[发明专利]使用事务性存储器检测未授权存储器修改及访问

说明书

用于保护未授权存储器访问的技术包括具有事务性存储器支持的计算设备。该计算设备执行被标识为可疑的代码段并且在该代码段的执行期间检测事务性终止。该计算设备可以与该代码段并发地执行读取一个或多个受监控存储器位置的安全支持线程。事务性终止可以由与从该代码段写入冲突的读取该安全支持线程所导致。该计算设备可以在该代码段内设置断点，并且事务性终止可以由执行该代码段到达该断点导致。终止处理机确定是否已经发生安全事件并且报告该安全事件。该终止处理机可以基于该事务性终止的原因确定该安全事件是否已经发生。描述和/或要求保护其他实施例。

背景

计算机安全的一方面涉及保护计算机系统不受恶意软件(也被称为“malware”)影响。恶意软件以许多形式存在；然而，许多常见种类的恶意软件对计算机存储器中的未授权位置执行写入或其他访问。例如，某些恶意软件修改关键的存储器内系统数据结构以便获得对计算机的控制。一个这种攻击涉及盖写系统调用表，从而使得替代一个或多个系统调用执行由恶意软件提供的代码。这种攻击可以由所谓的“隐匿技术”使用以获得对系统的控制并且逃避检测。作为另一个示例，某些恶意软件导致系统执行来自未授权存储器段(诸如系统栈或数据段)的代码。例如，缓冲器溢流滥用、面向返回的编程(ROP)小程序和类似的滥用导致系统执行来自系统栈或堆(或由其驱动)的通常不应当被执行的代码。恶意软件可以执行这种攻击以便执行所谓的“壳代码”攻击；即，在计算机系统上执行任意代码(通常从远程位置引入)。

典型的计算机安全系统尝试通过应用代码分析对可能的恶意代码进行分类来检测恶意软件。例如，计算机安全系统可以执行代码的静态分析以便搜索公知的恶意软件签名。某些系统还执行代码执行的动态分析。典型的动态监控(诸如使用监管程序的单步执行)对系统性能具有较大的负面影响。

某些计算机处理器提供对硬件事务性存储器的支持。事务性存储器允许编程人员指定被称为“事务”的代码段独立地并且原子地执行。即，直至事务成功地被提交，在事务内发生的存储器操作才对在计算机系统上执行的其他事务或线程可见。在成功提交之后，在事务期间做出的所有存储器改变瞬时地可用于系统上的其他线程。可以通过推测性地执行事务、检测在事务执行期间发生的任何存储器冲突并且然后响应于存储器冲突终止并回滚事务来实现事务性存储器。存储器冲突包括例如尝试写入已经由另一个事务读或写的存储器位置的事务。事务性存储器可以简化用于并行计算的编程模型。硬件事务性存储器支持的一个可商购的示例是在由公司制造的某些处理器上可用的事务性同步扩展(TSX)。

附图简要描述

通过举例而非通过限制在附图中示出在此描述的概念。为了说明简单和清晰，图中所示元素无需按比例绘制。当认为合适时，已经在附图中重复参照标号以便表明相应的或类似的元素。

图1是用于检测未授权存储器访问的计算设备的至少一个实施例的简化框图；

图2是图1的计算设备的环境的至少一个实施例的简化框图；

图3是可以由图1和图2的计算设备执行的用于检测未授权存储器访问的方法的至少一个实施例的简化流程图；

图4是可以由图1和图2的计算设备执行的用于检测并处置事务性终止的方法的至少一个实施例的简化流程图；以及

图5是示出可以导致图1和图2的计算设备的事务性终止的潜在数据冲突的示意图。

附图详细描述

尽管本公开的概念可受到各种修改和替代形式，已经通过举例在附图中示出并且将在此详细地描述其特定实施例。然而，应当理解的是不旨在将本公开的概念限制为所公开的具体形式，而是相反，本发明涵盖与本公开和所附权利要求书一致的所有修改、等效方案和替代方案。