在此公开了用于管理员模式执行保护的装置及方法。在一个实施例中,处理器包括用于访问存储器、执行硬件和控制逻辑的接口。该存储器中的区域是用户存储器。该执行硬件用于执行指令。该控制逻辑用于当该指令存储在用户存储器中并且该处理器处于管理员模式时防止该执行硬件执行该指令。
【技术实现步骤摘要】
管理员模式执行保护本申请是国际申请日为2011年12月29日、中国国家阶段申请号为201180076153.9、题为“管理员模式执行保护”的专利技术专利申请的分案申请。
本公开涉及信息处理领域,并且更具体地涉及信息处理系统安全领域。
技术介绍
基于存储器的攻击对信息处理系统的安全造成很大的威胁。某些这种攻击涉及在计算机系统的存储器中存储恶意代码(诸如病毒或蠕虫)或恶意数据,然后在运行合法程序时利用错误和/或缓冲区溢出来将控制转移到恶意代码或使用恶意数据。经常使用的攻击(称为权限提升攻击)涉及在应用存储器中存储攻击代码,然后利用内核代码中的漏洞来跳到攻击代码。附图说明通过举例而非限制在附图中示出本专利技术。图1示出本专利技术实施例可在其中存在和/或运行的系统和处理器。图2示出根据本专利技术实施例的用于管理员模式执行保护的方法。具体实施方式以下说明描述了用于管理员模式执行保护的技术的实施例。在以下描述中,可列出特定细节(诸如处理器和系统配置),以便提供对本专利技术的更透彻理解。然而,本领域普通技术人员将认识到本专利技术可在没有这些特定细节的情况下实践。附加地,未详细示出某些公知的结构、电路等等,以便避免不必要地混淆本专利技术。本专利技术实施例提供使用分配给存储器页的属性来提供管理员模式执行保护。根据本专利技术实施例的技术可在任何用于存储器管理的方法中实现,包括基于页的存储器管理数据结构、虚拟化技术所使用的基于嵌套页的存储器管理数据结构、以及平行访问数据结构。图1示出本专利技术实施例可在其中存在和/或运行的系统100,信息处理系统。系统100可表示任意类型的信息处理系统,诸如服务器、台式计算机、便携式计算机、机顶盒、手持式设备、或嵌入式控制系统。系统100包括处理器110、存储器120、以及存储器控制器130。实现本专利技术的系统可包括任意其他组件或其他元件,包括任意数量的附加处理器核/或存储器。任意系统实施例中的任意或全部组件或其他元件可通过任意数量的总线、点到点、或其他有线或无线连接而彼此连接、耦合、或以其他方式彼此通信。处理器110可表示任意类型的处理器,包括通用微处理器,诸如来自英特尔公司的处理器族或其他处理器族中的处理器、或来自另一公司的另一个处理器、或用于根据本专利技术实施例处理信息的任意其他处理器。处理器110可包括任意数量的执行核和/或支持任意数量的执行线程,并且因此可表示任意数量的物理或逻辑处理器、和/或可表示多处理器组件或单元。处理器110支持根据任意已知方法的不同权限等级下的软件执行。例如,处理器110可识别四个权限等级,其可被标号为零到四,其中更高的数字意味着更少的权限。这四个权限等级可被图形化为保护环,其中,位于中心的权限等级零旨在执行操作系统(“OS”)内核级代码,等级一和二旨在执行OS服务代码,而最外环的等级四旨在执行应用代码。存储器120可表示任意静态或动态随机存取存储器、基于半导体的只读存储器或闪存、磁或光盘存储器、可由处理器110和/或系统100的其他元件读取的任意其他类型的介质、或这些介质的任意组合。存储器控制器130可表示用于控制对存储器120的访问并且维护其内容的控制器。在实施例中,存储器控制器130可被集成到与处理器110相同的集成电路上。根据本专利技术实施例,存储器120可包括用户存储器122,其可以是称为应用或用户存储器的位置和/或区域,其旨在存储将由应用软件使用的指令和数据。这些位置和/或区域可根据任意已知技术被标记为应用存储器。在实施例中,每个这种位置可包括可存储特定值以表明其是用户存储器的位或字段。在实施例中,分页或其他存储器层级内较高等级下的条目可包括可存储特定值以表明其所参考的所有更低等级页或其他区域是用户存储器的位或字段。例如,可使用用户/管理员标志位将页指定为页目录条目和/或转换后备缓冲(“TLB”)条目内的用户存储器。在实施例中,寄存器、表或其他数据结构可用于指定被指定为用户存储器的存储器120的一个或多个范围。处理器110可包括指令硬件111、执行硬件112、分页单元113、处理存储114、接口115、以及控制逻辑116、加上任意其他所希望的单元或元件。