【技术实现步骤摘要】
【国外来华专利技术】相关申请案本申请案主张2013年7月17日申请的题为“虚拟机中的页面错误注入(PageFaultInjectionInVirtualMachines)”的第61/847,538号美国临时专利申请案的申请日期的权益,所述申请案的全部内容以引用方式并入本文中。
技术介绍
本专利技术涉及用于保护计算机系统免受恶意软件影响的系统及方法。恶意软件(也称为恶意软件(malware))影响全世界范围内的大量计算机系统。恶意软件呈其许多形式(例如计算机病毒、蠕虫病毒、藏匿技术及间谍软件)向数百万的计算机用户呈现严重风险,从而使其易遭受数据及敏感信息丢失、身份盗用及生产率的损失以及其它。硬件虚拟化技术允许产生通常被称为虚拟机的模拟计算机环境,其以许多方式表现为物理计算机系统。在典型的应用程序(例如服务器整合及基础设施即服务(IAAS))中,若干虚拟机可在相同的物理机上同时运行,共享其间的硬件资源,从而减小投资及操作成本。每一虚拟机可与其它虚拟机分开地运行其自己的操作系统及/或软件应用程序。由于恶意软件的平稳扩散,在此类环境中操作的每一虚拟机潜在地需要恶意软件保护。通常用于所属领域中的虚拟化解决方案包括管理程序,也被称为虚拟机监视器,其由在计算硬件与虚拟机的操作系统(OS)之间操作的软件的层组成,且具有比相应的OS多的处理器权限。可在管理程序的权限级别下进行反恶意软件操作。尽管此类配置可增加安全性,但其引入一层额外的复杂性且可带来较大的计算成本。< ...
【技术保护点】
一种包括硬件处理器的主机系统,其经配置以操作:管理程序,其经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机,所述虚拟机经配置以利用所述虚拟化处理器执行目标进程;以及存储器自省引擎,其在所述虚拟机外部执行且经配置以:根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是否被换出所述虚拟化存储器;以及作为响应,当所述目标页面被换出所述虚拟化存储器时,直接将页面错误注入到所述虚拟机中,所述页面错误使得所述虚拟机的操作系统将所述目标页面映射到所述虚拟化存储器的页面。
【技术特征摘要】
【国外来华专利技术】2013.07.17 US 61/847,538;2014.05.28 US 14/289,1631.一种包括硬件处理器的主机系统,其经配置以操作:
管理程序,其经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机,所述虚
拟机经配置以利用所述虚拟化处理器执行目标进程;以及
存储器自省引擎,其在所述虚拟机外部执行且经配置以:
根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是
否被换出所述虚拟化存储器;以及
作为响应,当所述目标页面被换出所述虚拟化存储器时,直接将页面错误注入
到所述虚拟机中,所述页面错误使得所述虚拟机的操作系统将所述目标页面映射
到所述虚拟化存储器的页面。
2.根据权利要求1所述的主机系统,其中直接注入所述页面错误包括:修改由所述管
理程序用来操作所述虚拟化处理器的数据结构。
3.根据权利要求2所述的主机系统,其中所述数据结构包括被指派到所述虚拟化处理
器的虚拟机控制结构VMCS。
4.根据权利要求1所述的主机系统,其中直接注入所述页面错误包括:所述存储器自
省引擎将所述目标页面的虚拟地址写入到所述虚拟化处理器的寄存器。
5.根据权利要求1所述的主机系统,其中所述存储器自省引擎进一步经配置以:
为直接注入所述页面错误做准备,根据所述虚拟化处理器的当前状态确定是否满
足注入条件;以及
作为响应,当满足所述注入条件时直接注入所述页面错误。
6.根据权利要求5所述的主机系统,其中确定是否满足所述事件注入条件包括:确定
所述虚拟化处理器的中断请求级别IRQL。
7.根据权利要求5所述的主机系统,其中确定是否满足所述事件注入条件包括:确定
所述虚拟化处理器当前在其下执行的权限级别。
8.根据权利要求5所述的主机系统,其中确定是否满足所述事件注入条件包括:确定
所述虚拟化处理器的当前执行上下文。
9.根据权利要求1所述的主机系统,其中所述存储器自省引擎进一步经配置响应于直
接注入所述页面错误以:
检测所述目标页面的页面表项目的修改;以及
作为响应,根据所述修改确定所述目标页面是否被映射到所述虚拟化存储器的所
述页面。
10.根据权利要求1所述的主机系统,其中所述存储器自省引擎进一步经配置以根据所
述目标页面的内容确定所述目标进程是否为恶意的。
11.根据权利要求1所述的主机系统,其中所述存储器自省引擎进一步经配置以拦截对
所述目标页面的内容的试图修改。
12.根据权利要求1所述的主机系统,其中所述存储器自省引擎进一步经配置为确定所
述目标页面是否被换出所述虚拟化存储器做准备以:
检测所述虚拟化处理器的事件,所述事件指示在所述虚拟机内的所述目标进程的
开始;以及
作为响应,根据所述事件确定所述目标页面的虚拟地址。
13.一种方法,其包括:
利用主机系统的至少一个硬件处理器执行管理程序,所述管理程序经配置以暴露
包括虚拟化处理器及虚拟化存储器的虚拟机,所述虚拟机进一步经配置以利用所述
虚拟化处理器执行目标进程;
利用所述至少一个硬件处理器确定所述目标进程的虚拟存储器空...
【专利技术属性】
技术研发人员:安德烈弗拉德·卢察什,
申请(专利权)人:比特梵德知识产权管理有限公司,
类型:发明
国别省市:塞浦路斯;CY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。