序具有在图1的示例计算平台100上可能的最高特权。例如，当计算平台100采用架构时，图8的示例卸载进程保护器134具有环负1(环-1)特权等级，并且因此能够监视例如任意特权等级的计算平台100的硬件和/或软件。如上所述，图8的示例卸载进程保护器134接收来自例如图1的应用驱动器122的配置信息。配置信息的附加的或替代的源是可能的，诸如例如图1和/或6的认证模块132。

在示出的示例中，图8的卸载进程保护器134包括解释配置信息以知晓监视存储器的哪个或哪些区域的存储器监视器800。在图8的示例中，存储器监视器800确定关于(例如，定义)示例存储器的被隔离的区域136的地址范围。图8的示例存储器监视器800将存储器的被隔离的区域136的实例标识为被访问的，并且收集关于尝试的访问的数据(例如，标识符)。在图8所示的示例中，存储器监视器800基于例如多个经授权的用户来确定未经授权的访问是否已经发生，多个经授权的用户由例如应用驱动器122和/或示例图形驱动器116提供。

图8的示例卸载进程保护器134包括报告器802以将关于未经授权的对存储器的被隔离的区域136的尝试的访问的通知传递到例如应用驱动器122和/或示例图形驱动器116。如上所述，响应于示例报告器802发送的通知，应用驱动器122和/或示例图形驱动器116指令图8的示例卸载进程保护器134关于对未经授权的访问的响应。图8的示例卸载进程保护器126包括规则实施器804以实现示例应用驱动器122和/或示例图形驱动器116选择的响应。例如，图8的规则实施器804拒绝对未经授权的请求的访问和/或停止对示例GPU 106中的被卸载的计算任务504的执行。

虽然图8示出了实现图1的卸载进程保护器134的示例方式，图8所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图8的示例存储器监视器800、示例报告器802、示例规则实施器804和/或更一般的示例卸载进程保护器134可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图8的示例存储器监视器800、示例报告器802、示例规则实施器804和/或更一般的示例卸载进程保护器134中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图8的示例存储器监视器800、示例报告器802、示例规则实施器804和/或更一般的示例卸载进程保护器134中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例卸载进程保护器134可以包括除图8中所示的之外的一个或多个元件、进程和/或设备或作为图8中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图9是图1的示例扫描器138的示例实现的框图。图1和/或9的示例扫描器138可以被例如安全应用114利用(例如，调用)以扫描存储器的一个或多个区域。在一些示例中，在示例安全应用114的外部实现扫描器138，并且扫描器138对于与计算平台100相关联的任意其他合适的应用是可访问的。在一些示例中，GPU 106执行扫描器138的操作(例如，如图2的示例卸载器202所卸载的)。

图9的示例扫描器138包括用户模式客户机900和内核模式的驱动器902。图9的示例用户模式客户机900与示例内核模式的驱动器902协作以实现用于并行地处理(例如，扫描)与不同进程相关联的存储器的区域的滑动窗口。在图9的示例中，随着滑动窗口继续穿过将被处理的存储器，用户模式客户机900的映射器904将在滑动窗口内的存储器的区域映射到与例如用户模式客户机900相关联的虚拟地址空间906。图10示出滑动窗口1000和对应于不同进程的穿过存储器的前进1002的示例。随着对应于不同进程(例如，图10中的进程A-E和内核进程)的相应的存储器穿过滑动窗口100前进，映射器904将滑动窗口1000内的存储器映射到虚拟地址空间906。值得注意的是，图10的进程中的多于一个进程(例如，进程D和内核进程)可以同时在滑动窗口1000内。由此，可以将对应于图10的进程中的多于一个进程的存储器同时映射到虚拟地址空间906。在示出的示例中，跨图10的进程中的多个进程的滑动窗口1000中的重叠的量取决于滑动窗口1000的尺寸。图9的示例用户模式客户机900包括窗口尺寸定义器908以定义滑动窗口的尺寸。在一些示例中，窗口尺寸定义器908为用户提供选项，并且包括用于滑动窗口的默认尺寸。

图9的示例用户模式客户机900包括进程选择器910以实现对将由扫描器138处理(例如，扫描)的一个或多个进程的选择。图9的示例进程选择器910通过例如提供程序标识符(PID)和/或名称(例如，通配符名称)来指定监视哪个或哪些进程。例如，如果图9的进程选择器910选择为例如图2的指示恶意软件的模式200扫描图10的进程A，则进程选择器910可以提供与进程A相关联的PID。附加地或替代地，如果图9的进程选择器910选择图10的内核进程，则进程选择器910可以提供与内核相关联的PID和/或名称。在一些示例中，由图2的扫描目标选择器210和/或图4的实时接收器404提供对哪个进程将被扫描的指定。

图9的示例用户模式客户机900包括状态选择器912以实现对进一步定义被选择的进程的哪些部分和/或方面将被监视的一个或多个状态的选择。例如，图9的状态选择器912实现对用于特定被选择的进程的地址范围或模块名称的选择，地址范围或模块名称对应于被选择的进程的特定方面。由此，图9的示例进程选择器910和示例状态选择器912使用户模式的客户机900能监视特定进程的特定部分。

图9的示例用户模式的客户机900包括工作负荷执行器914以执行与用户模式的客户机900相关联的工作负荷。在图9所示的示例中，将由工作负荷执行器914执行的工作负荷包括对被映射在虚拟地址空间906中的存储器的扫描。图9的示例工作负荷执行器914执行的扫描为诸如例如图2的指示恶意软件的模式200的模式搜索存储器。在图9所示的示例中，由GPU 106的硬件(例如经由在GPU 106上运行的OpenCL内核)执行与工作负荷执行器914相关联的操作。

图9的示例内核模式的驱动器902将应用编程接口(API)916暴露给示例用户模式的客户机900。在一些示例中，在将API 916暴露给用户模式的客户机900之前，内核模式的驱动器902要求用户模式的客户机900被认证。图9的示例API 916为用户模式的客户机900提供接口以配置示例滑动窗口1000和滑动窗口1000的特性。例如，图9的API 916使窗口尺寸定义器908能将指示定义的窗口尺寸(例如，作为数个字节)的数据传递到内核模式的驱动器902。作为响应，示例内核模式的驱动器902设定和维持滑动窗口100的尺寸。此外，示例内核模式的驱动器902将指示滑动窗口1000驻留的虚拟地址空间906中的位置的指针返回到用户模式的客户机900。在示出的示例中，示例用户模式的客户机900的工作负荷执行器914利用该指针来执行在虚拟地址空间906中的合适的位置的数据上的工作负荷。此外，图9的示例API 916使进程选择器910和状态选择器912能将指示将被监视的被选择的进程和/或被选择的进程的方面(例如，图10的进程A-E和内核进程)的数据传递到内核模式的驱动器902。作为响应，示例内核模式的驱动器902利用存储器区域跟踪器918来跟踪将被监视的存储器的区域。例如，图9的存储器区域跟踪器918维持将被监视的进程和/或与相应的进程相关联的定义存储器的哪些部分将被监视的状态的列表。在图9所示的示例中，存储器区域跟踪器918通过例如监视进程创建和/或进程消灭以及根据需要增加和移除进程来将进程的列表保持为最新的。

