[发明专利]一种基于虚拟化技术的无代理客户机进程防护方法

说明书

本发明公开了一种基于虚拟化技术的无代理客户机进程防护方法，包括步骤：在KVM中透明获取windows非换页内存页，记录内存页的起始地址到虚拟机对应的KVM结构体中；注入虚拟机信息；设置IA32‑SYSENTER_EIP寄存器为新注入的KiFastCallEntry函数地址，对KiSystemService函数执行挂钩；对原有的SSDT内容执行清除；设置VMCS结构相关字段，设置IA32‑SYSENTER_EIP寄存器的读写陷入和取指令型的pagefault异常陷入；虚拟机监视器拦截客户机的取指令pagefault异常，对当前操作进行分析，返回结果到客户机，完成一次访问的处理。本发明保证了系统功能的安全执行，且不需要在客户机内部安装代理驱动，就不需要考虑代理驱动的安全，对虚拟机的性能影响也降到最低。

技术领域

本发明涉及客户机进程防护领域，具体涉及一种基于虚拟化技术的无代理客户机进程防护方法。

背景技术

近年来，云计算技术发展迅速。一方面，利用云服务，客户可以节省大笔的硬件成本以及维护开销；另一方面，作为云厂商，在把服务提供给用户的同时，可以更专注于云服务本身的研究，推动云计算技术的发展。而客户为了降低成本，越来越多的服务被迁移到云平台的虚拟机中。但是美国国家标准机构NIST发布的《完全虚拟化安全指南》指出，在传统主机中面临的安全威胁，在虚拟机中同样存在。基于操作系统的特点，进程作为动作发起的实体，独立运行于系统中，因此进程成为恶意攻击的首要目标。基于此，研究虚拟机进程防护技术具有极大现实意义。

SSDT：SSDT(System Services Descriptor Table)是系统调用表，用户程序的行为要具体落实，最终都要通过某种途径调用到具体的系统调用，由对应的系统调用去执行，SSDT的重要性就不言而喻了。也正因如此，SSDT一直以来都是攻击和防护的要点。恶意攻击者常通过挂钩特定的系统调用，修改进程的执行流，进而指导进程的行为。而防护者同样也挂钩关键的系统调用，从而保护自身服务不被攻击。而用户程序调用系统的方式并不是各行其路，是有一个唯一的入口，通过这个入口，CPU陷入到内核态，然后由系统调用分发函数进行具体调用的分发。由此可见，这个入口就至关重要。

在windows XP之前是采用软中断的方式，即int 2e的方式陷入到内核，在后来windows XP以及后来的版本都采用了快速系统调用指令sysenter/syscall的方式陷入到内核，X86架构使用sysenter指令。IA32_SYSENTER_EIP寄存器保存系统调用内核空间的入口函数地址，x86架构下就是KiFastCallEntry函数的地址。在执行sysenter指令时，IA32_SYSENTER_EIP寄存器的值被加载到当时的EIP寄存器中，从而KiFastCallEntry函数得到执行。因此，通过设置IA32_SYSENTER_EIP寄存器的值，可以手动设置系统调用入口。

非换页内存：非换页内存是位于系统地址空间，在系统运行过程中不会被换出到外存，且非换页内存的页表是在系统初始化时期就建立完成，因此系统运行期间，非换页区的地址不会发生pagefault异常，因此要构建新的SSDT必须要使用非换页区的内存。

句柄：windows的句柄类似于Linux下的文件描述符。当打开一个对象就返回一个关于此对象的句柄，有了该句柄就可以访问该对象。当然，在打开对象的时候会写入权限位，即句柄实际上是有权限划分的。句柄在windows中其实本质就是索引，系统为每个进程维护了一个局部的句柄表，同时系统还有一个全局的句柄表。前者用于进程自己打开的各种对象的句柄，比如文件、进程、设备等，方便文件访问某个对象。后者用于为每个进程、线程申请ID，即PID本质上也是句柄表中的索引。

FS寄存器：x86架构下的windows系统在内核模式下，FS寄存器指向当前处理器的结构KPCR，通过KPCR可以获取到当前线程、进程以及其他的一些核心信息。