[发明专利]虚拟机安全性应用程序的事件过滤

权利要求书

1.一种主机系统，其包括硬件处理器及存储器，所述硬件处理器经配置以执行虚拟机VM、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行，所述硬件处理器进一步经配置以：

响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生异常；以及

响应于所述异常，从执行所述软件实体切换到执行所述事件过滤器；

其中所述事件过滤器经配置以：

响应于所述异常，确定所述存储器位置当前是否存储了所述硬件处理器用来执行所述VM的存储器地址转换的页表条目的一部分，所述部分包括控制位或存储器地址；

作为响应，当所述存储器位置当前存储了所述页表条目的所述部分时，触发VM退出事件以致使所述硬件处理器暂停所述VM的执行并切换到执行所述自检引擎；及

当所述存储器位置当前没有存储所述页表条目的所述部分时，致使所述硬件处理器重新开始执行所述软件实体而不触发所述VM退出事件；

且其中响应于所述VM退出事件，所述自检引擎经配置以确定所述尝试是否为恶意的。

2.根据权利要求1所述的主机系统，其中所述自检引擎进一步经配置，为准备执行所述事件过滤器，以将所述事件过滤器注入到在所述VM内执行的另一软件实体中，其中注入所述事件过滤器包括将所述事件过滤器的至少一部分写入所述存储器当前分配给所述另一软件实体的区段。

3.根据权利要求2所述的主机系统，其中所述另一软件实体是所述VM的操作系统的驱动程序。

4.根据权利要求1所述的主机系统，其中所述事件过滤器进一步经配置以：

汇编受保护存储器区段的名单，针对每一受保护存储器区段，所述名单包括所述每一受保护存储器区段的地址和存储在所述每一受保护存储器区段内的资产类型的指示符；以及

根据所述名单确定所述存储器地址当前是否存储所述页表条目的所述部分。

5.根据权利要求1所述的主机系统，其中确定所述尝试是否为恶意包括：

采用所述自检引擎来确定所述尝试是否由在所述虚拟机内执行的操作系统的组件执行；及

作为响应，当所述尝试由所述操作系统的所述组件执行时，确定所述尝试并非恶意的。

6.一种保护主机系统免受计算机安全性威胁的方法，其中所述主机系统包括硬件处理器及存储器，所述硬件处理器经配置以执行虚拟机VM、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行，所述方法包括：

将所述硬件处理器配置成响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生第一异常；

将所述硬件处理器配置成响应于所述第一异常而从执行所述软件实体切换到执行所述事件过滤器，其中执行所述事件过滤器包括：

响应于所述异常，确定所述存储器位置当前是否存储了所述硬件处理器用来执行所述VM的存储器地址转换的页表条目的一部分，所述部分包括控制位或存储器地址；

作为响应，当所述存储器位置当前存储了所述页表条目的所述部分时，触发VM退出事件以致使所述硬件处理器暂停所述VM的执行并切换到执行所述自检引擎；及

当所述存储器位置当前没有存储所述页表条目的所述部分时，致使所述硬件处理器重新开始执行所述软件实体而不触发所述VM退出事件；

采用所述自检引擎来确定所述尝试是否为恶意的。

7.根据权利要求6所述的方法，进一步包括，在准备执行所述事件过滤器时，使用所述自检引擎以将所述事件过滤器注入到在所述VM内执行的另一软件实体中，其中注入所述事件过滤器包括将所述事件过滤器的至少一部分写入所述存储器当前分配给所述另一软件实体的区段。

8.根据权利要求7所述的方法，其中所述另一软件实体是所述VM的操作系统的驱动程序。