图9的示例内核模式的驱动器902包括当前迭代跟踪器920以跟踪当前被监视的进程和/或内核中的当前位置。随着滑动窗口1000穿过被监视的进程前进，示例当前迭代跟踪器920更新表示在例如图10的示例前进1002中的当前位置的值。在示出的示例中，从前进1002中的当前位置开始，滑动窗口1000迭代经过例如浏览被监视的进程的结构、搜索都存在的(例如，未被页出的)并且如果为当前进程指定(例如，由状态选择器912)任意条件则匹配被选择的条件的页面。由例如直接页表操纵(例如，不复制)将匹配页面映射到滑动窗口1000中。替代地，可以将数据复制到滑动窗口1000中。该前进继续直到滑动窗口1000满了或整个被监视的范围的集合已经被遍历了。在一些示例中，将被映射的全部数量的字节(其可能少于窗口尺寸)返回到用户模式的客户机900。

如上所述，图9的工作负荷执行器914执行用户模式的客户机900的工作负荷，用户模式的客户机900的工作负荷在示出的示例中是用于图2的指示恶意软件的模式200的对经由滑动窗口1000被映射到虚拟地址空间906的存储器的扫描。值得注意的是，由示例用户模式的客户机900和示例内核模式的驱动器902实现的扫描包括对横跨多个存储器的区域的多个不同进程的并行扫描。如果图9的示例工作负荷执行器914执行的扫描(例如，在GPU 106的硬件上)产生一个或多个匹配，示例工作负荷执行器914将例如对应的一个或多个偏移返回到虚拟地址空间906中。偏移对应于与例如指示恶意软件的代码相关联的存储器中的特定区域或位置。如上所述，为诸如安全应用114的一个或多个应用提供与被发现指示恶意软件的存储器位置和/或进程标识相关联的标识信息。在一些示例中，内核模式的驱动器902利用验证器922以验证在对应于偏移的原始存储器位置的匹配。当例如在扫描之前被重新分配的经由滑动窗口被映射的物理页面引起的可能的竞争状况完成时，示例验证器922提供的验证是有用的。为了验证检测到的匹配，示例验证器922执行像工作负荷执行器914的类似的或替代的模式匹配扫描以确定最初检测到的匹配是否是准确的。

因此，图9的示例扫描器138为示例计算平台100提供增加吞吐量的扫描技术，并且因此使计算平台100(例如，经由示例安全应用114)能在用于例如恶意软件的对存储器扫描的调度和/或配置中更激进。

虽然图9示出了实现图1的扫描器138的示例方式，图9所示的元件、进程和/或设备中的一个或多个可以被组合、拆分、重新设置、省略、消除和/或以任何方式被实现。此外，图9的示例用户模式的客户机900、示例内核模式的驱动器902、示例映射器904、示例窗口尺寸定义器908、示例进程选择器910、示例状态选择器912、示例工作负荷执行器914、示例API 916、示例存储器区域跟踪器918、示例当前迭代跟踪器920、示例验证器922和/或更一般的示例扫描器138可以由硬件、软件、固件和/或硬件、软件和/或固件的任意组合实现。因此，例如，图9的示例用户模式的客户机900、示例内核模式的驱动器902、示例映射器904、示例窗口尺寸定义器908、示例进程选择器910、示例状态选择器912、示例工作负荷执行器914、示例API 916、示例存储器区域跟踪器918、示例当前迭代跟踪器920、示例验证器922和/或更一般的示例扫描器138中的任意一个可以由模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)中的一个或多个实现。当阅读覆盖纯软件和/或固件实现的本专利的装置或系统权利要求中的任一个时，图9的示例用户模式的客户机900、示例内核模式的驱动器902、示例映射器904、示例窗口尺寸定义器908、示例进程选择器910、示例状态选择器912、示例工作负荷执行器914、示例API 916、示例存储器区域跟踪器918、示例当前迭代跟踪器920、示例验证器922和/或更一般的示例扫描器138中的至少一个由此被明确地定义为包括存储软件和/或固件的有形的计算机可读存储设备或存储盘(例如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等等)。此外，图1的示例卸载进程保护器134可以包括除图8中所示的之外的一个或多个元件、进程和/或设备或作为图8中所示的替代的一个或多个元件、进程和/或设备，并且/或者可以包括所有示出的元件、进程和/或设备中的多于一个。

图11是表示用于实现图1和/或2的示例安全应用114的示例机器可读指令的流程图。图11的示例以启动示例安全应用114来开始(框1100)。对示例安全应用114的启动对应于例如OS 102变成活动的和/或被加载。在一些示例中，安全应用114可以被用户激活和去激活。如上所述，示例安全应用114利用指示恶意软件的模式200以扫描例如示例计算平台100的存储器112的一个或多个区域。当安全应用114接收关于例如新发现的指示恶意软件的信息的信息时更新指示恶意软件的模式200。在图11的示例中，如果安全应用114接收此类指示恶意软件的数据(例如，模式)(框1102)，则接收的数据添加到指示恶意软件的模式200(框1104)。

在图11的示例中，示例扫描启动器204确定安全任务(例如，对存储器112的一个或多个区域的扫描)是否将被配置(框1106)。例如，扫描启动器204可以接收新发现的指示恶意软件的信息(例如，经由图4的示例网络接口驱动器120的实时接收器404)和指令以配置用于指示恶意软件的信息的对计算平台100的扫描。如果是，则示例扫描启动器204设定用于安全任务的调度(框1108)。在一些示例中，扫描启动器204将安全任务设定为被连续地运行(例如，直到以其他方式被通知)。在一些示例中，扫描启动器204将安全任务设定为被周期性地和/或随机地运行。此外，示例扫描模式选择器208选择指示恶意软件的模式200中的一个或多个作为安全任务的基础(框1110)。在一些示例中，被选择的模式对应于新发现的指示恶意软件的信息(例如，经由示例网络接口驱动器120的实时接收器404接收的)。此外，示例扫描目标选择器210选择安全任务的一个或多个目标(框1112)。在一些示例中，扫描目标选择器210结合新发现的指示恶意软件的信息基于接收的信息来选择目标。例如，实时接收器404可以结合对应的指示恶意软件的信息接收关于存储器的类型的指令来扫描。

在安全任务被配置的情况下，示例扫描启动器204确定是否已经启动了安全任务(框1114)。对安全任务的启动对应于例如安全任务的调度集合和/或触发事件分析器206响应于检测到的事件而触发安全任务。当安全任务将被启动时，示例卸载器202确定安全是否将被卸载到计算平台的示例GPU 106(框1116)。在一些示例中，卸载器202默认将安全任务卸载到GPU 106。在一些示例中，安全任务包括将被卸载器204读取的指定或指令，指定或指令指示是GPU 106还是CPU 108将执行安全任务。例如，可以将被更激进地配置的安全任务指定为在GPU 106上执行。如果安全任务将被卸载，示例卸载器202与示例图形驱动器116(和应用驱动器122)协作以将安全任务卸载到GPU 106(框1118)。否则，安全任务由CPU 108执行(框1120)。

