背景技術：

諸如個人計算機、服務器計算機、智能電話和平板計算機的計算設備通常遭受可能來自錯誤硬件和/或軟件的問題。計算設備的問題可能難以檢測和診斷。例如，惡意軟件(malware)可設計為將自身隱藏在被感染系統(tǒng)中，使其難以由傳統(tǒng)手段檢測。

附圖說明

如下詳細描述參考附圖，其中：

圖1是用于有助于對被保護資源的掃描的示例計算設備的框圖。

圖2是內(nèi)部代理有助于對被保護資源的掃描的示例虛擬機環(huán)境的框圖。

圖3是用于有助于對被保護資源的掃描的示例數(shù)據(jù)流的框圖。

圖4是用于有助于對被保護資源的掃描的示例方法的流程圖。

具體實施方式

包括在計算設備中的內(nèi)部代理被設計為有助于由外部代理對被保護資源的掃描，使其能夠發(fā)現(xiàn)計算設備的潛在問題。某些計算設備問題如惡意軟件可能難以從內(nèi)部檢測。例如，惡意軟件可被設計為隱藏自身，以不被多種防毒軟件掃描，例如被安裝和/或運行惡意軟件的計算設備檢查。在某些情況下，外部代理，例如在分離計算設備上運行的外部代理可檢測內(nèi)部代理無法檢測的問題。然而，惡意軟件可被設計為隱藏自身以防止被外部代理掃描，例如通過隱藏在非傳統(tǒng)可訪問的外部代理的區(qū)域中，或通過嘗試改變計算設備的狀態(tài)因而混淆或隱藏自身以防止被外部代理掃描。如下所述，內(nèi)部代理采取某些動作實現(xiàn)被保護資源的掃描，使某些被保護資源可用于掃描和/或將計算設備置于特定狀態(tài)，僅舉幾例。

如本文所使用的“被保護資源”一般指一種計算設備資源，其一般并不保證其安全性和/或穩(wěn)定性被計算設備外部的實體掃描和/或操作，和/或一種計算設備資源，其在內(nèi)部被隱藏和/或通?？捎捎嬎阍O備外部的實體存取。此外，被保護資源當被檢查時可能沒有最新的數(shù)值/數(shù)據(jù)，例如永久存儲器磁盤上的文件的外部掃描可能不反映最近寫入的文件，除非磁盤緩存被刷新；并且對應于域名的ip地址的內(nèi)部值可能并非最新，除非dns緩存近期被刷新，當設備下次嘗試解析域名時，強制新的dns對網(wǎng)絡進行請求。

掃描被保護資源的能力可幫助識別系統(tǒng)受多種軟件和/或硬件問題的威脅。計算設備例如可能受惡意軟件感染，以看似惡意軟件不存在的方式操作計算設備注冊的內(nèi)部掃描，例如通過使惡意軟件與用于檢查注冊數(shù)據(jù)的計算設備的api進行掛鉤。在某些情況下，由外部代理執(zhí)行的注冊掃描也無法發(fā)現(xiàn)注冊數(shù)據(jù)，例如如果由惡意軟件插入的注冊數(shù)據(jù)當前未加載到計算設備的隨機存取存儲器(ram)中。然而，當使用內(nèi)部代理實現(xiàn)掃描注冊數(shù)據(jù)時，在外部掃描之前，內(nèi)部代理可將一個或多個注冊表項(registryhive)加載到計算設備的ram中，使外部代理能夠掃描注冊的部分，其可能在其他情況下不可訪問以及不允許發(fā)現(xiàn)掃描的計算設備注冊中的潛在問題。

現(xiàn)參考附圖，圖1是用于有助于對被保護資源的掃描的示例計算設備100的框圖。計算設備100例如可以是服務器計算機、筆記型計算機、桌面計算機、一體化系統(tǒng)、工作站、平板計算設備或適用于執(zhí)行下文描述的功能的任何其它計算設備，包括外設，外設諸如包括數(shù)據(jù)處理器的打印機或網(wǎng)絡交換機。在圖1的示例中，計算設備100包括數(shù)據(jù)處理器110與機器可讀存儲介質(zhì)120。

