基于虛擬化技術的內核代碼保護機制.pdf

1、近幾年來，隨著黑客技術特別是Rootkit技術的發(fā)展，攻擊者們已經把觸角伸入到了操作系統的內核。操作系統的內核代碼面臨著嚴重的威脅。目前，保護操作系統安全的辦法有防火墻、入侵檢測系統、入侵恢復系統和安全操作系統等。這些系統規(guī)模較大，設計復雜，且不能很好地應對新的攻擊技術給內核代碼帶來的威脅。另一方面，虛擬化技術的復興給安全領域的研究帶來了新的曙光。由于虛擬化技術本身具有天然的安全優(yōu)勢，它已經被廣泛地運用于各個安全領域的研究中。而許多最新

2、的研究成果都表明，利用虛擬化技術增強操作系統的安全性是一種行之有效的辦法。 本文對各種相關的虛擬化系統進行了調研，分析了這些虛擬化系統的優(yōu)缺點，指出了它們在設計和實現中遇到的關鍵問題，并總結了它們在問題解決過程中的經驗和教訓。在此基礎之上，本文設計并且實現了一種基于虛擬化技術的操作系統內核代碼保護系統。本系統的特色在于：沒有采用傳統的防守策略，而是巧妙地利用了當前CPU的特性，用虛擬化的方法在操作系統層引入了哈佛內存體系結構的特

3、征，采用將非法操作進行重定位的方法來保護內核代碼、對抗內核級Rootkit一類攻擊的威脅；由于沒有引入新的軟件層次，且系統的實現代碼都經過了精心的設計和優(yōu)化，充分地利用了底層硬件特性，因而完全不影響操作系統的正常功能，對系統的性能影響也很??；另外，本系統還能夠將攻擊行為記錄下來，為入侵分析提供有用的信息。 實驗表明，與類似的系統相比，本文的虛擬化系統具有較好的安全性，能夠抵御內核級Rootkit對內核代碼的惡意篡改，且在性能表現