[发明专利]基于硬件虚拟化的密码保护系统

权利要求书

1.一种基于硬件虚拟化的密码保护系统，其特征在于，该系统包括指令截获模块(1)、内核保护模块(2)、密码保护模块(3)和调度管理模块(4)；

指令截获模块(1)和内核保护模块(2)位于虚拟机管理器层，密码保护模块(3)和调度管理模块(4)位于操作系统内核层；

调度管理模块(4)用于提供交互接口，方便调用程序和虚拟机管理器、调用程序和密码保护模块(3)交互；在装载虚拟机管理器过程中，调度管理模块(4)接收来自调用程序的装载虚拟机管理器请求，动态加载虚拟机管理器来接管操作系统；在保护过程中，调度管理模块(4)接收受保护的进程标志符，并将受保护的进程标志符传递给密码保护模块(3)；在卸载虚拟机管理器过程中，调度管理模块(4)接收来自调用程序的卸载虚拟机管理器请求，动态卸载虚拟机管理器以恢复操作系统的最高权限；

密码保护模块(3)用于防止恶意程序通过键盘状态相关应用程序编程接口获取按键；同时防止恶意程序通过消息钩子获取按键；

指令截获模块(1)用于对特权指令进行截获，并且将当前特权指令信息传递给内核保护模块(2)，使得执行流程从操作系统内核层进入虚拟机管理器中；

内核保护模块(2)用于防止rootkit修改操作系统内核；它接收指令截获模块(1)传递的指令信息。如果这条特权指令不涉及修改操作系统内核，内核保护模块(2)直接执行这条特权指令，并将结果返回给操作系统；如果这条特权指令涉及修改操作系统内核，内核保护模块(2)对当前指令分情况处理，并通知操作系统执行下一条指令。

2.根据权利要求1所述的基于硬件虚拟化的密码保护系统，其特征在于，如果特权指令为关闭控制寄存器CR0写保护的指令，内核保护模块(2)只需跳过当前指令，然后返回客户操作系统执行；如果特权指令为修改中断描述符表的指令，内核保护模块(2)改写虚拟机控制结构中客户操作系统中断描述符表寄存器基址字段，然后返回客户操作系统执行；如果特权指令为修改系统调用入口函数地址寄存器的指令，内核保护模块(2)只需跳过当前指令，然后返回客户操作系统执行。