虚拟机中的页面错误注入制造技术

本发明专利技术描述的系统及方法允许使用虚拟化技术保护主机系统免受恶意软件影响。在一些实施例中，存储器自省引擎在于所述主机系统上执行的虚拟机VM下方操作。所述引擎经配置以分析由在所述VM内执行的软件使用的虚拟存储器页面的内容及/或保护所述相应的内容免于(例如)由恶意软件进行未经授权的修改。当所述相应的内容被换出存储器时，所述存储器自省引擎将页面错误注入到所述相应的VM中以迫使换入所述相应的内容。

【技术实现步骤摘要】
【国外来华专利技术】相关申请案本申请案主张2013年7月17日申请的题为“虚拟机中的页面错误注入(PageFaultInjectionInVirtualMachines)”的第61/847,538号美国临时专利申请案的申请日期的权益，所述申请案的全部内容以引用方式并入本文中。
技术介绍
本专利技术涉及用于保护计算机系统免受恶意软件影响的系统及方法。恶意软件(也称为恶意软件(malware))影响全世界范围内的大量计算机系统。恶意软件呈其许多形式(例如计算机病毒、蠕虫病毒、藏匿技术及间谍软件)向数百万的计算机用户呈现严重风险，从而使其易遭受数据及敏感信息丢失、身份盗用及生产率的损失以及其它。硬件虚拟化技术允许产生通常被称为虚拟机的模拟计算机环境，其以许多方式表现为物理计算机系统。在典型的应用程序(例如服务器整合及基础设施即服务(IAAS))中，若干虚拟机可在相同的物理机上同时运行，共享其间的硬件资源，从而减小投资及操作成本。每一虚拟机可与其它虚拟机分开地运行其自己的操作系统及/或软件应用程序。由于恶意软件的平稳扩散，在此类环境中操作的每一虚拟机潜在地需要恶意软件保护。通常用于所属领域中的虚拟化解决方案包括管理程序，也被称为虚拟机监视器，其由在计算硬件与虚拟机的操作系统(OS)之间操作的软件的层组成，且具有比相应的OS多的处理器权限。可在管理程序的权限级别下进行反恶意软件操作。尽管此类配置可增加安全性，但其引入一层额外的复杂性且可带来较大的计算成本。<br>对针对硬件虚拟化平台开发有效、稳健且可扩展的反恶意软件解决方案存在相当大的兴趣。
技术实现思路
根据一个方面，一种主机系统包括：经配置以操作管理程序及存储器自省引擎的硬件处理器。所述管理程序经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚拟机经配置以利用虚拟化处理器执行目标进程。所述存储器自省引擎在虚拟机外部执行且经配置以根据虚拟机的页面表确定目标进程的虚拟存储器空间的目标页面是否被换出虚拟化存储器，且作为响应，当目标页面被换出虚拟化存储器时直接将页面错误注入到虚拟机中，所述页面错误使得虚拟机的操作系统将目标页面映射到虚拟化存储器的页面。根据另一方面，一种方法包括：利用主机系统的至少一个硬件处理器执行管理程序，所述管理程序经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚拟机进一步经配置以利用所述虚拟化处理器执行目标进程。所述方法进一步包括：利用至少一个硬件处理器以确定所述目标进程的虚拟存储器空间的目标页面是否被换出虚拟化存储器，且作为响应，当所述页面被换出所述虚拟化存储器时利用所述至少一个硬件处理器直接将页面错误注入到所述虚拟机中，所述页面错误使得所述虚拟机的操作系统将所述目标页面映射到所述虚拟化存储器的页面。根据另一方面，一种非暂时性计算机可读媒体存储指令，所述指令在由主机系统的至少一个硬件处理器执行时使得所述主机系统形成存储器自省引擎，其中所述主机系统进一步经配置以执行暴露包括虚拟化处理器及虚拟化存储器的虚拟机的管理程序，所述虚拟机经配置以利用虚拟化处理器执行目标进程。所述存储器自省引擎在所述虚拟机外部执行且经配置以根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是否被换出所述虚拟存储器，且作为响应，当所述目标页面被换出所述虚拟化存储器时直接将页面错误注入到所述虚拟机中，所述页面错误使得所述虚拟机的操作系统将所述目标页面映射到所述虚拟化存储器的页面。附图说明在阅读以下详细的描述之后且在参看图式之后，本专利技术的前述方面及优点将得到更好的理解，在图式中：图1展示根据本专利技术的一些实施例的由在主机系统上执行的管理程序暴露的一组示范性虚拟机，及保护所述组虚拟机免受恶意软件影响的存储器自省引擎。图2展示根据本专利技术的一些实施例的主机系统的示范性硬件配置。图3展示根据本专利技术的一些实施例的被暴露到客户虚拟机的虚拟化硬件的示范性配置。图4说明根据本专利技术的一些实施例的在各种处理器权限级别下在主机系统上执行的软件对象的示范性分层。图5展示根据本专利技术的一些实施例的存储器地址的示范性映射及存储器页面换入及换出虚拟化存储器的示范性交换。图6展示根据本专利技术的一些实施例的由存储器自省引擎执行以保护虚拟机免受恶意软件影响的步骤的示范性序列。图7展示根据本专利技术的一些实施例的由存储自省执行以实施直接页面错误注入的步骤的示范性序列。图8展示根据本专利技术的一些实施例的说明图6到7的方法的应用的步骤的示范性序列。图9展示根据本专利技术的一些实施例的说明图6到7的方法的另一应用的步骤的示范性序列。图10说明根据本专利技术的一些实施例的含有目标进程的数据的存储器页面的一组虚拟地址的示范性确定。具体实施方式在以下描述中，应理解，结构之间所有所列举的连接可为直接可操作的连接或通过中间结构的间接可操作的连接。一组元件包含一或多个元件。对元件的任何列举被理解为指代至少一个元件。多个元件包含至少两个元件。除非另外要求，否则任何所描述的方法步骤无需一定以特定的所说明的次序执行。来源于第二元素的第一元素(举例来说，数据)包含与第二元素相同的第一元素，也包含通过处理第二元素及任选地其它数据产生的第一元素。根据参数做出确定或决策包含根据参数及任选地根据其它数据做出确定或决策。除非另外指定，否则一些量/数据的指示符可为所述量/数据本身或不同于量/数据本身的指示符。除非另外指定，否则进程为计算机程序(例如应用程序或操作系统的一部分)的实例，且以具有至少一个执行线程及由操作系统指派到其的虚拟存储器的区段为特征，相应的区段包括可执行代码。除非另外指定，否则页面表示被个别地映射到主机系统的物理存储器的虚拟机的最小单元。除非另外指定，否则直接将页面错误注入到虚拟机中包括：在无需来自操作系统或在相应的虚拟机内执行的其它软件的协助的情况下，在相应的虚拟机的虚拟化处理器内诱发页面错误事件。此类直接注入不排除操作系统或其它软件响应于所注入的页面错误而采取动作，例如以处理页面错误。计算机可读媒体包含非暂时性媒体，例如磁存储媒体、光存储媒体及半导体存储媒体(举例来说，硬盘驱动器、光盘、闪存存储器、DRAM)，也包含通信链路，例如导电电缆及光纤链路。根据一些实施例，本专利技术尤其提供包括经编程以执行本文中描述的方法的硬件(举例来说，一或多个处理器)的计算机系统，以及对指令编码以执行本文中描述的方法的计算机可读媒体。以下描述作为实例但不一定作为限制说本文档来自技高网...

