[发明专利]基于轻量虚拟机监控器的沙盒系统及用其监控OS的方法

权利要求书

1.一种基于轻量虚拟机监控器的沙盒系统，包括支持硬件虚拟化或支持硬件虚拟化技术的处理器，其特征在于，它还包括：虚拟化管理模块、沙盒安全策略模块、虚拟机通信模块和轻量虚拟化沙盒模块；

所述的虚拟化管理模块用于动态载入所述轻量虚拟化沙盒模块，和/或用于动态卸载所述轻量虚拟化沙盒模块；

所述的沙盒安全策略模块包含配置文件，该配置文件定义了沙盒系统的安全策略，并且它由可疑进程列表、重定向保护路径和重定向文件路径信息三部分组成；

所述的虚拟机通信模块能够将所述沙盒安全策略模块中包含的配置文件中的安全策略传递给所述的轻量虚拟化沙盒模块；

所述的轻量虚拟化沙盒模块是指为了完成监控和拦截相应的目标进程及系统调用功能的特定轻量虚拟机监控器，它不具备有虚拟化资源设备和创建多个虚拟机的能力；它包括监控拦截模块和保护实施模块；

所述的监控拦截模块通过所述的虚拟机通信模块获取配置文件中的可疑进程列表，然后，对可疑进程列表的目标进程和系统调用进行监控；所述的保护实施模块接收监控拦截模块拦截的系统调用，获取目标进程打开文件的全路径名称，从全路径中获取文件名，将其读写操作重定向到所述配置文件设定的保护路径下的同名文件中，并将匹配信息写入所述的重定向路径信息文件中；

所述的虚拟化管理模块、沙盒安全策略模块和虚拟机通信模块驻留在用户操作系统中，随着操作系统启动加载到操作系统中；所述轻量虚拟化沙盒模块由用户的动态载入而载入或动态卸载而卸载。

2.如权利要求1所述的沙盒系统，其特征在于，其中所述监控拦截模块对可疑进程列表和所述系统调用列表中的目标进程和系统调用进行监控时，以其进程名称作为识别是否为目标进程的主要依据；

以进程切换造成的CR3控制器改变时作为拦截点，先识别出目标进程，然后，在截获点处将目标进程拦截；

以缺页中断发生时作为截获点截获系统调用，以系统调用号作为识别目标系统调用的依据；先将所有系统调用截获，再识别是否为目标系统调用；如果目标系统调用是目标进程所执行的，则将操作转入轻量虚拟机沙盒。

3.如权利要求1或2所述的沙盒系统，其特征在于，当所述的保护实施模块依据所述的配置文件中用户配置的沙盒策略判定进程为可信进程时，才将保护路径下的文件重新写入原文件，然后，轻量虚拟机沙盒继续监控客户操作系统，直到被卸载为止。

4.如权利要求1至3项中任何一项的沙盒系统，其特征在于，所述的虚拟机通信模块通过共享内存的方式将所述的配置文件发送给所述的轻量虚拟化沙盒模块。

5.如权利要求1至4任何一项所述的沙盒系统，其特征在于，用户在配置文件中加入指定不信任进程或程序，和设定重定向保护路径，重定向文件路径信息记录进程或程序和设定重定向保护路径之间的对应关系，来配置安全策略。

6.如权利要求1-5中任何一项所述的沙盒系统，其特征在于，保护实施模块仅采用写操作重定向方式。

7.利用权利要求1至6任一项所述的沙盒系统来监控OS的方法，包括以下步骤：

1）用户依据其保护需求，定义沙盒安全策略；

2）启动基于轻量虚拟机的沙盒系统；

3）轻量虚拟机沙盒对沙盒安全策略中定义的可疑进程列表进行监控；

4）当监控到目标程序的进程后，跟踪目标进程的系统调用，将目标进程的写操作重定向到沙盒安全策略定义的目录；

5）返回到步骤3，直到被用户卸载。

8.如权利要求7所述的监控OS的方法，其特征在于，步骤1）定所述的定义沙盒安全策略包括以下操作：

定义可疑进程或程序列表，即定义了沙盒系统要隔离的目标；

定义重定向保护路径；和

定义重定向文件路径信息，即定义可疑进程或程序与重定向保护路径之间的映射关系。

9.如权利要求7或8所述的监控OS的方法，其特征在于，步骤3）对所述的可疑进程列表监控包括以下操作：

当进程切换造成的CR3控制器改变时，先以其进程名称作为识别识别出目标进程，然后，将目标进程拦截；

当缺页中断发生时，以系统调用号作为识别目标系统调用的依据截获系统调用，先将所有系统调用截获，再识别是否为目标系统调用；

如果目标系统调用是目标进程所执行的，则将操作转入轻量虚拟机沙盒。

10.如权利要求7至9任一项所述的监控OS的方法，其特征在于，步骤4）所述的写操作重定向到沙盒安全策略定义的目录，包括以下操作：

首先，所述的保护实施模块接收所述的监控拦截模块拦截的写系统调用，获取目标进程打开文件的全路径名称，再从全路径中获取文件名；

然后，将其缓冲区重定向到保护路径下的同名文件中，并将匹配信息写入重定向路径信息文件中。