[发明专利]处理、生成内核镜像的方法、内核初始化方法、装置和设备

说明书

本发明提供了一种处理、生成内核镜像的方法、内核初始化方法、装置和设备，在内核镜像所对应的虚拟地址空间中插入干扰分页；在内核初始化阶段，从所述干扰分页中选取部分或全部干扰分页，并使选取的干扰分页不存在映射的物理地址。这种方式使得攻击者在利用内核任意地址可读漏洞时，扫描到不存在映射的物理地址的干扰分页时，返回异常，从而难以稳定地扫描内核虚拟地址空间，在一定程度上提升了攻击的难度，提高内核信息的安全性。

【技术领域】

本发明涉及计算机应用技术领域，特别涉及一种处理、生成内核镜像的方法、内核初始化方法、装置和设备。

【背景技术】

内核是操作系统的核心部分，内核信息泄露漏洞关系着整个操作系统的安全。内核任意地址可读漏洞作为内核信息泄露漏洞的一种，通过分析内核镜像或描述内核的物理地址分布的文件(例如“/proc/iomem文件”)等获得内核镜像的起始和结束物理地址中的一个，然后根据线性映射规则算出内核的起始和结束虚拟地址，再进一步通过扫描内核的虚拟地址空间获取内核信息。因此，攻击者可以通过内核任意地址可读漏洞获取到内核信息，极大地威胁到内核的安全性。

【发明内容】

有鉴于此，本发明提供了一种处理、生成内核镜像的方法、内核初始化方法、装置和设备，针对内核任意地址可读漏洞，提高内核信息的安全性。

具体技术方案如下：

本发明提供了一种处理内核镜像的方法，该方法包括：

在内核镜像所对应的虚拟地址空间中插入干扰分页；

在内核初始化阶段，从所述干扰分页中选取部分或全部干扰分页，并使选取的干扰分页不存在映射的物理地址。

根据本发明一优选实施方式，所述在内核镜像所对应的虚拟地址空间中插入干扰分页包括：

在内核镜像对应的链接脚本中插入命令，所述命令用于在所述内核镜像所对应的虚拟地址空间中插入干扰分页，所述干扰分页不存在映射的物理地址。

根据本发明一优选实施方式，所述干扰分页包括空白分页。

根据本发明一优选实施方式，从所述干扰分页中选取部分或全部干扰分页包括：

随机从所述干扰分页中选取部分或全部干扰分页。

根据本发明一优选实施方式，所述使选取的干扰分页不存在映射的物理地址包括：

在内核镜像的虚拟地址映射到物理地址后，删除页表中所述选取的干扰分页的映射关系，以使所述选取的干扰分页无法映射到物理地址。

根据本发明一优选实施方式，所述使选取的干扰分页不存在映射的物理地址包括：

在将内核镜像的虚拟地址映射到物理地址的过程中，对所述选取的干扰分页不进行映射，使得页表中不存在所述选取的干扰分页的虚拟地址到物理地址的映射关系。

本发明还提供了一种生成内核镜像的方法，该方法包括：

在内核镜像对应的链接脚本中插入命令，所述命令用于在所述内核镜像所对应的虚拟地址空间中插入干扰分页，所述干扰分页不存在映射的物理地址。

根据本发明一优选实施方式，所述干扰分页包括空白分页。

根据本发明一优选实施方式，所述内核镜像所对应的虚拟地址空间中插入的干扰分页为不连续的干扰分页。

根据本发明一优选实施方式，在所述内核镜像所对应的虚拟地址空间中插入干扰分页包括：

在与内核镜像的起始虚拟地址的距离在预设百分比之内的地方插入有干扰分页；和/或，

在与内核镜像的结束虚拟地址的距离在预设百分比之内的地方分别插入有干扰分页。