GPU 106或CPU 108中合适的一个执行安全任务，并且示例安全应用114接收结果。在图11所示的示例中，示例安全服务通信器212将发现结果传递到任意合适的组件，诸如例如示例计算平台100的恶意软件移除器(框1122)。附加地或替代地，示例安全服务通信器212将发现结果提供给示例网络接口驱动器120，示例网络接口驱动器120促进经由示例实时报告器402对发现结果的实时报告(框1122)。如果安全应用114将被终止(框1124)，则图11的示例结束(框1126)。否则，控制返回至框1102。

图12是表示用于实现图1和/或3的示例通知模块130的示例机器可读指令的流程图。图12的示例以启动示例图形驱动器116并且因此启动示例通知模块130来开始(框1200)。对示例图形驱动器116的启动对应于例如OS 102变成活动的和/或被加载。在一些示例中，响应于对显示设备的激活，图形驱动器116可以被激活和去激活。如上所述，示例图形驱动器116促进计算平台100的组件(例如，安全应用114和/或非安全应用118)与GPU 106之间的交互。如果在图形驱动器116处接收将由GPU 106执行的任务(例如，与安全应用114相关联的安全任务)(框602)，则通知模块130的示例分派器300为任务标识请求队列302中的合适的一个队列(例如，基于接收的任务的类型)，并且将接收的任务添加到请求队列302中被标识的一个队列(框1204)。

在图12的示例中，调度器304基于计算平台100和/或请求队列302的一个或多个状态来确定各个请求队列302的顺序(框1206)。例如，调度器304基于队列深度、分配到各个任务的优先级等级、用于先占的时间片、和/或任意其他合适的因素或条件来确定排队的任务的顺序。如上所述，GPU 106按确定的顺序执行请求队列302的任务。

在图12的示例中，当安全应用114已经将对应的安全任务卸载到GPU 106时，通知器306接收来自例如安全应用114的通知请求。如果接收了此类请求(框1208)，示例通知器306将接收的请求和请求的细节(例如，需要哪些状态细节和/或哪些状态变化将触发通知)添加到通知器306维持的通知请求的列表(框1210)。示例调度器304确定请求队列302中的任务和/或GPU 106中的当前被执行(例如，并行地)的任务的状态(框1212)并且将获得的信息提供给通知器306。示例通知器306分析接收的状态信息，并且确定是否有任何通知请求指示通知将被传递到GPU 106的请求消费者(框1214)。如果是，则示例通知器306发送对应的通知和伴随的细节(框1214)。如果通知模块130将被终止(框1216)，则图12的示例结束(框1218)。否则，控制返回至框1202。

图13是表示用于实现图1和/或4的网络接口驱动器120的示例机器可读指令的流程图。图13的示例以启动示例网络接口驱动器120来开始(框1300)。对示例网络接口驱动器120的启动对应于例如OS 102变成活动的和/或被加载。在一些示例中，响应于对网络接口110的激活，网络接口驱动器120可以被激活和去激活。如上所述，示例网络接口驱动器120促进计算平台100的组件与网络接口110之间的交互。除了驱动网络接口110的操作之外，示例网络接口驱动器120实现将指示恶意软件的数据与例如图4的外部计算平台400共享。

在图13的示例中，如果在实时接收器404接收了指示恶意软件的数据(框1302)，则示例实时接收器404立即(例如，没有延迟地)将接收的数据传递到例如安全应用114(框1304)。在示出的示例中，安全应用114使用接收的数据来例如立即(例如，没有延迟地)启动或触发对与接收的数据相关联的存储器的扫描。如上所述，此类对指示恶意软件的数据的实时提供改善了当恶意软件是活动的(例如，非混淆的、未打包的、解密的等等)时安全应用114检测恶意软件的能力,从而避免试图检测不活动的(例如，混淆的、打包的、加密的等等)恶意软件的困难。

在图13的示例中，如果计算平台100的组件(例如安全应用114)检测到指示恶意软件的信息(框1306)，则示例实时报告器402立即(例如，没有延迟地)将检测到的信息和任何合适的伴随的信息(例如，与恶意软件检测相关联的提取的情境元数据)经由网络接口110传递到例如外部计算平台400(框1308)。如上所述，此类对指示恶意软件的数据的实时提供改善了当恶意软件是活动的时外部计算平台400检测恶意软件的能力，从而避免试图检测不活动的恶意软件的困难。如果网络接口驱动器120将被终止(框1310)，则图13的示例结束(框1312)。否则，控制返回至框1302。

图14是表示用于实现图1和/或6的示例认证模块132的示例机器可读指令的流程图。图14的示例以启动示例认证模块132来开始(框1400)。对示例认证模块132的启动对应于例如OS 102变成活动的和/或被加载。在图14的示例中，认证模块132可以接收安全应用114要求将计算任务卸载到GPU 106的指示(框1402)。例如，安全应用114可以确定可以通过在GPU 106而不是CPU 108中执行一个或多个计算任务来改善度量测量CPU循环。在图14的示例中，认证模块132接收来自应用驱动器122的指示并且向应用驱动器122请求认证信息(框1404)。示例认证模块132向应用驱动器122请求认证信息，使得可以建立图5的示例受信任通道500。在图14所示的示例中，被请求的认证信息包括例如一个或多个公共密钥和/或私有密钥。图6的示例认证模块132的示例认证器600确定接收自应用驱动器122的已接收认证信息是否是真实的(框1406)。例如，图6的认证器600确定来自应用驱动器122的响应是否包括被识别的认证密钥。

在图14的示例中，当应用驱动器122提供未被识别的认证信息时(框1406)，图6的示例认证器600通知示例图形驱动器116不能信任应用驱动器122和/或安全应用144并且拒绝卸载请求(框1408)。替代地，当应用驱动器122提供被识别的认证信息，从而指示安全应用114是真实的时，图6的示例认证器600将认证信息传递到应用驱动器122，使得应用驱动器122可以认证示例图形驱动器116(框1410)。即，通过示例应用驱动器122和示例图形驱动器116之间的相互认证来建立图5的示例受信任通道500。

示例认证模块132的图6的示例策略定义器602配置示例管理程序124，使得示例卸载进程保护器134可以监视对被卸载的计算任务504的执行(框1412)。在图14的示例中，对卸载进程保护器134的配置包括将图1的示例被隔离的存储器136建立为将被示例卸载进程保护器134监视的存储器位置。

在图5的示例受信任通道500被建立和示例卸载进程保护器134被配置的情况下，示例图形驱动器116经由安全隧道502将接收的数据路由到示例GPU 106用于执行(框1414)。即，示例图形驱动器116经由示例有特权的接口604将接收的数据路由到示例存储器的被隔离的区域136用于在示例GPU 106上的受保护的执行。此外，示例图形驱动器116经由示例无特权的接口606将接收的数据路由到未被示例卸载进程保护器134保护的存储器区域506(框1416)。如果示例认证模块132将被终止(框1418)，则图14的示例结束(框1420)。否则，控制进行至框1402。

