可扩展激活漏洞扫描仪

摘要

可扩展激活漏洞扫描仪可以具有模块化结构，使得激活漏洞扫描仪的能力可被容易地升级。可扩展激活漏洞扫描仪可以包括漏洞数据文件、至少一个检测模块、至少一个响应模块以及基础扫描仪。漏洞数据文件可以具有许多条目，每个条目可以包括关于相应激活漏洞或相应激活漏洞种类的信息、以及关于检测模块和响应模块的信息。激活漏洞扫描仪可以读取漏洞数据文件的条目，可以执行对应于该条目的检测模块以检测相应激活漏洞或激活漏洞种类，并且可以执行对应于该条目的响应模块以便在检测到相应激活漏洞或激活漏洞种类时执行动作。

说明书

背景

在软件的合法副本被安装到处理设备上之后，软件可能会不工作或者可能 具有受限功能，直到用户激活该软件。认证组件可以将软件认证为真实、或授 权、许可的软件副本。激活漏洞(exploit)是欺骗认证组件使得伪造软件可以 被认证为真实软件副本的软件形式。

激活漏洞扫描仪可以通过多种不同途径检测处理设备上激活漏洞的存在。 例如，激活漏洞扫描仪可以通过查找具有特定散列值的文件或者通过其它方法 来检测激活漏洞的存在。专用于检测已知激活漏洞或激活漏洞种类的详细检测 算法可以被称为签名。

当前，激活漏洞扫描仪与可以是操作系统专用或应用专用的签名捆绑。为 了扫描新激活漏洞或与不同操作系统或应用相关联的激活漏洞，激活漏洞扫描 仪用新签名来重建、重新封装并且重新部署。结果，在被重新部署之前，除了 功能测试之外，对重建的激活漏洞扫描仪进行广泛且重复的测试。

概述

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述并不旨在标识出所要求保护主题的关键特征或必要特征，也 不旨在用于限定所要求保护主题的范围。

可以提供一种用于检测激活漏洞或多类激活漏洞的可扩展激活漏洞扫描 仪。激活漏洞扫描仪可以具有模块化结构，并且可以包括漏洞数据文件、至少 一个检测模块、至少一个响应模块以及基础扫描仪。漏洞数据文件可以具有一 个或多个条目，每个条目可以包括关于相应激活漏洞或相应激活漏洞种类的信 息、关于检测模块的位置信息以及关于响应模块的位置信息。基础扫描仪可以 读取漏洞数据文件的条目并且基于条目中包括的关于检测模块的位置信息来 执行检测模块。如果由检测模块检测到激活漏洞或激活漏洞种类，则基础扫描 仪可以基于条目中包括的关于响应模块的位置信息来执行响应模块。

通过替换一个或多个检测模块、或一个或多个响应模块，或者通过添加一 个或多个新检测模块或一个或多个新响应模块并且使用包括与所添加的一个 或多个新检测模块和所添加的一个或多个新响应模块相对应的一个或多个新 条目的新漏洞数据文件来替换漏洞数据文件，可以更新激活漏洞扫描仪的能 力。

附图

为了描述能够获得上述和其他优点和特征的方式，以下将描述并通过参考 附图中示出的各具体实施例来呈现更为具体的描述。可以理解，这些附图仅描 述各典型实施例，从而不被认为是对其范围的限制，将通过使用附图用附加特 征和细节来描述和说明各个实现。

图1是示例性处理设备的功能框图，该处理设备可用于实现根据本发明主 题的各实施例。

图2是示出根据本发明主题的可扩展激活漏洞扫描仪的示例性模块化结 构的框图。

图3示出可以由根据本发明主题的各种实施例使用的漏洞数据文件的示 例性条目。

图4是可由根据本发明主题的可扩展激活漏洞扫描仪来执行的示例性过 程的流程图。

图5是示出执行或调用用于执行对应动作的子模块的示例性响应模块的 框图。

图6是用于更新根据本发明主题的可扩展激活漏洞扫描仪的能力的示例 性过程的流程图。

详细描述

以下详细讨论各实施例。尽管讨论各个具体实现，但应当理解，这仅是出 于说明的目的。相关领域的技术人员将认识到，可以使用其他组件和配置而不 背离本发明的主题的精神和范围。

概览

提供一种可扩展激活漏洞扫描仪，它消除了许多(即便不是全部)当前在 部署之前对现有重建的激活漏洞扫描仪执行的广泛和重复测试。可扩展激活漏 洞扫描仪可以具有模块化结构。在根据本发明主题的实施例中，可扩展激活漏 洞扫描仪可以具有多个组件，包括但不限于，漏洞数据文件、一个或多个检测 模块、一个或多个响应模块以及基础扫描仪。