指令硬件111可表示用于取出、接收、解码、和/或调度指令的任意电路、接口或其他硬件,诸如指令解码器。可在本专利技术的范围内使用任意指令格式;例如,指令可包括操作码和一个或多个操作数,其中,该操作码可被解码为一个或多个微指令或微操作以便由执行硬件112执行。在实施例中,一种指令类型可以是标识指令,处理器110被设计成用信息对其进行响应,以便标识处理器110或有关处理器110的任意东西。例如,标识指令可以是处理器族的指令集架构内的CPUID指令。响应于该指令,处理器110可返回包括表明处理器110支持根据本专利技术实施例的管理员模式执行保护的指示。执行硬件112可包括用于处理数据并执行指令、微指令、和/或微操作的任意电路、结构、或其他硬件,诸如算术单元、逻辑单元、浮点单元、移位器等等。分页单元113可表示用于转换处理器110访问存储器120所使用的地址的任意电路、结构、或其他硬件,诸如TLB。分页单元113可根据任意已知的存储器管理技术执行地址转换,例如将逻辑或线性地址转换为物理地址。为了执行地址转换,分页单元113参考存储在处理器110、存储器120、未在图1中示出的系统100内任意其他存储位置中和/或这些组件和位置的任意组合中的一个或多个数据结构。数据结构可包括根据处理器族的架构的页目录和页表(正如根据本专利技术实施例所修改的)、和/或存储在TLB内的表。在一个实施例中,分页单元113接收由要被处理器110执行的指令提供的线性地址和/或要由处理器取出的数据的线性地址。分页单元113将线性地址的部分用作到层级表(包括页表)的索引。页表包含条目,每个条目包括用于存储器120内页的基地址的字段。可在本专利技术的范围内使用任意页尺寸(例如,4千字节)。因此,程序用于访问存储器120的线性地址可被转换成由处理器110用于访问存储器120的物理地址。处理存储114可表示可用于处理器110内任何目的的任意类型的存储,例如,其可包括任意数量的数据寄存器、指令寄存器、状态寄存器、其他可编程或硬编码寄存器或寄存器组、或任意其他存储结构。在实施例中,处理存储114可包括根据处理器族的架构的控制寄存器(例如,CR4),其可包括将被用于使得能够根据本专利技术实施例实现管理员模式执行保护的可编程位位置或另一尺寸字段。例如,操作系统软件或其他系统软件可执行对CR4的写入以便设置(例如,写入值1)CR4内的管理员模式执行保护启用位,从而启用该特征。在一个实施例中,软件在更有权限的权限等级(例如,环0、1、或2)下执行指令可被称为在管理员模式下运行,而在软件在更少权限的权限等级(例如,环4)下执行可被称为在用户模式下运行。接口单元115可表示任意电路、结构、或其他硬件(诸如总线单元或任意其他单元、端口、或接口),以便允许处理器110通过任意类型的总线、点到点、或其他连接直接或通过任意其他组件(诸如芯片组或存储器控制器)与存储器120通信。控制逻辑116可表示微代码、可编程逻辑、硬编码逻辑、或任意其他类型的逻辑,以便控制这些单元和处理器110的其他元件的操作以及数据在处理器110内本文档来自技高网...
【技术保护点】
1.一种处理器,包括:接口,用于访问存储器,其中所述存储器中的区域是用户存储器;执行硬件,用于执行指令;以及控制逻辑,用于当所述指令存储在用户存储器中并且所述处理器处于管理员模式时防止所述执行硬件执行所述指令。
【技术特征摘要】
1.一种处理器,包括:接口,用于访问存储器,其中所述存储器中的区域是用户存储器;执行硬件,用于执行指令;以及控制逻辑,用于当所述指令存储在用户存储器中并且所述处理器处于管理员模式时防止所述执行硬件执行所述指令。2.如权利要求1所述的处理器,进一步包括用于取出所述指令的指令硬件,其中所述控制逻辑用于当所述处理器处于管理员模式时通过防止所述指令硬件从用户存储器取出所述指令来防止所述执行硬件执行所述指令。3.如权利要求1所述的处理器,其中,当以比最低权限等级更高的权限等级执行软件时,所述处理器处于管理员模式。4.如权利要求1所述的处理器,进一步包括分页单元,其中所述分页单元用于使用页表层级将线性地址转换为物理地址,并且所述区域可通过在所述页表层级内任意等级下的标志,被指定为用户存储器。5.如权利要求1所述的处理器,其中,所述执行单元...
【专利技术属性】
技术研发人员:A·凡德万,B·V·帕特尔,A·K·马利克,G·尼格,J·S·科克,M·G·迪克森,J·W·布兰德特,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。