图15是表示用于实现图1和/或7的示例应用驱动器122的示例机器可读指令的流程图。图15以示例应用驱动器122指定用于卸载到示例GPU 106的一个或多个计算任务来开始(框1500)。示例应用驱动器122将对该指定的指示传递到示例图形驱动器115(框1502)。在图15所示的示例中，当将对被指定用于卸载的任务的指示发送到图形驱动器116时，应用驱动器122接收来自图形驱动器116的认证模块132的对认证信息的请求。图7的示例应用驱动器122的示例认证器700对来自图形驱动器116的认证模块132的请求和被请求的认证信息作出响应(框1504)。在示出的示例中，被请求的认证信息包括因为对应于受信任的应用(例如，不是恶意软件)而被图形驱动器116的认证模块132的认证器600识别的一个或多个密钥。如果图形驱动器116拒绝所提供的认证信息(框1506)，应用驱动器122的示例认证器700重试(如果可能的话)传递认证信息。在图15的示例中，只有某些数量(例如，三个)的重试是可用的。如果重试是可用的(框1508)，则控制返回到框1502。如果重试不是可用的(例如，已经达到重试的限制)(框1508)，则图15的示例结束(框1510)。

如果图形驱动器116的认证模块132接受认证信息(框1506)，则应用驱动器122的示例认证器700向图形驱动器116请求认证信息，使得驱动器116、122可以根据所需相互认证以建立图5的示例受信任通道500(框1512)。应用驱动器122的示例认证器700接收来自图形驱动器116的认证信息(例如，一个或多个密钥)并且确定接收的认证信息是否指示图形驱动器116是真实的(例如不是伪装成图形驱动器的恶意软件)(框1514)。如果应用驱动器122的认证器700确定图形驱动器116是真实的(框1514)，则应用驱动器122的示例卸载器702促进通过经由示例安全隧道502将计算任务传递到图形驱动器116来将一个或多个被指定的计算任务卸载到GPU 106(框1516)。在图15的示例中，经由示例图形驱动器116的有特权的接口604安全地促进对计算任务的传递。

因为在图1的示例GPU 106上执行被卸载的计算任务504，示例卸载进程保护器134监视存储器的被隔离的区域136，在存储器的被隔离的区域136中执行被卸载的计算任务504。如果应用驱动器122的示例回调接收器704结合对存储器的被隔离的区域136的监视接收警告(框1518)，则示例回调接收器704确定合适的响应(例如，按照对包括关于对存储器的被隔离的区域136的可能的未经授权的访问作出响应的指令的查找表)并且将合适的响应传递到示例卸载进程保护器134(框1520)。

图16是表示用于实现图1和/或8的示例卸载进程保护器134的示例机器可读指令的流程图。图16以一个或多个计算任务被卸载到图1的示例GPU 106来开始(框1600)。尽管示例管理程序124可能在计算任务被卸载之前运行，在图16的示例中，管理程序124被例如图6的示例认证模块132的策略定义器602配置。在示出的示例中，对管理程序124的配置包括接收用于卸载进程保护器134的关于监视与示例被卸载的计算任务504相关联的存储器的指令(框1602)。为示例卸载进程保护器134提供例如监视的多个存储器地址(例如，顺序的地址范围)，从而使管理程序124能知晓任何对例如图1的存储器的被隔离的区域136的访问的尝试。如上所述，示例卸载进程保护器134享有示例计算平台100中允许的最高特权等级，并且因此可以监视任意组件(例如，程序)的尝试的访问。通过使用接收的指令，示例卸载进程保护器134建立对例如图1的存储器的被隔离的区域136的监视(框1604)。

在图16的示例中，图8的示例卸载进程保护器134的存储器监视器800确定是否发生了对示例存储器的被隔离的区域136的未经授权的访问(框1606)。如果示例存储器监视器800检测到此类尝试(框1606)，图8的示例卸载进程保护器134的示例报告器802生成警告并且将消息传递到例如应用驱动器122(框1608)。如上所述，应用驱动器122的示例回调接收器704通知示例卸载进程保护器134关于对检测到的未经授权的尝试的访问的保护性响应。在示出的示例中，卸载进程保护器134的规则实施器804实现合适的保护性的动作，诸如例如拒绝请求的访问(框1610)。示例存储器监视器800继续监视存储器的被隔离的区域136(框1606)。

图17是表示用于实现图1和/或9的示例扫描器138的示例机器可读指令的流程图。图17的示例以启动示例扫描器138来开始(框1700)。对示例扫描器138的启动对应于例如OS 102变成活动的和/或被加载。在图17的示例中，用户模式的客户机900的窗口尺寸定义器908(例如，经由内核模式的驱动器902的API 916)定义滑动窗口的尺寸，滑动窗口将用于将特定的存储器映射到示例虚拟地址空间906(框1702)。如上所述，滑动窗口的尺寸确定将被示例扫描器138并行地扫描的存储器的量。此外，示例扫描器138实现的滑动窗口可以同时包括对应于多于一个将被监视的进程的存储器，从而提供在不同的相应进程上并行地执行多个扫描的能力。

在图17的示例中，由进程选择器910(例如，经由内核模式的驱动器902的API 916)选择将被扫描(或以其他方式被GPU 106处理)的一个或多个进程(框1704)。例如，在图10中，选择将监视进程A-E和内核进程。对监视哪个或哪些进程的指定通过例如PID和/或名称传递。在一些示例中，由图2的扫描目标选择器210和/或图4的实时接收器404提供对哪个进程将被扫描的指定。此外，示例状态选择器912(例如，经由内核模式的驱动器902的API 916)可以选择一个或多个状态以进一步定义被选择的进程的哪些方面或部分(例如，对应于被选择的进程的特定操作的存储器范围)将被监视(框1706)。

在图17的示例中，内核模式的驱动器902根据接收的由示例用户模式的客户机900提供的参数来配置滑动窗口(框1708)。此外，示例内核模式的驱动器902将指示滑动窗口1000驻留的虚拟地址空间906中的位置的指针返回到用户模式的客户机900(框1708)。此外，示例存储器区域跟踪器918根据来自用户模式的客户机900的接收的参数维持被选择的进程和/或状态的列表以跟踪将被监视的存储器的区域(框1710)。维持列表包括例如通过例如监视进程创建和/或进程消灭以及根据需要增加和移除进程来将进程的列表保持为最新的。此外，随着滑动窗口1000前进穿过当前被监视的进程和/或内核，例如图10的前进1002，示例当前迭代跟踪器920跟踪当前被监视的进程和/或内核中的当前位置(框1712)。

在滑动窗口1000被配置和合适的参数被跟踪的情况下，示例映射器904将滑动窗口内的存储器的区域映射到虚拟地址空间906(框1714)。当滑动窗口1000已经映射了对应于被指定的进程的部分的特定数量的数据和/或被指定的进程和/或存储器的区域时，将滑动窗口移动到例如根据图10的示例前进1002的下一位置(框1716)。

