基于硬件虚拟化的虚拟机内核完整性保护

发布时间：2025-03-19 00:02

　　虚拟化架构中良好的隔离性、相对于操作系统来说更高的抽象层次以及更小的可信计算基等特性为解决安全领域中的旧难题提供了新思路。但是虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击路径以及攻击面,虚拟化安全问题亟待解决。Rootkit攻击是虚拟化安全面临的主要威胁之一,恶意程序利用Rootkit技术隐藏自身来躲避安全工具的监测,并且利用系统的缺陷攻击系统。而内核级Rootkit运行于内核空间,具备更高的权限,它通过对虚拟机内核完整性的破坏试图控制整个系统运行,严重威胁着虚拟机内核的安全。针对虚拟机内核完整性保护问题,提出了一种被动保护的方式,利用硬件虚拟化扩展机制截获特权指令、敏感指令和中断。为了保护内核数据、代码以及关键寄存器,一方面为关键的内核数据与代码创建隔离的IEPT页表并设置页表的访问权限,使其运行在独立隔离的地址空间内。一方面利用硬件虚拟化的“陷入”机制使得关键寄存器一旦被篡改便下陷到VMM,阻止内核级Rootkit的恶意攻击,保障内核数据的完整性。在虚拟机内核完整性检测方面,提出了一种主动检测隐藏进程的方法,通过监控内核动态数据的内存分配与释放,构建内核对象的映射关...

【文章页数】：55 页

【学位级别】：硕士

【部分图文】：

图２系统总体架构Ｆｉｇ．２Ｓｙｓｔｅｍａｒｃｈｉｔｅｃｔｕｒｅ

存地址的指针以及页的一些特定信息．图１中“ｒ”为读权限，“ｗ”为写权限，“ｅ”为执行权限．内核提供了设置权限的函数：ｐｔｅ＿ｍｋｒｅａｄ设置读权限、ｐｔｅ＿ｍｋｗｒｉｔｅ设置写权限．ＣＰＵ在进行操作的时候，页面如果受过写访问就转入ｄｉｒｔｙ队列．通过ｄｉｒｔｙ去标识某个页是否可以....

图３系统工作过程Ｆｉｇ．３Ｓｙｓｔｅｍｗｏｒｋｉｎｇｐｒｏｃｅｓｓ

、堆栈等重要的数据结构如系统调用表、进程控制块、页表、文件的索引节）放入一个内存隔离域中．ＶＭＭ为ＧｕｅｓｔＯＳ和隔离域提供不同的ＥＰＴ，以实现隔离；为隔离域创建独立的ＥＰＴ页表，称为ＩｓｏｌａｔｅＥＰＴ，简称为ＩＥＰＴ；客户虚拟机内核页表称为ＧｕｅｓｔＥＰＴ，简称为ＧＥＰＴ．设....

图７安全性测试结果Ｆｉｇ．７Ｓａｆｅｔｙｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓ

ｎｄｏｗｓ７．实验选取了几类典型Ｒｏｏｔｋｉｔ，包括以下恶意功能：提供ｒｏｏｔ后门，控制内核模块的加载，隐藏文件，系统调用挂钩技术（ＩＤＴＨｏｏｋ，ＳＳＤＴＨｏｏｋ）、内核数据结构修改（即修改控制流）以及深度内联ＩｎｌｉｎｅＨｏｏｋｉｎｇ．４．２有效性测试实验中加载Ｒｏｏｔｋｉｔ....

图2-1VMX及其运行模式切换

图2-1VMX及其运行模式切换存虚拟化VT利用扩展页表EPT(ExtendedPageTable)在硬件上完成客户机虚拟址的地址转换，EPT由VMM负责创建与维护。EPT特性加入之前表机制来实现地址转换，但是其缺点也比较明显：引入的开销较大并复杂。由于EPT....

本文编号：4036379