虛擬化架構(gòu)中良好的隔離性、相對(duì)于操作系統(tǒng)來(lái)說更高的抽象層次以及更小的可信計(jì)算基等特性為解決安全領(lǐng)域中的舊難題提供了新思路。但是虛擬化技術(shù)在為用戶帶來(lái)方便的同時(shí),也為惡意程序提供了更多的攻擊路徑以及攻擊面,虛擬化安全問題亟待解決。Rootkit攻擊是虛擬化安全面臨的主要威脅之一,惡意程序利用Rootkit技術(shù)隱藏自身來(lái)躲避安全工具的監(jiān)測(cè),并且利用系統(tǒng)的缺陷攻擊系統(tǒng)。而內(nèi)核級(jí)Rootkit運(yùn)行于內(nèi)核空間,具備更高的權(quán)限,它通過對(duì)虛擬機(jī)內(nèi)核完整性的破壞試圖控制整個(gè)系統(tǒng)運(yùn)行,嚴(yán)重威脅著虛擬機(jī)內(nèi)核的安全。針對(duì)虛擬機(jī)內(nèi)核完整性保護(hù)問題,提出了一種被動(dòng)保護(hù)的方式,利用硬件虛擬化擴(kuò)展機(jī)制截獲特權(quán)指令、敏感指令和中斷。為了保護(hù)內(nèi)核數(shù)據(jù)、代碼以及關(guān)鍵寄存器,一方面為關(guān)鍵的內(nèi)核數(shù)據(jù)與代碼創(chuàng)建隔離的IEPT頁(yè)表并設(shè)置頁(yè)表的訪問權(quán)限,使其運(yùn)行在獨(dú)立隔離的地址空間內(nèi)。一方面利用硬件虛擬化的“陷入”機(jī)制使得關(guān)鍵寄存器一旦被篡改便下陷到VMM,阻止內(nèi)核級(jí)Rootkit的惡意攻擊,保障內(nèi)核數(shù)據(jù)的完整性。在虛擬機(jī)內(nèi)核完整性檢測(cè)方面,提出了一種主動(dòng)檢測(cè)隱藏進(jìn)程的方法,通過監(jiān)控內(nèi)核動(dòng)態(tài)數(shù)據(jù)的內(nèi)存分配與釋放,構(gòu)建內(nèi)核對(duì)象的映射關(guān)...

【文章頁(yè)數(shù)】：55 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２系統(tǒng)總體架構(gòu)Ｆｉｇ．２Ｓｙｓｔｅｍａｒｃｈｉｔｅｃｔｕｒｅ

存地址的指針以及頁(yè)的一些特定信息．圖１中“ｒ”為讀權(quán)限，“ｗ”為寫權(quán)限，“ｅ”為執(zhí)行權(quán)限．內(nèi)核提供了設(shè)置權(quán)限的函數(shù)：ｐｔｅ＿ｍｋｒｅａｄ設(shè)置讀權(quán)限、ｐｔｅ＿ｍｋｗｒｉｔｅ設(shè)置寫權(quán)限．ＣＰＵ在進(jìn)行操作的時(shí)候，頁(yè)面如果受過寫訪問就轉(zhuǎn)入ｄｉｒｔｙ隊(duì)列．通過ｄｉｒｔｙ去標(biāo)識(shí)某個(gè)頁(yè)是否可以....

圖３系統(tǒng)工作過程Ｆｉｇ．３Ｓｙｓｔｅｍｗｏｒｋｉｎｇｐｒｏｃｅｓｓ

、堆棧等重要的數(shù)據(jù)結(jié)構(gòu)如系統(tǒng)調(diào)用表、進(jìn)程控制塊、頁(yè)表、文件的索引節(jié)）放入一個(gè)內(nèi)存隔離域中．ＶＭＭ為ＧｕｅｓｔＯＳ和隔離域提供不同的ＥＰＴ，以實(shí)現(xiàn)隔離；為隔離域創(chuàng)建獨(dú)立的ＥＰＴ頁(yè)表，稱為ＩｓｏｌａｔｅＥＰＴ，簡(jiǎn)稱為ＩＥＰＴ；客戶虛擬機(jī)內(nèi)核頁(yè)表稱為ＧｕｅｓｔＥＰＴ，簡(jiǎn)稱為ＧＥＰＴ．設(shè)....

圖７安全性測(cè)試結(jié)果Ｆｉｇ．７Ｓａｆｅｔｙｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓ

ｎｄｏｗｓ７．實(shí)驗(yàn)選取了幾類典型Ｒｏｏｔｋｉｔ，包括以下惡意功能：提供ｒｏｏｔ后門，控制內(nèi)核模塊的加載，隱藏文件，系統(tǒng)調(diào)用掛鉤技術(shù)（ＩＤＴＨｏｏｋ，ＳＳＤＴＨｏｏｋ）、內(nèi)核數(shù)據(jù)結(jié)構(gòu)修改（即修改控制流）以及深度內(nèi)聯(lián)ＩｎｌｉｎｅＨｏｏｋｉｎｇ．４．２有效性測(cè)試實(shí)驗(yàn)中加載Ｒｏｏｔｋｉｔ....

圖2-1VMX及其運(yùn)行模式切換

圖2-1VMX及其運(yùn)行模式切換存虛擬化VT利用擴(kuò)展頁(yè)表EPT(ExtendedPageTable)在硬件上完成客戶機(jī)虛擬址的地址轉(zhuǎn)換，EPT由VMM負(fù)責(zé)創(chuàng)建與維護(hù)。EPT特性加入之前表機(jī)制來(lái)實(shí)現(xiàn)地址轉(zhuǎn)換，但是其缺點(diǎn)也比較明顯：引入的開銷較大并復(fù)雜。由于EPT....

本文編號(hào)：4036379