數(shù)據(jù)處理器110可以是一個或多個中央處理單元(cpu)、微處理器和/或適用于取得與執(zhí)行存儲于機器可讀存儲介質(zhì)120的指令的其它硬件設備。處理器110可提取、解碼和執(zhí)行指令122、124、126、128，以執(zhí)行實現(xiàn)被保護資源掃描的程序，如下所述。作為取得與執(zhí)行指令的可替代項或除此之外，數(shù)據(jù)處理器110可包括一個或多個電子電路，電子電路包括多個電子組件，以執(zhí)行指令122、124、126、128中的一個或多個的功能。

機器可讀存儲介質(zhì)120可以是包含或存儲可執(zhí)行指令的任何電子、磁性、光學或其它實體存儲設備。因此，機器可讀存儲介質(zhì)120例如可以是隨機存取存儲器(ram)、電可擦除可編程只讀存儲器(eeprom)、存儲驅動器、光盤等。如下所述，機器可讀存儲介質(zhì)120可使用可執(zhí)行指令編碼，以實現(xiàn)被保護資源的掃描。

如圖1所示，計算設備100接收掃描指示符132，其指示外部代理130準備掃描計算設備100的被保護資源(122)。外部代理130可以是硬件、軟件或其組合，其在與示例計算設備100分離的計算設備中實現(xiàn)。如圖1中的示例，掃描指示符132可由外部代理130提供，或可由第三方提供，或在內(nèi)部預先配置，例如在進行計算設備的常規(guī)調(diào)度掃描的情況下，外部代理130無需對計算設備提供掃描指示符130。

在某些實現(xiàn)方式中，要由外部代理130掃描的被保護資源例如在掃描指示符132中由外部代理130指定。例如，外部代理130可為計算設備100提供數(shù)據(jù)，指示外部代理準備掃描注冊數(shù)據(jù)、ram數(shù)據(jù)、進程數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)和/或永久存儲器數(shù)據(jù)。在某些實現(xiàn)方式中，掃描指示符132并不指示外部代理130準備掃描哪個被保護資源。在這種情況下，計算設備100可確定哪個被保護資源在存在時可用于由外部代理130檢查/掃描。

計算設備100識別被保護動作，被保護動作可由數(shù)據(jù)處理器110執(zhí)行，被保護動作實現(xiàn)由外部代理130對計算設備100的被保護資源(124)的掃描?？捎蓴?shù)據(jù)處理器110執(zhí)行的被保護動作可進行變化，并可取決于可用于掃描的被保護資源?？膳c多種被保護資源對應的被保護動作的某些示例在下文提供。

在被保護資源為注冊數(shù)據(jù)的情況下，被保護動作可包括將注冊數(shù)據(jù)加載到ram中。在被保護資源為ram數(shù)據(jù)的情況下，被保護動作可包括將換出的(swappedout)存儲器頁面加載到ram中。在被保護資源為進程數(shù)據(jù)的情況下，被保護動作可包括將一個或多個換出的進程加載到ram中。在被保護資源為諸如地址解析協(xié)議(arp)和/或域名服務(dns)緩存的網(wǎng)絡數(shù)據(jù)的情況下，被保護動作可包括清理計算設備的諸如arp和/或dns緩存的網(wǎng)絡緩存。在被保護資源為諸如硬盤驅動器數(shù)據(jù)的永久存儲器數(shù)據(jù)的情況下，被保護動作可包括刷新永久存儲器數(shù)據(jù)的緩存。