【技术保护点】
一种包括硬件处理器的主机系统，其经配置以操作：管理程序，其经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚拟机经配置以利用所述虚拟化处理器执行目标进程；以及存储器自省引擎，其在所述虚拟机外部执行且经配置以：根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是否被换出所述虚拟化存储器；以及作为响应，当所述目标页面被换出所述虚拟化存储器时，直接将页面错误注入到所述虚拟机中，所述页面错误使得所述虚拟机的操作系统将所述目标页面映射到所述虚拟化存储器的页面。

【技术特征摘要】
【国外来华专利技术】2013.07.17 US 61/847,538;2014.05.28 US 14/289,1631.一种包括硬件处理器的主机系统，其经配置以操作：
管理程序，其经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚
拟机经配置以利用所述虚拟化处理器执行目标进程；以及
存储器自省引擎，其在所述虚拟机外部执行且经配置以：
根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是
否被换出所述虚拟化存储器；以及
作为响应，当所述目标页面被换出所述虚拟化存储器时，直接将页面错误注入
到所述虚拟机中，所述页面错误使得所述虚拟机的操作系统将所述目标页面映射
到所述虚拟化存储器的页面。
2.根据权利要求1所述的主机系统，其中直接注入所述页面错误包括：修改由所述管
理程序用来操作所述虚拟化处理器的数据结构。
3.根据权利要求2所述的主机系统，其中所述数据结构包括被指派到所述虚拟化处理
器的虚拟机控制结构VMCS。
4.根据权利要求1所述的主机系统，其中直接注入所述页面错误包括：所述存储器自
省引擎将所述目标页面的虚拟地址写入到所述虚拟化处理器的寄存器。
5.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以：
为直接注入所述页面错误做准备，根据所述虚拟化处理器的当前状态确定是否满
足注入条件；以及
作为响应，当满足所述注入条件时直接注入所述页面错误。
6.根据权利要求5所述的主机系统，其中确定是否满足所述事件注入条件包括：确定
所述虚拟化处理器的中断请求级别IRQL。
7.根据权利要求5所述的主机系统，其中确定是否满足所述事件注入条件包括：确定
所述虚拟化处理器当前在其下执行的权限级别。
8.根据权利要求5所述的主机系统，其中确定是否满足所述事件注入条件包括：确定
所述虚拟化处理器的当前执行上下文。
9.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置响应于直
接注入所述页面错误以：
检测所述目标页面的页面表项目的修改；以及
作为响应，根据所述修改确定所述目标页面是否被映射到所述虚拟化存储器的所
述页面。
10.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以根据所
述目标页面的内容确定所述目标进程是否为恶意的。
11.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以拦截对
所述目标页面的内容的试图修改。
12.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置为确定所
述目标页面是否被换出所述虚拟化存储器做准备以：
检测所述虚拟化处理器的事件，所述事件指示在所述虚拟机内的所述目标进程的
开始；以及
作为响应，根据所述事件确定所述目标页面的虚拟地址。
13.一种方法，其包括：
利用主机系统的至少一个硬件处理器执行管理程序，所述管理程序经配置以暴露
包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚拟机进一步经配置以利用所述
虚拟化处理器执行目标进程；
利用所述至少一个硬件处理器确定所述目标进程的虚拟存储器空...

【专利技术属性】
技术研发人员：安德烈弗拉德·卢察什，
申请(专利权)人：比特梵德知识产权管理有限公司，
类型：发明
国别省市：塞浦路斯;CY