安全检查的制作方法

安全检查


背景技术：

1.用户设备可能由于多种原因而变得不能工作或受到损害。例如，在设备的本地存储上提供的设备操作系统可能会由于一般文件系统或升级问题而被破坏，或者可能被恶意软件感染。
附图说明
2.从以下结合附图的详细描述中，某些示例的各种特征和优点将是显而易见的，附图仅以示例的方式一起示出了多个特征，并且其中：图1是根据一个示例的用于数据管理的方法的示意性表示；以及图2是根据一个示例的设备的示意性表示。
具体实施方式
3.在以下描述中，出于解释的目的，阐述了某些示例的许多具体细节。说明书中对“一个示例”或类似语言的引用意味着结合该示例描述的特定特征、结构或特性被包括在至少该一个示例中，但不一定在其他示例中。
4.端点设备，诸如计算机、膝上型计算机或其他计算或智能装置形式的用户设备，例如可以能够使用各种不同的操作系统。通常，在所讨论的设备的本地存储位置上提供这种操作系统。
5.操作系统不断受到来自各种参与者的攻击，所述参与者希望找到能使其运行其自己的软件或恶意软件的漏洞（exploit），诸如但不限于远程访问特洛伊木马、勒索软件或加密货币挖掘器。还可能存在其他软件或硬件的问题，其使得端点设备被损坏、不可引导或不可使用。
6.一旦os(操作系统)被损坏，攻击者可以获得完全的管理员或内核级访问，从而使他们能够控制平台上的系统，使得反病毒系统(其否则可以报告一切正常)和其他检查和控制可以被攻击者破坏以隐藏它们而不被检测到。例如，恶意软件可以挂钩到各种操作系统api中以尝试并隐藏从os内运行的进程，或者操纵os结构，使得恶意软件的证据不被报告。
7.根据一个示例，用户、it或安全工作人员、或者系统或设备本身可以休眠(或重新引导)其主os，并经由设备的设备硬件组件(例如，固件)启动安全的增强的可信无盘操作系统镜像（image）。在一个示例中，设备硬件组件可用于在引导过程期间执行设备硬件初始化。设备硬件组件还可以提供用于操作系统和程序的运行时服务，并且通常将是设备上的预安装组件。这种设备硬件组件可以被称为bios(基本输入/输出系统)，并且可以以诸如集成电路之类的一个或多个组件的形式来提供。这里对bios的引用表示可以用于在设备引导过程期间执行设备硬件初始化的任何合适的设备硬件组件。
8.在一个示例中，可向安全增强的可信无盘操作系统镜像提供来自主os的信息，使得其能够检查设备的主os存储位置和正常引导操作系统的问题，并根据需要修复这些问题，而不执行受损的操作系统和/或存储装置上包含的可能恶意软件。
9.在一个示例中，自动或强制引导到可信无盘镜像中以进行安全扫描可能是由于例如操作系统上的代理检测到潜在的损害(或重复的可疑行为)，和/或it(信息技术)管理员或it安全人员从设备监视(诸如使用端点检测和响应/反病毒edr/av工具)或从网络业务或甚至由于某人已经访问的位置检测到可疑行为，和/或由于设备运行(或不运行)的方式而可疑的用户，和/或安装的操作系统在启动时不再引导或崩溃，并且用户因此想要运行检查(如上)。这可以包括例如mbr(主引导记录)被破坏的情况，和/或出现bios级攻击的事实，导致代理恢复bios。
10.图1是根据一个示例的用于执行设备的带外安全检查的方法的示意性表示。设备100包括bios 103和存储位置105(其可以包括例如基于盘或闪存的存储装置、cd-rom、光存储装置等)。存储位置105存储设备os 107，其可以包括安全代理109。远程(远离设备100)位置113包括可信无盘引导镜像115。在一个示例中，可信无盘引导镜像115包括可信增强操作系统117。
11.代理109可以监视121 os 107内的某些活动。在图1的示例中，代理可以作为存储在设备100的存储位置105中的os 107的一部分来提供。设备的存储位置可以包括硬盘驱动器、磁带驱动器、软盘、光盘或usb闪存驱动器等。代理109可以检测问题、摄取检测事件以及接收命令，诸如从作为企业135的一部分的管理员接收命令。在一个示例中，在平台(bios 103或ec 102)和代理109之间存在可信关系。
12.在一个示例中，代理109的安全检测或代理109从管理员接收的通知可以触发123代理执行124 os 107内的一个或多个脚本，并且将由一个或多个脚本的执行产生的数据保存到盘105。这使得代理109能够获得潜在被破坏os 107如何看到设备100的状态的快照。当数据被写入盘105时，代理109可以保持所写入的内容的散列（hash）和/或将散列写入bios 103。这可以是文件的运行散列，但是它可以根据数据的容量和复杂度而被组织为散列树。