計算設備100執(zhí)行被保護動作(126)。例如，外部代理130準備掃描計算設備100的例如硬盤驅動器的本地永久存儲器設備，計算設備100可刷新永久存儲器緩存。在該示例中，刷新永久存儲器緩存被設計為推送未執(zhí)行的任何改變，例如寫入操作。通過保證永久存儲器緩存被刷新，外部代理130可具有合理擔保，其檢查永久存儲器設備的最新狀態(tài)，例如要寫入的緩存中沒有任何操作等候的情況下。其它被保護動作和/或與被保護資源無關的動作也可由計算設備100執(zhí)行。

計算設備100可對外部代理130提供數(shù)據(jù)134，指示被保護資源(128)的當前狀態(tài)。在永久存儲器緩存刷新示例中，計算設備100可通知外部代理130永久存儲器緩存已被刷新，例如指示硬盤驅動器緩存為空，以及緩存中先前的全部改變被寫入硬盤驅動器。在某些實現(xiàn)方式中，計算設備100可執(zhí)行例如硬盤驅動器自身的內(nèi)部掃描，并提供內(nèi)部掃描結果以指示被保護資源的狀態(tài)。

當接收指示被保護資源的狀態(tài)的數(shù)據(jù)時，外部代理130可繼續(xù)掃描被保護資源和/或計算設備100的任何其它資源。如上文所討論的，被保護資源的掃描可使外部代理130確定計算設備是否可能例如受惡意軟件、破壞數(shù)據(jù)和/或軟件漏洞的損害。

雖然在圖1中描述為在兩個物理分離并獨立的計算設備中實現(xiàn)，但在某些實現(xiàn)方式中，外部代理130與計算設備100的分離可為邏輯分離。例如，在某些情況下，計算設備可以是虛擬機，外部代理130可以是在主控虛擬機的主機上運行的軟件。在虛擬機環(huán)境中實現(xiàn)被保護資源的掃描在下文參考圖2和圖3詳細描述。

圖2是示例虛擬機環(huán)境200的框圖，其中內(nèi)部代理，例如222和/或232實現(xiàn)被保護資源的掃描。主機210包括計算設備，如上文參考圖1描述的計算設備。如圖1的計算設備的示例，示例主機210包括數(shù)據(jù)處理器212和機器可讀存儲介質(zhì)214。盡管在示例環(huán)境200中未描述，但諸如ram、可移除存儲設備、通信端口等的其它組件也可包括在主機中。

管理程序216，又稱虛擬機監(jiān)視器，在主機上運行，并提供允許一個或多個來賓操作系統(tǒng)(os)在主機210上執(zhí)行的環(huán)境。例如，管理程序可提供操作平臺，允許每個來賓os請求由管理程序虛擬化的虛擬硬件資源。然后，管理程序可將主機的硬件資源分配到每個請求來賓os。每個來賓os在其本身的虛擬機執(zhí)行，其本身的虛擬硬件與主機的其它虛擬機的虛擬硬件在邏輯上分離。

因此，每個虛擬機仿真配置可變的獨立計算設備，包括處理器體系結構的變型、處理器數(shù)量、存儲空間量、內(nèi)存量、啟動屬性等。在某些實現(xiàn)方式中，附加屬性可在一個或多個配置文件的集合中指定，例如存儲于主機210的存儲介質(zhì)214中。包括在虛擬機中的來賓os可以是任何操作系統(tǒng)，其可安裝于虛擬機并由計算設備執(zhí)行。例如，在某些實現(xiàn)方式中，來賓os可包括預先配置的操作系統(tǒng)，具有可在os內(nèi)部執(zhí)行的多個應用程序。

如在示例環(huán)境200中所描述的，示例主機210主控兩個虛擬機vm1220和vm2230，虛擬機vm1220和vm2230分別具有自己的來賓os224和來賓os234以及虛擬資源226及236。每個虛擬機還可運行一個或多個應用程序，如內(nèi)部代理222和232。示例環(huán)境200還描述示例虛擬硬件236，其包括虛擬數(shù)據(jù)處理器240、存儲介質(zhì)242、存儲介質(zhì)緩存244和ram246。虛擬硬件236由來賓os234處理，如同作為傳統(tǒng)計算設備的傳統(tǒng)硬件，但其使用由管理程序216為其分配的主機硬件資源的一部分。

