[发明专利]用于在系统管理程序环境中进行内核ROOTKIT保护的系统和方法

说明书

技术领域

本发明一般涉及计算机网络领域，更具体而言，涉及用于在系统管理程序(hypervisor)环境中进行内核rootkit保护的系统和方法。

背景

计算机网络安全领域在当今社会变得越来越重要并复杂化。为几乎每一企业或组织配置了计算机网络环境，通常带有多个互连的计算机(例如，最终用户计算机、膝上型计算机、服务器、打印设备等等)。此外，云服务提供商(及运行多个应用程序和操作系统的其他组织)可以使用系统管理程序技术来同时在主机设备上运行各种不同的来宾(guest)操作系统。系统管理程序是允许多个操作系统同时在主机计算机上运行的计算机软件／硬件平台虚拟化软件。安全威胁会在系统管理程序环境的外部和内部产生。系统管理程序环境中的这些威胁会给IT管理员带来进一步的挑战。

附图简述

为提供对本发明以及其特征和优点的比较完整的理解，将参考与附图一起进行的下面的描述，其中，相同参考编号表示相同部件，其中：

图1是示出了根据示例实施例的用于在系统管理程序环境中进行内核rootkit保护的系统的组件的简化框图；以及

图2是可以与本发明的实施例相关联的示例操作步骤的简化流程图。

示例实施例的详细描述

概览

在示例实施例中，系统和方法包括用于创建具有对应于系统管理程序环境中的来宾操作系统的每一个来宾内核页的条目的软白名单的模块，其中，每一个条目都是对应的来宾内核页的重复页，当一进程试图访问来宾内核页时生成页错误，以及将该进程重定向到对应于来宾内核页的重复页。如果页错误是数据页错误，则该方法包括修复页错误，并将对应于来宾内核页的页表条目标记为非可执行的和可写入的。如果页错误是指令页错误，则该方法包括将对应于来宾内核页的页表条目标记为只读。

在示例实施例中，重新定向进程包括将来宾内核页的虚拟地址指向对应于来宾内核页的重复页的机器页帧号。其他实施例包括在系统管理程序的阴影页表中将每一个来宾内核页的页表条目标记为NOT_PRESENT(不_存在)。其他实施例可以包括在域创建过程中在系统管理程序中设置锁合(lockdown)特征比特，以启用rootkit保护。

在某些实施例中，在来宾OS在引导时加载内核组件之后创建软白名单。可以通过漫步(walk)系统管理程序的阴影页表并将每一个来宾内核页的虚拟地址映射到对应的重复页的机器页帧号来创建软白名单。在又一些其他实施例中如果，如果来宾OS没有加载至少某些内核组件，则该方法包括将每一个来宾内核页的虚拟基地址映射到对应的重复页的机器页帧号及其他特征。

示例实施例

图1是示出了用于在系统管理程序环境中进行内核rootkit保护的系统10的示例实现的简化框图。如此处所使用的，“系统管理程序”是可使一个或多个操作系统(OS)(被称为来宾OS)在主机设备(例如，计算机)上同时运行的硬件虚拟化实体。虚拟化可使来宾OS在隔离的虚拟环境(通常被称为虚拟机，或来宾)中未修改地运行，在那里，再现了主机设备的物理特征和行为。更具体而言，来宾可以表示配备有虚拟硬件(处理器、存储器、磁盘、网络接口等等)的隔离的，虚拟环境。根据图1中所示出的实施例，系统10包括向来宾14提供虚拟化环境的系统管理程序12。可以在本发明的广泛的范围内在系统管理程序12上主存任意数量的来宾。为便于说明，在图1中象征地示出了单一来宾。

系统管理程序12控制并管理被分配供来宾14使用的主机设备(未示出)的硬件16。来宾14可以在系统管理程序12上运行来宾OS18。来宾OS18可以支持一个或多个应用程序20(此处以单数作为应用程序20来引用应用程序中的一个)。如此处所使用的，术语“应用程序”从广义来讲用于一般地指代任何软件文件、库模块、函数、子例程、二进制、指令集、代码块，或包括可以被计算机理解和处理(有或者没有协助，例如，编译，解释等等))的指令的其他类似的操作单元。