在图17的示例中，示例工作负荷执行器914执行对被映射到虚拟地址空间906中的存储器的扫描(例如，用于图2的指示恶意软件的模式200)(框1718)。如果发现匹配，则提供到虚拟地址空间906中的偏移，并且偏移可以用于标识对应的存储器的区域(例如，经由跟踪到虚拟地址空间906中的映射过程以及相关联的存储器位置和偏移之间的对应性)(框1720)。在图17的示例中，内核模式的驱动器902的验证器922验证匹配以避免使过时的数据经受扫描的竞争状况(框1722)。如果示例扫描器138将被终止(框1724)，则图17的示例结束(框1726)。否则，控制返回至框1716。替代地，示例扫描器138可以接收对例如滑动窗口1000的配置的调节，在该情形下控制返回至框1702。

在图11-17的示例中，机器可读指令包括由诸如结合图18在下文中讨论的示例处理器平台1800中示出的处理器1812的处理器执行的一个或多个程序。程序可以被具体化在存储于诸如CD-ROM、软盘、硬驱动器、数字多功能盘(DVD)、蓝光盘或与处理器1812关联的存储器那样的有形的计算机可读存储介质上的软件里，但是全部或部分程序可以替代地由除处理器1812之外的器件执行，并且/或者可以具体化在固件或专用硬件里。此外，虽然参考图11-17所示的流程图描述示例程序，可以替代地使用实现图1和/或2的示例扫描管理器128、图1和/或3的示例通知模块130、图1和/或4的示例网络接口驱动器120、图1和/或6的示例认证模块132、图1和/或7的示例应用驱动器122、图1和/或8的示例卸载进程保护器134、和/或图1和/或9的示例扫描器138的许多其他方法。例如，各个框的执行次序可以改变，并且/或者所描述的一些框可以被改变、消除、或组合。

如上文所述，可以使用存储于有形的计算机可读介质上的被编码的指令(例如，计算机和/或机器可读指令)实现图11-17的示例过程，有形的计算机可读介质例如：硬盘驱动器、闪存、只读存储器(ROM)、紧凑盘(CD)、数字多功能盘(DVD)、高速缓存、随机存取存储器(RAM)和/或其他任何在任何时长内(例如：在扩展时间段内、永久地、在简短的实例期间、在临时缓冲和/或信息缓存期间)将信息存储于其内的存储设备或存储盘。如本文中所使用的，术语“有形的计算机可读存储介质”被明确地定义为包括任何类型的计算机可读存储设备和/或存储盘，并且排除传播的信号以及排除传输介质。如本文中所使用的，“有形的计算机可读存储介质”和“有形的机器可读存储介质”可互换地使用。附加地或替代地，可以使用存储于非瞬态的计算机和/或机器可读介质上的被编码的指令(例如，计算机和/或机器可读指令)实现图11-17的示例过程，非瞬态的计算机和/或机器可读介质例如：硬盘驱动器、闪存、只读存储器(ROM)、紧凑盘(CD)、数字多功能盘(DVD)、高速缓存、随机存取存储器(RAM)和/或其他任何在任何时长内(例如：在扩展时间段内、永久地、在简短的实例期间、在临时缓冲和/或信息缓存期间)将信息存储于其内的存储设备或存储盘。如本文中所使用的，术语“非瞬态的计算机可读介质”被明确地定义为包括任何类型的计算机可读存储设备和/或存储盘，并且排除传播的信号以及排除传输介质。如本文所使用的那样，当短语“至少”被用作与权利要求同步使用的转换术语时是和术语“包括”一样的开放式的。

图18是示例处理器平台1800的框图，示例处理器平台1800能够执行图11的指令以实现图1和/或2的示例扫描管理器128、执行图12的指令以实现图1和/或3的示例通知模块130、执行图13的指令以实现图1和/或4的示例网络接口驱动器120、执行图14的指令以实现图1和/或6的示例认证模块132、执行图15的指令以实现图1和/或7的示例应用驱动器122、执行图16的指令以实现图1和/或8的示例卸载进程保护器134、和/或执行图17的指令以实现图1和/或9的示例扫描器138。处理器平台1800可以是例如服务器、个人计算机、移动设备(例如，蜂窝电话、智能电话、诸如iPadTM的平板)、个人数字助理(PDA)、因特网设备、媒体播放器(例如，DVD播放器、CD播放器、数字视频记录仪、蓝光播放器等等)、游戏控制台、或任何其他类型的计算设备。

示出的示例的处理器平台1800包括处理器1812(例如，图1的CPU 108)。示出的示例的处理器1812是硬件。例如，处理器1812可以由来自任何所需要的家族或制造商的一个或多个集成电路、逻辑电路、微处理器或控制器实现。

示出的示例的处理器1812包括本地存储器1813(例如，高速缓存)。示出的示例的处理器1812通过总线1818与包括易失性存储器1814和非易失性存储器1816的主存储器通信。易失性存储器1814可以通过同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、RAMBUS动态随机存取存储器(RDRAM)和/或任何其他类型的随机存取存储器设备实现。非易失性储存器1816可以由闪存和/或其他任何所需类型的存储器设备实现。存储器控制器控制对主存储器1814、1816的访问。

示出的示例的处理器平台1800还包括接口电路1820。接口电路1820可以由任何类型的接口标准实现，例如以太网接口、通用串行总线(USB)和/或PCI快速接口。

在示出的示例中，将一个或多个输入设备1822连接到接口电路1820。输入设备1822允许用户将数据和命令输入处理器1812。输入设备可以由诸如音频传感器、话筒、相机(静态或视频)、键盘、按钮、鼠标、触屏、轨迹板、轨迹球、等点鼠标(isopoint)和/或语音识别系统实现。

将一个或多个输出设备1824也连接到示出的示例的接口电路1820。输出设备1824可以由例如显示设备(例如，发光二极管(LED)、有机发光二极管(OLED)、液晶显示器、阴极射线管显示器(CRT)、触屏、触觉输出设备、打印机和/或扬声器)实现。示出的示例的接口电路1820因此通常包括图形驱动器卡、图形驱动器芯片或图形驱动器处理器(例如，图1的示例GPU 106)。

示出的示例的接口电路1820还包括诸如发射器、接收器、收发机、调制解调器和/或网络接口卡(例如，图1的网络接口110)的通信设备以促进经由网络1826(例如，以太网连接、数字用户线路(DSL)、电话线、同轴电缆、蜂窝电话系统等等)与外部机器(例如，诸如图4的外部计算设备400的任何类型的计算设备)的数据交换。

示出的示例的处理器平台1800还包括一个或多个用于存储软件和/或数据的大容量存储设备1828。此类大容量存储设备1828的示例包括软盘驱动器、硬盘驱动器、紧凑盘驱动器、蓝光盘驱动器、RAID系统和数字多功能盘(DVD)驱动器。

