本發明公開了一種惡意軟件檢測平臺快速恢復方法及系統。本發明基于ARM構架中的TrustZone技術實現，由兩部分組成：位于用戶域操作系統中的具有轉發指令功能的應用程序和位于安全域中的安全域操作系統。由位于用戶域操作系統中的指令轉發應用程序觸發，它能轉發備份或者恢復指令。位于安全域中的安全域操作系統在收到指令后，根據具體的指令可實現平臺的備份與恢復。位于安全域的安全域操作系統收到備份指令時，將平臺內存中的數據復制到特定的內存區域進行備份，并向平臺的基于閃存的存儲設備發出備份指令。當安全域的安全域操作系統收到恢復指令時，利用之前備份的內存數據恢復內存，并向平臺的基于閃存的存儲設備發出恢復指令。

技術領域

本發明涉及平臺數據的備份與恢復，特別涉及針對惡意軟件檢測平臺的內存數據的備份與恢復方法及系統。

背景技術

隨著移動互聯網的高速發展，Android系統的使用變得越來越廣泛，而針對Android系統的各種惡意軟件也越來越常見。這些惡意軟件不僅可能會竊取用戶的隱私，例如用戶的定位信息、通話記錄、短信內容等，還有可能盜取話費、網銀密碼等，使用戶產生巨大的經濟損失。因此，為了保護用戶隱私和財產安全，我們需要及時發現和查殺這些惡意軟件。而分析這些惡意軟件是查殺它們的前提。

目前，常用惡意軟件分析方法包括靜態分析和動態分析。由于靜態分析往往無法獲取惡意軟件的所有特征，所以目前主流的分析方法是動態分析。在動態分析中，人們讓惡意軟件在沙箱和虛擬機中執行，并通過相應的組件來觀測惡意軟件的行為特征，從而分析其原理并找到相應的防御方法。

但并不是所有的惡意軟件都可以在沙箱和虛擬環境中分析的。越來越多的惡意軟件在展開攻擊前都會對自己所處的環境進行檢查，如果惡意軟件發現自己處于虛擬環境中，則會拒絕執行惡意代碼，以防止自己的行為特征暴露。為此，研究者開始在真實的Android平臺上對惡意軟件進行分析。

可當惡意軟件分析結束后，Android惡意軟件分析平臺往往會被惡意軟件嚴重的破壞。此時Android系統已被感染，處于異常狀態，無法進行正常的工作。我們需要對被感染的系統平臺進行恢復，以供對下一個惡意軟件進行分析。傳統的恢復方法是對平臺進行刷機，即重新安裝Android操作系統。然而重裝系統是一件費時費力的工作，期間還會伴隨耗時的重啟過程，這會極大的影響對下一個惡意軟件的分析速度。而每耽誤一分鐘，就會有更多的用戶受到惡意軟件的攻擊。為此，我們需要更快速的方法來恢復Android惡意軟件分析平臺，使惡意軟件分析平臺盡快的投入到下一次的分析中。

TrustZone技術是ARM公司提出的一種硬件級的安全運行解決方案。TrustZone將系統分為了TEE和REE兩個區域，TEE常被稱安全域，它是一個安全的運行環境，它有獨立的運算、存儲資源，與REE是隔離的。REE常稱為用戶域，其中運行著用戶域操作系統，常見的有Android系統。用戶域操作系統通常被認為是不安全的，即有可能感染惡意軟件。對安全要求高的關鍵工作在被隔離的安全域中運行，而其它任務運行在用戶域中。這些任務在不同的環境擁有不同的訪問權限，安全域中的系統可以訪問所有的系統資源，但在用戶域中的系統只允許訪問被指定的非安全的資源。當兩個環境切換時，需要調用SMC指令，此時處理器陷入安全域中的監控模式。在這種模式下，處理器擁有最高權限，它可以訪問操作所有系統資源。

通過對TrustZone中的TZASC(TrustZone Address Space Controller)寄存器進行配置，我們可以將物理內存拆分成幾個具有不同安全級別的區域，從而限定用戶域可以使用的內存范圍。

用戶域和安全域都有自己的虛擬MMU，兩個環境都有自己的一份TTBR0、TTBR1、TTBCR寄存器，也就是有兩個MMU表。兩個環境通過自己的MMU表訪問與自己相關的內存。兩個環境的TLB是共享的，但安全域的TLB項會被打上相應的標簽，所以實際上TLB在邏輯上被劃分了兩個不同的部分，不同環境各自管理各自的TLB項。當兩個環境切換時，頁表和TLB都不需要進行刷新，當前處于哪個環境，則使用哪個環境相應的TTBR寄存器，從而找到其所對應的頁表，實現對相關內存的訪問控制。