13.在一个示例中，代理109然后可以例如经由windows管理工具wmi调用向bios 103发送127安全事件。bios 103然后可以强制129 os 107休眠或强制重新引导(通过acpi(高级配置和功率接口)功率管理接口)。bios 103可触发已被定制为以有限的用户交互来运行安全脚本119的替代的可信无盘os镜像115的引导。例如，bios 103可指示131代理109从本地位置106引导预安装的可信os无盘引导镜像。可信os无盘引导镜像115可存储在本地但非os存储位置106中，或可根据需要(从远程位置113)下载133。
14.在一个替选示例中，设备100的用户可以重新引导或休眠设备100。在设备重启时，可以(例如，通过bios 103菜单)向他们提供运行安全代理109的能力。在这种情况下，将不存在来自基于os的代理的支持信息(或者基于os的代理可以定期维护一组新的支持数据)。在这种情况下，代理109可以不是设备100的一个组件。
15.在一个示例中，bios 103可以被配置成具有位置113以获得镜像115或任何本地镜像存储106的位置，以及包括用于签署镜像115的公共密钥的安全信息，以及当前镜像的镜像版本信息或散列。这些值可以被安全地管理并存储在bios 103中。在一个示例中，bios 103可以使用该安全信息检查该镜像是批准的镜像。
16.bios 103可以使由代理109(或例如经由代理109的it管理员)提供的任何安全事件信息连同写入到盘105的任何数据的散列可用。如果通过代理109(和相应的bios配置)检测到的事件触发了到镜像115的引导，则可以使如上所述的由代理记录的事件信息可用。例
如，这可经由wmi或通过uefi变量来传送。
17.根据一个示例，可信无盘os镜像115被配置成执行脚本119。脚本119可以使用事件信息来确定要执行的安全检查的级别。在这样做时，可以提示用户提供对附加问题的回答，下载附加脚本(在os镜像内定义的或者经由bios配置内指定的位置并且利用证书认证的)并且提供给安全扫描os。
18.作为脚本119的操作的一部分，主os盘105可以被安装137 (使用任何必要的例如位锁定器恢复密钥)。安全扫描os 117然后可以运行多个操作。例如，脚本119可以触发：对盘105上的所有文件(或仅盘的某些区域)执行av扫描；分析设备注册表，寻找“启动”(即，当os启动时启动的事情)并移除未批准列表中的任何一个(如果需要，创建要反转的脚本)；使用os代理109所写入的信息来执行“内部/外部”检查。
19.例如，脚本可以检查盘105上的数据是否与bios提供的散列匹配。这然后可以允许检查到例如：确定在os中报告的注册表条目是否与注册表单元文件中的那些匹配(由于引导到替代os中而仅可访问)；检查文件系统条目对应于通过例如windows api报告的那些文件系统条目；如果系统已经休眠，则可以在包含存储器转储（dump）的休眠文件上运行检查。这里，内核结构可以与os代理所报告的那些进行比较。可以运行寻找已知恶意软件的其他脚本。
20.在一个示例中，可以检查和修复os配置(包括用于av系统的那些配置)。可以对照好的文件散列列表来检查操作系统文件的完整性。可执行查看已安装应用的其它脚本以查找不需要的程序。
21.可以记录在安全扫描内检测到的任何安全问题。此外，在一个示例中，可以运行清理脚本，以例如删除文件(甚至难以访问系统文件夹中的那些文件)或经由编辑注册表单元文件来校正注册表条目。还可以运行特定的清理脚本或者修复潜在可疑的文件或配置。
22.在一个示例中，该安全扫描和修理的结果可以被记录在盘105上并且创建散列(或者它们可以被传送回到例如远程位置113或企业135的中央服务器)。假设记录被写入盘(即主os盘105)，则该记录的散列可以被发送回139到bios 103。在重新引导到主os 107(现在已修复)时，代理109可被给予日志文件的散列(例如，通过心跳机制)，并且可检查所执行的动作，并通知用户和it管理员/服务等。
23.在如步骤127代理109将数据的散列传送到bios或者在步骤139上取回任何扫描结果的散列的示例中，这可以利用基于os的代理与bios 103或ec 102之间的任何安全通信或安全心跳。这提供了关于数据(或数据散列)的源的附加保证。
24.因此，根据一个示例，如果本地盘105上的os 107被怀疑被感染恶意软件，或者以其他方式被损害了，则可信外部镜像可以用来执行脚本，该脚本可以执行扫描、补丁和修复等而不使用受损的os 107。
25.根据一个示例，可以在设备bios内指定用于重新镜像或存储管理的可信无盘引导镜像。例如，可以在bios中指定这种镜像的位置。替代地，bios可提供执行安全代理的能力，所述安全代理被配置成从可远离所述设备的指定位置下载或安装可信无盘引导镜像。在一个示例中，bios、安全代理或设备的安全区域(诸如例如可信平台模块)可存储表示可信无盘引导镜像的位置、用于签署镜像的公共密钥和可信无盘引导镜像的散列中的一个或多个