图11-17的被编码的指令1832可以被存储在大容量存储设备1828、易失性存储器1814、非易失性存储器1816和/或诸如CD或DVD的可移除有形计算机可读存储介质内。

示例公开的装置包括安全应用，用于配置安全任务，安全任务用于检测在计算平台上的恶意元素，计算平台包括中央处理单元和图形处理单元；以及卸载器，用于确定是中央处理单元还是图形处理单元将执行安全任务；以及当图形处理单元将执行安全任务时，将安全任务卸载到图形处理单元用于执行。

在一些公开的示例中，当卸载器将安全任务卸载到图形处理单元时，对安全任务的至少一个操作的执行不消耗中央处理单元的循环。

在一些公开的示例中，卸载器用于基于中央处理单元的第一当前工作负荷和中央处理单元的第二当前工作负荷中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，卸载器用于基于安全任务的尺寸或安全任务的类型中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，安全应用用于实现卸载器。

在一些公开的示例中，装置进一步包括用于设定用于在图形处理单元上的安全任务的执行的频率的扫描启动器。

在一些公开的示例中，安全任务包括针对与恶意元素相关联的模式进行的存储器扫描。

示例公开的方法包括将安全任务配置为检测在计算平台上的恶意元素，计算平台包括中央处理单元和图形处理单元；经由中央处理单元确定是中央处理单元还是图形处理单元将执行安全任务；以及当图形处理单元将执行安全任务时，经由处理器将安全任务卸载到图形处理单元用于执行。

在一些公开的示例中，当图形处理单元将执行安全任务时，对安全任务的至少一个操作的执行不消耗中央处理单元的循环。

在一些公开的示例中，基于中央处理单元的第一当前工作负荷和中央处理单元的第二当前工作负荷中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，基于安全任务的尺寸或安全任务的类型中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，方法进一步包括设定用于在图形处理单元上的安全任务的执行的频率。

在一些公开的示例中，安全任务包括用于与恶意元素相关联的模式的存储器扫描。

示例公开的有形机器可读存储介质包括被执行时使机器至少进行以下操作的指令：将安全任务配置为检测在计算平台上的恶意元素，计算平台包括中央处理单元和图形处理单元；确定是中央处理单元还是图形处理单元将执行安全任务；以及当图形处理单元将执行安全任务时，将安全任务卸载到图形处理单元用于执行。

在一些公开的示例中，当图形处理单元将执行安全任务时，对安全任务的至少一个操作的执行不消耗中央处理单元的循环。

在一些公开的示例中，指令被执行时使机器基于中央处理单元的第一当前工作负荷和中央处理单元的第二当前工作负荷中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，指令被执行时使机器基于安全任务的尺寸或安全任务的类型中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，指令被执行时使机器设定用于在图形处理单元上的安全任务的执行的频率。

在一些公开的示例中，安全任务包括针对与恶意元素相关联的模式进行的存储器扫描。

示例公开的安全应用包括用于将安全任务配置为检测在计算平台上的恶意元素的装置，计算平台包括中央处理单元和图形处理单元；以及用于确定是中央处理单元还是图形处理单元将执行安全任务；以及当图形处理单元将执行安全任务时，将安全任务卸载到图形处理单元用于执行的装置。

在一些公开的示例中，当图形处理单元将执行安全任务时，对安全任务的至少一个操作的执行不消耗中央处理单元的循环。

在一些公开的示例中，基于中央处理单元的第一当前工作负荷和中央处理单元的第二当前工作负荷中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，基于安全任务的尺寸或安全任务的类型中的至少一个来确定是中央处理单元还是图形处理单元将执行安全任务。

在一些公开的示例中，安全应用进一步包括用于设定用于在图形处理单元上的安全任务的执行的频率的装置。

在一些公开的示例中，安全任务包括针对与恶意元素相关联的模式进行的存储器扫描。

示例公开的装置包括用于接收来自图形处理单元的消费者的将被在图形处理单元上执行的任务的分派器；以及用于将与任务相关联的状态信息提供给图形处理单元的消费者的通知器，其中状态信息包括对任务是否被先占的指示。

在一些公开的示例中，通知器用于以与受信任组件相关联的特权等级将状态信息提供给图形处理单元的消费者。

在一些公开的示例中，装置进一步包括用于获得状态信息和获得状态信息中的变化的调度器。

在一些公开的示例中，通知器提供的状态信息包括先占了任务的进程的标识符。

在一些公开的示例中，装置进一步包括用于接收状态信息和用于使用状态信息以评估先占了任务的进程的安全应用。

在一些公开的示例中，消费者是安全应用，并且任务是与安全应用相关联的恶意软件检测扫描。

在一些公开的示例中，通知器用于接收来自图形处理单元的消费者的对状态信息的特定方面的通知的请求。

在一些公开的示例中，状态信息的特定方面包括对在图形处理单元上的任务的启动中的至少一个。

示例公开的方法包括经由处理器接收来自图形处理单元的消费者的将被在图形处理单元上执行的任务；以及经由处理器将与任务相关联的状态信息提供给图形处理单元的消费者，其中状态信息包括对任务是否被先占的指示。

在一些公开的示例中，将状态信息传递到图形处理单元的消费者包括以与受信任组件相关联的特权等级传递状态信息。

在一些公开的示例中，方法进一步包括获得状态信息和获得状态信息中的变化。

在一些公开的示例中，状态信息包括先占了任务的进程的标识符。

在一些公开的示例中，方法进一步包括使用状态信息以评估先占了任务的进程。

在一些公开的示例中，消费者是安全应用，并且任务是与安全应用相关联的恶意软件检测扫描。

在一些公开的示例中，方法进一步包括接收来自图形处理单元的消费者的对状态信息的特定方面的通知的请求。

在一些公开的示例中，状态信息的特定方面包括对在图形处理单元上的任务的启动中的至少一个。

示例有形机器可读存储介质包括被执行时使机器至少进行以下操作的指令：获得来自图形处理单元的消费者的将被在图形处理单元上执行的任务；以及将与任务相关联的状态信息传递到图形处理单元的消费者，其中状态信息包括对任务是否被先占的指示。

在一些公开的示例中，指令被执行时使机器通过以与受信任组件相关联的特权等级传递状态信息来将状态信息传递到图形处理单元的消费者。

在一些公开的示例中，指令被执行时使机器获得状态信息和获得状态信息中的变化。

在一些公开的示例中，状态信息包括先占了任务的进程的标识符。

在一些公开的示例中，指令被执行时使机器使用状态信息以评估先占了任务的进程。

在一些公开的示例中，消费者是安全应用，并且任务是与安全应用相关联的恶意软件检测扫描。

在一些公开的示例中，指令被执行时使机器获得来自图形处理单元的消费者的对状态信息的特定方面的通知的请求。

在一些公开的示例中，状态信息的特定方面包括对在图形处理单元上的任务的启动中的至少一个。

示例公开的图形驱动器包括用于接收来自图形处理单元的消费者的将被在图形处理单元上执行的任务的装置；以及用于将与任务相关联的状态信息提供给图形处理单元的消费者的装置，其中状态信息包括对任务是否被先占的指示。

