[发明专利]在受限应用执行环境中的应用执行

说明书

技术领域

本申请涉及在受限应用执行环境中的应用执行。

背景技术

目前，存在前所未有的对安全操作系统的更大需求。一种较新的计算机操作系统通过对应用程序如何执行强加以更大的限制而提供了更大的安全性。例如，操作系统可不允许被编程为在操作系统的旧有版本上使用的应用程序访问特定的操作系统提供的应用编程接口(API)。由此，当在操作系统的较新的版本上被执行时，传统应用(即，被编程为在操作系统的旧有版本上使用的应用程序)会停止工作，或会不正常工作。

为了使传统应用程序能与强加更繁重的安全限制的较新的操作系统一起工作，可能需要修改应用程序。然而，对传统应用程序的修改不会是一直可行的，因为源代码可能无法获得，应用程序的原开发商可能无法获得，金融资源可能无法负担修改的经费，或者底层技术可能太难以被理解。对期望在较新的操作系统上执行传统应用的个人或组织而言这也证明是令人挫败的。

此处所做出的本公开正是对于这些和其他考虑事项而提出的。

发明内容

在此描述了用于在受限的应用执行环境中执行应用的诸个技术。如在此所用的，术语“受限应用执行环境”被用于指代对应用程序的执行强加安全限制的用于执行应用程序的环境。例如，限制对传统操作系统提供的API进行访问的操作系统是一种受限应用执行环境。在此描述的概念和技术允许传统应用访问由受限应用执行环境提供的API，在其他方式下这些传统应用不被允许使用这些API。

根据在此所述的一个方面，使用学习模式来识别由应用所做出的受限应用执行环境所不允许的API调用。为了识别这些API调用，执行应用，并且截取由该应用做出的API调用。对于每个被截取的API调用，做出受限应用执行环境是否将允许执行该API调用的确定。在一个实施例中，咨询安全规则数据库以做出该确定。安全规则数据库存储有指示API调用是否由受限应用执行环境所允许的数据。

对于不能在受限应用执行环境中被执行的每个API调用，将数据存储在识别API调用的数据库(在此称为：运行时修复数据库)中。关于API调用的附加状态信息也可被存储在运行时修复数据库中，诸如：识别API的调用者的数据、调用堆栈、指示如何调用API的数据、调用参数、以及其他数据。

运行时修复数据库的内容可在运行时被用于识别被阻挡的API调用，并修改这些API调用使得受限应用执行环境将允许这些调用。特别是，截取在运行时中由应用做出的API调用。对于每个被截取的API调用，做出该API调用是否由受限应用执行环境所允许的确定。运行时修复数据库的内容可被用于识别不被允许的调用。

由受限应用执行环境所阻挡的每个API调用被修改，使得该API调用是可被允许的。例如，在一个示例中，用于访问安全资源(诸如注册表或大容量存储设备上的文件)的API调用可被修改使得其在影子资源上执行。影子资源是一在受限应用执行环境中对API是可访问的安全资源版本。在另一个示例中，程序代码(在此称为：修复代码)可被执行以对API调用重新格式化，使得API调用可被允许在受限应用执行环境中执行。修改后的或重新格式化后的API调用可随后在受限应用执行环境中被执行。

本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在将本概述用来限制所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本发明的任一部分中提及的任何或所有缺点的实现。

附图说明

图1是示出用于此处公开的诸个实施例的一个说明性操作环境的软件体系结构图；

图2是示出被用于此处公开的一个实施例以识别被受限应用执行环境所阻挡的API调用的操作的学习模式的诸个方面的软件体系结构图；

图3是根据此处提供的一个实施例，示出图2所示的操作的学习模式的操作的诸个方面的流程图；

图4是根据此处描述的一个实施例，示出用于在受限应用执行环境中执行应用的此处所述的机制的诸个方面的软件体系结构图；

图5是根据此处提供的一个实施例，示出用于在受限应用执行环境中执行应用的此处所述的一个说明性过程的诸个方面的流程图；以及

图6是示出用于能够实现本文所提出的各种实施例的计算系统的说明性计算机硬件和软件体系结构的计算机体系结构图。

具体实施方式