在該環(huán)境200中，內(nèi)部代理222和232實現(xiàn)各個虛擬機的被保護資源的掃描。例如，內(nèi)部代理222實現(xiàn)vm1220的來賓os224與虛擬硬件226的被保護資源的掃描，同時內(nèi)部代理232實現(xiàn)vm2230的來賓os234與虛擬硬件236的被保護資源的掃描。在該環(huán)境中，外部代理例如可以是運行于主機210、第三方機器或由主機210主控的獨立虛擬機的應用程序。

示例虛擬機環(huán)境200是虛擬機的一個示例，其可受益于使用內(nèi)部代理以實現(xiàn)被保護資源的掃描。其它類型的環(huán)境，包括虛擬機與傳統(tǒng)環(huán)境，都可利用內(nèi)部代理以實現(xiàn)被保護資源的掃描。

圖3是用于有助于對被保護資源的掃描的示例數(shù)據(jù)流300。示例數(shù)據(jù)流300描述了一種示例過程，用于有助于虛擬機環(huán)境中被保護資源的掃描。主機310，如參考上文圖2討論的主機210，包括外部代理320，其發(fā)送掃描請求322至運行于虛擬機330中的內(nèi)部代理332，虛擬機330例如由主機310主控的虛擬機。如上文所討論的虛擬機，虛擬機330包括來賓os334和虛擬硬件336，來賓os334和虛擬硬件336中的每一個可包括被保護資源。

例如，掃描請求322可包括掃描虛擬機330的網(wǎng)絡資源的請求；特別地，例如arp與dns緩存。對被保護的或其他的其它資源的掃描也可在掃描請求322中指定。在某些實現(xiàn)方式中，掃描請求322并非從外部代理320發(fā)送到內(nèi)部代理332的顯式請求，而是觸發(fā)請求，例如每24小時，內(nèi)部代理332可將虛擬機置于特定狀態(tài)，以供外部代理320進行掃描。

在將被保護資源置于特定狀態(tài)之后，內(nèi)部代理332可對外部代理320提供狀態(tài)數(shù)據(jù)338，其指示被保護資源處于準備被掃描的狀態(tài)。例如，響應于接收到掃描網(wǎng)絡資源的請求，內(nèi)部代理332可清理arp與dns緩存，并使用更新數(shù)據(jù)重新駐入緩存，例如通過對每個被清理的緩存條目作出查找請求。指示arp與dns緩存最近被清理及重新駐入的數(shù)據(jù)然后可提供至外部代理320。

通過被保護資源的掃描，外部代理320可生成外部掃描數(shù)據(jù)350。外部掃描數(shù)據(jù)350指定例如由外部代理320觀察的被保護資源的狀態(tài)。例如，在例如arp與dns緩存的網(wǎng)絡資源被清理并以更新數(shù)據(jù)重新駐入的情況下，外部代理可掃描arp與dns緩存，并執(zhí)行查找請求，例如查詢每個緩存條目內(nèi)指定的實體，以當由外部代理320查詢時，保證更新緩存條目按需解析。

在某些實現(xiàn)方式中，內(nèi)部代理332可對外部代理提供內(nèi)部掃描數(shù)據(jù)340。內(nèi)部掃描數(shù)據(jù)340指定例如由內(nèi)部代理332觀察的被保護資源的狀態(tài)。在網(wǎng)絡資源的示例中，內(nèi)部掃描數(shù)據(jù)340可包括指示使用更新的arp與dns緩存條目來執(zhí)行的內(nèi)部代理的查找請求結果的數(shù)據(jù)。在前述示例中，內(nèi)部掃描數(shù)據(jù)340的提供在外部掃描數(shù)據(jù)350的生成之后描述，但并非必須如此。在某些實現(xiàn)方式中，例如內(nèi)部代理332可對內(nèi)部掃描數(shù)據(jù)340提供狀態(tài)數(shù)據(jù)338。