的数据。例如，bios可以将可信无盘引导镜像的散列与从远程位置提取的可信无盘引导镜像的散列进行比较，以验证任何下载/安装的镜像。
26.在一个示例中，设备用户或企业可触发可信无盘引导镜像的os的引导或安装。例如，在接收到windows管理工具(wmi)调用或类似用于其它系统时，设备bios可配置成迫使设备改变操作或功率状态，例如通过acpi功率管理接口休眠或重新引导。bios可配置成然后触发可信无盘引导镜像的引导，所述可信无盘引导镜像可使用例如上文所述的机制中的一个在远离设备的位置处来提供。
27.根据一个示例，当引导时，可信无盘引导镜像可以执行连接到设备的主os驱动器的脚本，以便使得能够执行例如企业指定(或用户选择)的数据分析、修复或备份脚本。在一个示例中，这样的脚本可以被集成到作为os或bios的一部分而提供的恢复代理中。
28.在一个示例中，当使用提供可信增强操作系统117的可信无盘引导镜像115安全地引导端点设备100时，可以使用用于从存储位置读取数据的加密密钥将数据写入设备的存储位置105，由此维护用户和企业数据的安全性。在一个示例中，可以从远程位置接收加密密钥。
29.在一个示例中，触发事件123可以由代理109自动生成，或者通过用户输入的方式(例如，设备用户，或者诸如企业安全控制器的第三方)生成，或者直接由用户经由os 107(例如，设备用户，或者诸如企业安全控制器的第三方)来生成。
30.本公开中的示例可以提供为方法、系统或机器可读指令，诸如软件、硬件、固件等的任何组合。这样的机器可读指令可以被包括在其中或其上具有计算机可读程序代码的计算机可读存储介质(包括但不限于盘存储装置、cd-rom、光存储装置等)上。
31.参考根据本公开的示例的方法、设备和系统的流程图和/或框图来描述本公开。尽管上述流程图示出了特定的执行顺序，但是执行顺序也可以与所描述的不同。针对一个流程图描述的框可以与另一个流程图的框组合。在一些示例中，流程图的一些框可能不是必需的和/或可以添加附加的框。应当理解，流程图和/或框图中的每个流程和/或框以及流程图和/或框图中的流程和/或图的组合可以通过机器可读指令来实现。
32.机器可读指令例如可以由通用计算机、专用计算机、嵌入式处理器或其他可编程数据处理设备的处理器来执行，以实现说明书和附图中描述的功能。特别地，处理器或处理装置可以执行机器可读指令。因此，装置的模块(例如，代理109)可以由执行存储在存储器中的机器可读指令的处理器或根据嵌入在逻辑电路中的指令操作的处理器来实现。术语“处理器”应被广义地解释为包括cpu、处理单元、asic、逻辑单元或可编程门组等。这些方法和模块都可以由单个处理器执行，或者可以被分在若干处理器之间。
33.这样的机器可读指令还可以存储在计算机可读存储装置中，其可以引导计算机或其他可编程数据处理设备以特定模式来工作。
34.例如，指令可以被提供在编码有可由处理器执行的指令的非瞬态计算机可读存储介质上。
35.图2是根据一个示例的设备的示意性表示。设备100包括与存储器301相关联的处理器300。存储器301包括可由处理器300执行的计算机可读指令303。指令303可以包括用于通过以下来执行设备100的带外安全检查的指令：生成所述设备的状态的快照；将表示快照的数据存储到设备的非易失性存储装置105，并且将快照的散列存储在设备bios 103中；转
换设备的功率状态(例如，重新引导或使设备休眠)；触发可信无盘操作系统镜像115的引导；将表示所述快照的数据和所述快照的散列提供到可信无盘操作系统镜像；以及，执行基于触发事件和快照的散列选择的脚本119。
36.这样的机器可读指令303也可以加载到计算机或其他可编程数据处理设备上，使得计算机或其他可编程数据处理设备执行一系列操作以产生计算机实现的处理，因此在计算机或其他可编程设备上执行的指令提供用于实现由图1中的流程图中的（一个或多个）流程和/或（一个或多个）框指定的功能的操作。
37.此外，本文的教导可以以计算机软件产品的形式实现，该计算机软件产品存储在存储介质中并且包括用于使计算机设备实现本公开的示例中所记载的方法的多个指令。
38.虽然已经参考某些示例描述了方法、装置和相关方面，但是可以在不脱离本公开的范围的情况下进行各种修改、改变、省略和替换。特别地，来自一个示例的特征或块可以与另一示例的特征/块组合或由另一示例的特征/块替换。
39.词语“包括”不排除存在除了权利要求中列出的那些要素之外的要素，“一”或“一个”不排除多个，并且单个处理器或其他单元可以实现权利要求中记载的若干单元的功能。
40.任何从属权利要求的特征可以与独立权利要求或其它从属权利要求中的任何一个的特征组合。