基于硬件虛擬化技術的內(nèi)存保護研究.pdf

1、傳統(tǒng)系統(tǒng)架構和軟件設計方法在保障內(nèi)存安全性方面存在諸多不足。傳統(tǒng)的內(nèi)存保護機制一般依賴于具體硬件和操作系統(tǒng)，無法提供足夠的安全機制，不僅需要付出昂貴的硬件代價，而且不能很好實現(xiàn)隔離性。針對傳統(tǒng)內(nèi)存保護機制的不足(如可靠性低、隔離性差、安全性弱等)，虛擬化技術為系統(tǒng)內(nèi)存保護提供了新的思路和途徑。相比于傳統(tǒng)的內(nèi)存保護方法，虛擬化技術可以發(fā)現(xiàn)傳統(tǒng)技術很難發(fā)現(xiàn)的內(nèi)核漏洞，因為很多內(nèi)核態(tài)的rootkit和操作系統(tǒng)一樣都處在內(nèi)核態(tài)，這些rootki

2、t和傳統(tǒng)的防護技術擁有相同的權限。但是虛擬化技術是通過插入一層比操作系統(tǒng)ring0層權限更高的虛擬機監(jiān)控層(VMM)來監(jiān)控并保護系統(tǒng)，而操作系統(tǒng)不能發(fā)現(xiàn)VMM的存在。從而有效的保護系統(tǒng)的安全。本文主要介紹基于硬件虛擬化技術的內(nèi)存保護機制。硬件虛擬化技術是基于芯片處理器的虛擬化技術，它直接運行在硬件，是系統(tǒng)級的虛擬機，不但可以有效的提供安全性和隔離性，而且可以對于Ring 0中的代碼可以進行控制，例如對CR0的保護，過去已有的技術無法很好

3、的阻止Rootkit修改寄存器。虛擬化技術是先到先得的方式，一旦開啟虛擬機后，其它程序無法再進入虛擬機，從而防御了虛擬機Rootkit的入侵。本課題內(nèi)存保護技術主要包括內(nèi)存隱藏，內(nèi)存欺騙、進程控制和代碼注入幾個部分。內(nèi)存隱藏是指VMM有自己的一套頁表，它可以對操作系統(tǒng)隱藏實際的物理地址。內(nèi)存欺騙是通過返回一些無用的頁面的方法使操作系統(tǒng)以為找到了實際的物理地址，實際上該地址不是真正的物理地址。進程控制通過VMM截獲系統(tǒng)調(diào)用，然后模擬系統(tǒng)調(diào)