在示例數(shù)據(jù)流300中，外部代理320比較外部掃描數(shù)據(jù)350與內(nèi)部掃描數(shù)據(jù)340，以識別任何差異。在非受損系統(tǒng)中，將由內(nèi)部代理332提供的arp與dns緩存條目的內(nèi)部查詢結果與arp與dns緩存條目的外部查詢結果的比較可能沒有差異。然而，如果虛擬機330已經(jīng)受損，例如被錯誤或惡意硬件和/或軟件損害，則掃描數(shù)據(jù)的差異可能提示外部代理使用虛擬機330的潛在問題。例如，如果內(nèi)部代理332執(zhí)行的dns查詢返回與外部代理320執(zhí)行的相同dns查詢所不同的結果，則虛擬機330可能受損。

圖4是有助于對被保護資源的掃描的示例方法400的流程圖。方法400可由計算設備執(zhí)行，計算設備如圖1所描述的計算設備。其它計算設備也可執(zhí)行方法400。方法400可以以存儲于如存儲介質(zhì)120的機器可讀存儲介質(zhì)的可執(zhí)行指令的形式和/或電子電路的形式實現(xiàn)。

數(shù)據(jù)處理器接收掃描指示符，其指示外部代理準備掃描計算設備的被保護資源(402)。掃描指示符例如可以是時鐘信號，指示外部代理準備掃描被保護資源的特定預定義時間。

數(shù)據(jù)處理器識別可由數(shù)據(jù)處理器執(zhí)行的被保護動作，該被保護動作有助于外部代理對計算設備的被保護資源進行掃描(404)。被保護動作包括被保護資源的狀態(tài)的改變。例如，為了幫助外部代理掃描由計算設備已執(zhí)行的或正在執(zhí)行的進程，數(shù)據(jù)處理器可識別將換出的進程加載到ram中的動作，作為被保護動作。

數(shù)據(jù)處理器執(zhí)行被保護動作(406)。例如，數(shù)據(jù)處理器可使任何換出的進程加載到ram中。如上所述，被保護或不被保護的其它動作，均可由數(shù)據(jù)處理器執(zhí)行，以實現(xiàn)計算設備資源的掃描，無論是否被保護。

數(shù)據(jù)處理器通過掃描被保護資源而生成內(nèi)部掃描數(shù)據(jù)，內(nèi)部掃描數(shù)據(jù)指定被保護資源的內(nèi)部掃描狀態(tài)(408)。例如，在被保護資源是進程數(shù)據(jù)的情況下，數(shù)據(jù)處理器可掃描進程數(shù)據(jù)，包括活動和換出進程，以生成在內(nèi)部觀察的指定計算設備的處理狀態(tài)的掃描數(shù)據(jù)。

數(shù)據(jù)處理器向外部代理提供內(nèi)部掃描數(shù)據(jù)以及指示被保護資源的內(nèi)部掃描狀態(tài)的數(shù)據(jù)(410)。例如，計算設備的內(nèi)部代理可對外部代理提供i)掃描數(shù)據(jù)，其指定如內(nèi)部代理觀察的計算系統(tǒng)過程的狀態(tài)，以及ii)指示計算系統(tǒng)的被換出進程已經(jīng)加載到ram中的數(shù)據(jù)。

如上文所討論的，提供至外部代理的信息可由外部代理使用以檢測與診斷目標系統(tǒng)的潛在問題，如惡意軟件或錯誤軟件。上文描述的過程可在多種環(huán)境下工作，包括具有分立計算設備的環(huán)境、使用虛擬機的環(huán)境或其組合。

前述公開描述了用于有助于對被保護資源的掃描的多個具體示例實現(xiàn)方式。如上文所述，示例提供了一種機制，用于使用內(nèi)部代理執(zhí)行使被保護資源可用于外部代理掃描的動作。