漏洞数据文件可以具有一个或多个条目，每个条目可以包括关于已知激活 漏洞或激活漏洞种类的信息。例如，在一些实施例中，每个条目可以包括违背 标识符、应用或操作系统标识符、检测模块位置信息、响应模块位置信息、以 及其它或不同信息。

检测模块可以包括用于检测特定已知激活漏洞或特定已知激活漏洞种类 的签名。响应模块可以使一个或多个动作得到执行。基础扫描仪可以执行或调 用用于确定存在已知激活漏洞或激活漏洞种类的检测模块。如果检测模块指示 检测到存在已知激活漏洞或激活漏洞种类，则基础扫描仪可以执行或调用响应 模块以响应于检测到激活漏洞或激活漏洞种类使一个或多个动作得到执行。

示例性处理设备

图1是示出可用于实现根据本发明主题的各实施例的示例性处理设备100 的功能框图。处理设备100可以是台式个人计算机(PC)、笔记本或膝上型 PC、服务器、或其它处理设备。处理设备100可包括总线110、处理器120、 随机存取存储器(RAM)130、只读存储器(ROM)140以及存储设备150。 总线110可以允许处理设备100的组件之间的通信。处理器120可以包括解释 并执行指令的至少一个常规处理器或微处理器。存储器可以包括RAM 130、 ROM 140或存储供处理器120执行的信息和/或指令的另一类动态或静态存储 设备。RAM 130或另一类动态存储设备可以存储指令以及在处理器120执行指 令期间所使用的临时变量或其它中间信息。ROM 140或另一类静态存储设备可 以为存储器120存储静态信息或指令。存储设备150可包括硬盘以及对应的驱 动器、基于闪存的存储设备、或用于存储用于处理器120的数据和/或指令的其 他类型的数据存储设备或介质。

处理设备100可响应于处理器120执行诸如RAM 130、ROM 140、存储 设备150或其他介质等有形机器可读介质中所包含的指令序列来执行这些功 能。这些指令可从另一机器可读介质或经由通信接口(未示出)从单独的设备 读入RAM 130中。

模块化体系结构

图2示出根据本发明主题的示例性激活漏洞扫描仪200的模块化结构。激 活漏洞扫描仪200可以包括基础扫描仪202、漏洞数据文件204、一个或多个 检测模块206、以及一个或多个响应模块208。

漏洞数据文件可以具有一个或多个条目，每个条目可以包括关于已知激活 漏洞或激活漏洞种类的信息。每个检测模块206可以包括用于检测激活漏洞或 激活漏洞种类的签名。每个响应模块208可以导致响应于检测到已知激活漏洞 或激活漏洞种类而执行一个或多个动作。

图3示出漏洞数据文件的示例性条目。条目可以包括违背标识符302、应 用/操作系统标识符304、检测模块位置信息306、违背文件散列308、以及响 应模块位置信息310。

违背标识符302可以包括对应于特定激活漏洞或特定激活漏洞种类的标 识符。

应用/操作系统标识符304可以包括对应于特定应用或特定操作系统的标 识符，该标识符可以与对应于违背标识符302的激活漏洞或激活漏洞种类相关 联。

检测模块位置信息306可以包括相对于当前处理设备关于检测模块位置 的信息。例如，检测模块位置信息306可以是存储器地址、介质上的位置或其 它类型的位置信息。

违背文件散列308可以包括文件散列值，文件散列值的存在可以指示已知 激活漏洞或激活漏洞种类的出现。在一些情形中，违背文件散列308还可以包 括文件的文件名，它可以具有与违背文件散列308的散列值相匹配的散列值。

响应模块位置信息310可以包括关于检测模块相对于当前处理设备的位 置的信息。例如，响应模块位置信息310可以是存储器地址、介质上的位置或 其它类型的位置信息。

示例性处理

图4是可由根据本发明主题的实施例中激活漏洞扫描仪的基础扫描仪来 执行的示例性过程。该过程开始于基础扫描仪从漏洞数据文件读取条目(动作 402)。

接下来，基础扫描仪可以确定该条目是否适用于执行激活漏洞扫描仪的处 理设备(动作404)。例如，如果处理设备(PD)执行操作系统X并且该条目 适用于操作系统Y(可由应用/操作系统标识符304指示)，则该条目不适用于 该处理设备。

如果确定该条目不适用于该处理设备，则基础扫描仪可以确定是否存在漏 洞数据文件的任何其它条目(动作416)。如果基础扫描仪确定不存在漏洞数 据文件的其它条目，则过程完成。否则，基础扫描仪可以准备读取漏洞数据文 件的下一条目(动作418)并且可以再次执行动作402。

如果在动作404期间，基础扫描仪确定漏洞数据文件的条目的确适用于处 理设备，则基础扫描仪可以基于包括在漏洞数据文件的条目中的检测模块位置 信息306和响应模块位置信息310、相对于处理设备确定是否存在检测模块和 响应模块(动作406)。

