[发明专利]虚拟机客户操作系统内真实进程信息的探测方法

说明书

技术领域

本发明涉及对虚拟机客户操作系统中所有进程的信息进行探测的方法，尤指一种利用CR3寄存器来探测虚拟机客户操作系统内真实进程信息的方法。

背景技术

目前，大量安全产品需要在虚拟层分析客户操作系统全部进程的信息，如基于虚拟机技术的入侵检测系统、恶意代码分析工具等。然而，由于在虚拟机内部并没有像标准应用程序编程接口那样的接口来获取客户操作系统的进程信息等，即虚拟机中的客户操作系统的内部状态对虚拟机来说是完全透明的，因此在虚拟层很难直接获取客户操作系统内部进程信息。

为了解决这一问题，研究人员设计了一些方法，工作在虚拟层，基于所能获取到的特定信息，来反推出上层客户操作系统的进程信息。目前公开的工作于虚拟层的客户操作系统进程信息探测方法均是基于显式信息。所谓“显式信息”是指操作系统运行环境内，可被该操作系统内运行的软件（包括用户态软件和核心态软件）修改且不影响操作系统正常运行的数据。例如，VMI（见Garfinkel T,Rosenblum M.等人的论文“A Virtual Machine Introspection Based Architecture for Intrusion Detection”）利用特定版本操作系统的调试符号信息，通过直接读取客户操作系统内存，探测出相应的操作系统关键数据结构。IntroVirt（见Joshi A,King S T,Dunlap G W等人的论文“Detecting Past and Present Intrusions through Vulnerability-Specific Predicates”）利用操作系统核心函数（如fork、exec和mmap等）的实现信息来探测客户操作系统相应的关键系统事件。

这些基于显式信息的操作系统信息探测方法虽然对探测进程信息便捷有效，但是这些方法依赖的信息源（主要是客户环境的内存数据）容易被客户操作系统内的特权恶意代码篡改。因此，如果进程列表已被恶意代码篡改，则即使在虚拟层读取客户操作系统内存并探测出操作系统的进程列表，进程列表也是不完整的，使得恶意代码难以被发现。

发明内容

本发明要解决的技术问题是：针对基于显式信息的操作系统进程信息探测方法易被特权恶意代码攻击的不足，提供一种基于隐式信息的进程信息探测方法，利用恶意代码无法篡改的隐式信息来探测到客户操作系统中的真实进程信息。

为解决上述问题，本发明的技术方案是：

在虚拟层分析来自虚拟设备的隐式信息，获得客户操作系统中的真实进程列表（简称为TVPL，Trusted View of Process List）。与显式信息相反，所谓“隐式信息”是指操作系统运行环境内，运行的软件（包括用户态软件和核心态软件）无法破坏其完整性的数据，或破坏其完整性将直接导致操作系统崩溃的数据。本发明主要涉及两类隐式信息：CR3寄存器的内容、进程执行体信息块（Executive Process Block，EPROCESS）所在的内存页。CR3寄存器的内容是一种重要的“隐式信息”。CR3寄存器指向一个进程的地址空间的页目录，因此，CR3寄存器与进程形成了一一映射关系。利用动态指令转换技术（一种虚拟化技术，参见“QEMU,a Fast and Portable Dynamic Translator”,USENIX Annual Technical Conference,FREENIX Track.2005:41-46.“QEMU,一种快速轻便的动态翻译器”），可以捕获到虚拟机内所有修改CR3寄存器的操作，利用这一特性通过监视CR3寄存器的变化可获取真实进程列表TVPL。Windows平台下，存储进程信息的内核数据结构进程执行体信息块（Executive Process Block，EPROCESS）所在的内存页也是一种重要的隐式信息。TVPL采用红黑树（一种能够快速查找、插入、删除节点的数据结构，参见Rudolf Bayer在1972年发表的论文“Symmetric binary B-Trees:Data structure and maintenance algorithms对称二叉B树：数据结构及维护算法”，以及Leonidas J.Guibas和Robert Sedgewick在1978年发表的论文“A Dichromatic Framework for Balanced Trees平衡树的一种双色框架”）存储，红黑树的每个节点包含一个进程的信息，由该进程所对应的CR3寄存器的值索引。本发明具体步骤为：