在一些公开的示例中，用于提供状态信息的装置将以与受信任组件相关联的特权等级将状态信息提供给图形处理单元的消费者。

在一些公开的示例中，图形驱动器进一步包括用于获得状态信息和状态信息中的变化的装置。

在一些公开的示例中，提供的状态信息包括先占了任务的进程的标识符。

在一些公开的示例中，图形驱动器进一步包括用于使用状态信息以评估先占了任务的进程的装置。

在一些公开的示例中，消费者是安全应用，并且任务是与安全应用相关联的恶意软件检测扫描。

在一些公开的示例中，用于提供状态信息的装置用于接收来自图形处理单元的消费者的对状态信息的特定方面的通知的请求。

在一些公开的示例中，状态信息的特定方面包括对在图形处理单元上的任务的启动中的至少一个。

示例公开的装置包括与安全应用通信的报告器，安全应用用于为了第一恶意元素而扫描计算平台，报告器用于：当安全应用在计算平台上检测到第一恶意元素时接收来自安全应用的对第一恶意元素的第一指示；以及将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台；以及与安全应用通信的接收器，接收器用于：接收来自外部计算平台的对在外部计算平台上检测到的第二恶意元素的第二指示；以及将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用。

在一些公开的示例中，报告器用于没有延迟地将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台。

在一些公开的示例中，没有延迟地将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台包括在接收来自安全应用的对第一恶意元素的第一指示之后立即传递第一数据。

在一些公开的示例中，接收器用于没有延迟地将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用。

在一些公开的示例中，没有延迟地将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用包括在接收来自外部计算平台的对第二恶意元素的第二指示之后立即传递第二数据。

在一些公开的示例中，报告器用于经由网络将第一数据传递到外部计算平台，以及接收器用于经由网络接收来自外部计算平台的第二指示。

在一些公开的示例中，报告器和接收器由计算平台的网络接口驱动器实现。

示例公开的方法包括当安全应用检测到在计算平台上的第一恶意元素时接收来自在计算平台上实现的安全应用的对第一恶意元素的第一指示；经由处理器将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台；接收来自外部计算平台的对在外部计算平台上检测到的第二恶意元素的第二指示；以及经由处理器将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用。

在一些公开的示例中，将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台包括没有延迟地传递第一数据。

在一些公开的示例中，没有延迟地将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台包括在接收来自安全应用的对第一恶意元素的第一指示之后立即传递第一数据。

在一些公开的示例中，将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用包括没有延迟地传递第二数据。

在一些公开的示例中，没有延迟地将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用包括在接收来自外部计算平台的对第二恶意元素的第二指示之后立即传递第二数据。

在一些公开的示例中，将第一数据传递到外部计算平台包括经由网络传递第一数据，以及接收来自外部计算平台的第二指示包括经由网络接收第二指示。

示例公开的有形机器可读存储介质包括被执行时使机器进行至少以下操作的指令：当安全应用检测到在计算平台上的第一恶意元素时接收来自在计算平台上实现的安全应用的对第一恶意元素的第一指示；将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台；接收来自外部计算平台的对在外部计算平台上检测到的第二恶意元素的第二指示；以及将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用。

在一些公开的示例中，指令被执行时使机器没有延迟地将第一数据传递到外部计算平台。

在一些公开的示例中，指令被执行时使机器通过在接收来自安全应用的对第一恶意元素的第一指示之后立即传递第一数据来没有延迟地将第一数据传递到外部计算平台。

在一些公开的示例中，指令被执行时使机器没有延迟地将第二数据传递到安全应用。

在一些公开的示例中，指令被执行时使机器通过在接收来自外部计算平台的对第二恶意元素的第二指示之后立即传递第二数据来没有延迟地将第二数据传递到安全应用。

在一些公开的示例中，指令被执行时使机器经由网络将第一数据传递到外部计算平台，以及经由网络接收来自外部计算平台的第二指示。

示例公开的网络接口驱动器包括用于当安全应用检测到在计算平台上的第一恶意元素时接收来自在计算平台上实现的安全应用的对第一恶意元素的第一指示的装置；用于将与对第一恶意元素的第一指示相关联的第一数据传递到外部计算平台的装置；用于接收来自外部计算平台的对在外部计算平台上检测到的第二恶意元素的第二指示的装置；以及用于将与对第二恶意元素的第二指示相关联的第二数据传递到安全应用的装置。

在一些公开的示例中，用于将第一数据传递到外部计算平台的装置将没有延迟地传递第一数据。

在一些公开的示例中，用于将第一数据传递到外部计算平台的装置通过在接收来自安全应用的对第一恶意元素的第一指示之后立即传递第一数据来没有延迟地传递第一数据。

在一些公开的示例中，用于将第二数据传递到安全应用的装置将没有延迟地传递第二数据。

在一些公开的示例中，用于将第二数据传递到安全应用的装置通过在接收来自外部计算平台的对第二恶意元素的第二指示之后立即传递第二数据来没有延迟地传递第二数据。

在一些公开的示例中，用于将第一数据传递到外部计算平台的装置用于经由网络传递第一数据，以及用于接收来自外部计算平台的第二指示的装置用于经由网络接收第二指示。

示例公开的方法包括经由图形驱动器和应用之间的相互认证来建立图形驱动器和应用驱动器之间的受信任通道；经由受信任通道将与应用驱动器相关联的计算任务卸载到图形处理单元；以及将监视器配置为针对未经授权的访问尝试而监视与被卸载的计算任务相关联的存储器。

在一些公开的示例中，配置监视器包括定义用于具有计算平台的最高特权等级的管理程序的策略以监视存储器。

在一些公开的示例中，方法进一步包括将监视器配置为在操作系统外部操作。

在一些公开的示例中，监视器经由受信任存储器服务层实现。

在一些公开的示例中，方法进一步包括将与被卸载的计算任务相关联的存储器和与图形处理单元执行的图像渲染任务相关联的第二存储器隔离。

在一些公开的示例中，应用驱动器对应于安全应用，并且计算任务包括存储器扫描操作以检测与恶意软件相关联的模式。

在一些公开的示例中，响应于来自应用驱动器的指示计算任务将被卸载到图形处理单元，执行建立受信任通道。

在一些公开的示例中，方法进一步包括当相互认证失败时拒绝卸载计算任务。

示例公开的装置包括图形处理单元；以及图形驱动器，用于促进对图形处理单元的访问，图形驱动器包括：认证器，用于经由图形驱动器和应用之间的相互认证来建立图形驱动器和应用驱动器之间的受信任通道；第一接口，通过第一接口经由受信任通道将与应用驱动器相关联的计算任务卸载到图形处理单元；以及定义器，用于将监视器配置为针对未经授权的访问尝试而监视与被卸载的计算任务相关联的存储器。