如果基础扫描仪根据漏洞数据文件的条目确定存在检测模块和响应模块， 则基础扫描仪可以执行或调用检测模块(动作410)。基础扫描仪可以在执行 或调用检测模块时使用检测模块位置信息306。在一个实施例中，当尝试检测 激活漏洞或激活漏洞种类时，检测模块可以使用来自违背文件散列308的信息。

基础扫描仪随后可以确定检测模块是否检测到已知激活漏洞或激活漏洞 种类(动作412)。如果由检测模块检测到已知激活漏洞或激活漏洞种类，则 基础扫描仪可以调用响应模块，如由漏洞数据文件条目的响应模块位置信息 310所指示的。然后，可以如上所述地执行动作416和418。

如果在动作406期间，基础扫描仪确定不存在检测模块或响应模块，或者 不存在检测模块和响应模块两者，则基础扫描仪可以提供通知(动作408)。 该通知可以在显示屏幕上向用户显示和/或可以发送到远程处理设备，使得远程 处理设备可以下载缺少的模块。

在一些实施例中，响应模块可被进一步模块化以执行或调用一个或多个子 模块来执行一个或多个动作。图5示出执行或调用、发送遥测子模块504、通 知子模块506和移除工具子模块508的示例性响应模块502。

发送遥测子模块504可以向特定远程处理设备发送非用户标识信息。非用 户标识信息可以包括关于检测到的已知激活漏洞或检测到的激活漏洞种类以 及其它非用户标识信息的数据。

通知子模块506可以就对已知激活漏洞或激活漏洞种类的检测来通知用 户。在一个实施例中，通知子模块506可以经由弹出式用户界面通知用户。

移除工具子模块508可以将检测到的已知激活漏洞或检测到的激活漏洞 种类从处理设备移除。

图5中的子模块是示例性的。在其他实施例中，可由响应模块调用其它或 不同的子模块。

图6是相对于根据本发明主题的激活漏洞扫描仪的更新检测能力和/或响 应能力，示出处理设备中示例性处理的流程图。该过程可以通过确定是否安装 扫描仪文件而开始(动作602)。扫描仪文件可以包括关于基础扫描仪、一个 或多个检测模块、一个或多个响应模块和漏洞数据文件的文件。

如果安装了扫描仪文件，则处理设备可以下载已更新的激活漏洞扫描仪文 件(如果有的话)(动作604)。处理设备可以确定所下载的已更新激活漏洞 扫描仪文件中的任一个是否是替换文件(动作606)。在一些实施例中，替换 文件可以具有与所安装文件相同的文件名。如果所下载的已更新激活漏洞扫描 仪文件中的至少一些是替换文件，则所下载的已更新替换激活漏洞扫描仪文件 可以替换所安装文件中的至少一些(动作608)。例如，所下载的替换检测模 块可以替换所安装的检测模块，所下载的替换响应模块可以替换所安装的响应 模块，并且所下载的漏洞数据文件可以替换所安装的漏洞数据文件。

然后，处理设备可以确定是否已经下载任何新文件(动作610)。在一些 实施例中，新文件可以是具有与所安装文件中任一个的文件名不匹配的文件名 的文件。如果已经下载新文件，则可以通过在处理设备上安装新文件来添加新 文件(动作612)。例如，如果检测新激活漏洞的检测能力被添加，则可以安 装包括具有关于新激活漏洞的信息的条目的替换漏洞数据文件以及新检测模 块和新响应模块。检测模块位置信息和响应模块位置信息可以包括在漏洞数据 文件的条目中以指示相应模块相对于处理设备的位置。

接下来，可以安装基础扫描仪，它在扫描一个或多个激活漏洞或激活漏洞 种类时可以使用替换漏洞数据文件、任何经替换和/或新的检测模块以及任何经 替换和/或新的响应模块。

可以在无需广泛且重复测试的情况下容易地更新并快速部署根据本发明 主题的激活漏洞扫描仪的实施例。

结论

尽管用对结构特征和/或方法动作专用的语言描述了本主题，但可以理解， 所附权利要求书中的主题不必限于上述具体特征或动作。相反，上述具体特征 和动作是作为实现权利要求的示例形式公开的。

虽然以上描述可能包含具体细节，但决不应将其解释为是对权利要求的限 制。所述各实施例的其他配置也是本发明的范围的一部分。例如，在其它实施 例中，由诸如图4和6示出的过程之类的过程执行的动作次序可以不同和/或可 以包括附加或其它动作。此外，用于其它实施例的漏洞数据文件可以包括附加 信息或其它信息，并且可以以不同的次序出现在漏洞数据文件的条目中。

因此，所附权利要求书及其合法的等效技术方案定义实施例，而非任何给 出的具体示例。