[发明专利]虚拟机中的页面错误注入

权利要求书

1.一种用于保护计算机系统免受恶意软件影响的主机系统，所述主机系统包括硬件处理器，其经配置以操作：

管理程序，其经配置以暴露包括虚拟化处理器及虚拟化存储器的虚拟机，所述虚拟机经配置以利用所述虚拟化处理器执行目标进程，其中暴露所述虚拟机包括配置数据结构以存储所述虚拟化处理器的当前状态，所述数据结构包括事件注入字段，当所述事件注入字段设置为预定值时，致使所述虚拟化处理器产生页面错误；以及存储器自省引擎，其在所述虚拟机外部执行且经配置以：

根据所述虚拟机的页面表确定所述目标进程的虚拟存储器空间的目标页面是否被换出所述虚拟化存储器；以及

作为响应，当所述目标页面被换出所述虚拟化存储器时，直接将所述页面错误注入到所述虚拟机中，所述页面错误使得所述虚拟机的操作系统将所述目标页面映射到所述虚拟化存储器的页面，其中直接注入所述页面错误包括所述存储器自省引擎将所述预定值写入所述事件注入字段。

2.根据权利要求1所述的主机系统，其中直接注入所述页面错误包括：所述存储器自省引擎将所述目标页面的虚拟地址写入到所述虚拟化处理器的寄存器。

3.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以：

为直接注入所述页面错误做准备，根据所述虚拟化处理器的所述当前状态确定是否满足注入条件；以及

作为响应，当满足所述注入条件时直接注入所述页面错误。

4.根据权利要求3所述的主机系统，其中确定是否满足所述事件注入条件包括：确定所述虚拟化处理器的中断请求级别IRQL。

5.根据权利要求3所述的主机系统，其中确定是否满足所述事件注入条件包括：确定所述虚拟化处理器当前在其下执行的权限级别。

6.根据权利要求3所述的主机系统，其中确定是否满足所述事件注入条件包括：确定所述虚拟化处理器的当前执行上下文。

7.根据权利要求3所述的主机系统，其中响应于确定所述注入条件是否被满足，所述存储器自省引擎进一步经配置以当所述注入条件没有被满足时，延迟注入所述页面错误直到所述注入条件被满足。

8.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置响应于直接注入所述页面错误以：

检测所述目标页面的页面表项目的修改；以及

作为响应，根据所述修改确定所述目标页面是否被映射到所述虚拟化存储器的所述页面。

9.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以根据所述目标页面的内容确定所述目标进程是否为恶意的。

10.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置以拦截对所述目标页面的内容的试图修改。

11.根据权利要求1所述的主机系统，其中所述存储器自省引擎进一步经配置为确定所述目标页面是否被换出所述虚拟化存储器做准备以：

检测所述虚拟化处理器的事件，所述事件指示在所述虚拟机内的所述目标进程的开始；以及

作为响应，根据所述事件确定所述目标页面的虚拟地址。