在一些公开的示例中，定义器用于通过定义用于具有计算平台的最高特权等级的管理程序的策略以监视存储器来配置监视器。

在一些公开的示例中，定义器用于将监视器配置为在操作系统外部操作。

在一些公开的示例中，监视器经由受信任存储器服务层实现。

在一些公开的示例中，存储器和与图形处理单元执行的图像渲染任务相关联的第二存储器隔离。

在一些公开的示例中，应用驱动器对应于安全应用，并且计算任务包括存储器扫描操作以检测与恶意软件相关联的模式。

在一些公开的示例中，认证器用于响应于来自应用驱动器的指示计算任务将被卸载到图形处理单元，建立受信任通道。

在一些公开的示例中，认证器用于当相互认证失败时拒绝卸载计算任务。

示例有形计算机可读存储介质包括被执行时使机器至少进行以下操作的指令：经由图形驱动器和应用之间的相互认证来建立图形驱动器和应用驱动器之间的受信任通道；经由受信任通道将与应用驱动器相关联的计算任务卸载到图形处理单元；以及将监视器配置为针对未经授权的访问尝试而监视与被卸载的计算任务相关联的存储器。

在一些公开的示例中，配置监视器包括定义用于具有计算平台的最高特权等级的管理程序的策略以监视存储器。

在一些公开的示例中，指令被执行时使机器将监视器配置为在操作系统外部操作。

在一些公开的示例中，监视器经由受信任存储器服务层实现。

在一些公开的示例中，指令被执行时使机器将与被卸载的计算任务相关联的存储器和与图形处理单元执行的图像渲染任务相关联的第二存储器隔离。

在一些公开的示例中，应用驱动器对应于安全应用，并且计算任务包括存储器扫描操作以检测与恶意软件相关联的模式。

在一些公开的示例中，响应于来自应用驱动器的指示计算任务将被卸载到图形处理单元，执行建立受信任通道。

在一些公开的示例中，指令被执行时使机器当相互认证失败时拒绝卸载计算任务。

示例公开的设备包括用于经由图形驱动器和应用之间的相互认证来建立图形驱动器和应用驱动器之间的受信任通道的装置；用于经由受信任通道将与应用驱动器相关联的计算任务卸载到图形处理单元的装置；以及用于将监视器配置为针对未经授权的访问尝试而监视与被卸载的计算任务相关联的存储器的装置。

在一些公开的示例中，配置监视器包括定义用于具有计算平台的最高特权等级的管理程序的策略以监视存储器。

在一些公开的示例中，用于配置监视器的装置用于将监视器配置为在操作系统外部操作。

在一些公开的示例中，监视器经由受信任存储器服务层实现。

在一些公开的示例中，设备进一步包括用于将与被卸载的计算任务相关联的存储器和与图形处理单元执行的图像渲染任务相关联的第二存储器隔离的装置。

在一些公开的示例中，应用驱动器对应于安全应用，并且计算任务包括存储器扫描操作以检测与恶意软件相关联的模式。

在一些公开的示例中，响应于来自应用驱动器的指示计算任务将被卸载到图形处理单元，执行建立受信任通道。

在一些公开的示例中，用于建立受信任通道的装置用于当相互认证失败时拒绝卸载计算任务。

示例方法包括定义滑动窗口；经由滑动窗口选择将被监视的多个进程；移动滑动窗口穿过多个进程的前进；以及将滑动窗口内的存储器映射到虚拟地址空间。

在一些公开的示例中，方法进一步包括定义状态以确定将被映射到虚拟地址空间的多个进程中的第一进程的方面。

在一些公开的示例中，定义滑动窗口包括选择窗口尺寸。

在一些公开的示例中，方法进一步包括执行对被映射的存储器的扫描。

在一些公开的示例中，方法进一步包括验证对被映射的存储器的扫描发现的匹配。

在一些公开的示例中，移动滑动窗口穿过多个进程的前进包括在将当前迭代的存储器映射到虚拟地址空间之后移动滑动窗口。

在一些公开的示例中，虚拟地址空间对应于计算平台的用户模式客户机。

公开的示例装置包括用于定义滑动窗口的窗口尺寸定义器；用于经由滑动窗口选择将被监视的多个进程的进程选择器；用于移动滑动窗口穿过多个进程的前进的驱动器；以及用于将滑动窗口内的存储器映射到虚拟地址空间的映射器。

在一些公开的示例中，装置进一步包括用于定义状态的状态选择器以确定将被映射到虚拟地址空间的多个进程中的第一进程的方面。

在一些公开的示例中，窗口尺寸定义器用于通过选择窗口尺寸来定义滑动窗口。

在一些公开的示例中，装置进一步包括用于执行对被映射的存储器的扫描的工作负荷执行器。

在一些公开的示例中，装置进一步包括用于验证对被映射的存储器的扫描发现的匹配的验证器。

在一些公开的示例中，驱动器用于通过在将当前迭代的存储器映射到虚拟地址空间之后移动滑动窗口来移动滑动窗口穿过多个进程的前进。

在一些公开的示例中，装置进一步包括用户模式客户机，并且虚拟地址空间对应于用户模式客户机。

公开的示例有形计算机可读存储介质包括被执行时使机器进行至少以下操作的指令：定义滑动窗口；经由滑动窗口选择将被监视的多个进程；移动滑动窗口穿过多个进程的前进；以及将滑动窗口内的存储器映射到虚拟地址空间。

在一些公开的示例中，指令被执行时使机器定义状态以确定将被映射到虚拟地址空间的多个进程中的第一进程的方面。

在一些公开的示例中，指令被执行时使机器通过选择窗口尺寸来定义滑动窗口。

在一些公开的示例中，指令被执行时使机器执行对被映射的存储器的扫描。

在一些公开的示例中，指令被执行时使机器验证对被映射的存储器的扫描发现的匹配。

在一些公开的示例中，指令被执行时使机器通过在将当前迭代的存储器映射到虚拟地址空间之后移动滑动窗口来移动滑动窗口穿过多个进程的前进。

在一些公开的示例中，虚拟地址空间对应于机器的用户模式客户机。

公开的示例扫描器包括用于定义滑动窗口的装置；用于经由滑动窗口选择将被监视的多个进程的装置；用于移动滑动窗口穿过多个进程的前进的装置；以及用于将滑动窗口内的存储器映射到虚拟地址空间的装置。

在一些公开的示例中，扫描器进一步包括用于定义状态以确定将被映射到虚拟地址空间的多个进程中的第一进程的方面的装置。

在一些公开的示例中，用于定义滑动窗口的装置包括用于选择窗口尺寸的装置。

在一些公开的示例中，扫描器进一步包括用于执行对被映射的存储器的扫描的装置。

在一些公开的示例中，扫描器进一步包括用于验证对被映射的存储器的扫描发现的匹配的装置。

在一些公开的示例中，移动滑动窗口穿过多个进程的前进包括在将当前迭代的存储器映射到虚拟地址空间之后移动滑动窗口。

在一些公开的示例中，虚拟地址空间对应于计算平台的用户模式客户机。

尽管本文已公开了某些示例方法、装置和制品，但本专利覆盖的范围并不限于此。相反，本专利覆盖落入本专利权利要求范围内的全部方法、装置和制品。