[发明专利]一种基于内核调试器的虚拟化逃逸防御方法

说明书

本发明是一种基于内核调试器的虚拟化逃逸防御方法，主要步骤包括：命令读取，在Windbg内核调试器中附加虚拟机进程，读取进程接收的RPCI命令；数据包解析，对RPCI命令中的可疑指令进行解析，判断数据包长度是否存在溢出可能；内存分配保护，存在溢出可能时，对目标块的分配方式进行自动化判别，并实现地址的可预测性；溢出防御，自动化判定溢出点和被溢出对象的地址关系，对溢出攻击行为进行提前预警。本发明采用Windows操作系统下的内核调试器Windbg，对虚拟化环境下的可疑溢出行为进行自动化判别，精准预测堆布局，可以有效防御虚拟机逃逸攻击，实现更加高效完备的堆溢出防范，保障虚拟化环境的安全。

技术领域

本发明属于虚拟化安全技术领域，具体的是涉及计算机操作系统和虚拟化技术，尤其是一种基于内核调试器的虚拟化逃逸防御方法。

背景技术

随着云计算技术的快速应用，传统的独立主机模式已经满足不了用户的需求，越来越多的虚拟化环境出现，虚拟化技术最早是由牛津大学的计算机教授，克里斯·托弗于1959年，在一篇名为《大型高速计算机中的时间共享》的学术报告中提出，这篇文章被认为是最早的虚拟化技术论述，从此拉开了虚拟化发展的帷幕。在计算机科学中，虚拟化技术是一种资源管理或者资源优化技术，将计算机的各种物理资源例如CPU、内存以及磁盘空间、网络适配器等I/O设备予以抽象、转换，然后呈现出一个可供分割或组合的虚拟化环境。虚拟化技术打破了计算机内部实体结构间不可切割的障碍，使用户能以更好的配置方式来应用这些计算机硬件资源。而这些资源的虚拟形式将不受现有架设方式、地域或物理配置所限制。

相对于普通的PC，虚拟化环境的优势显而易见：首先，虚拟化可以支持实现物理资源和资源池的动态共享，提高资源利用率；其次，通过虚拟化可以实现动态的资源部署和重配置，满足不断变化的业务需求；此外，虚拟化可以实现更高级别的隔离和划分，实现对数据和服务的可控和安全访问。

目前市场上主流的虚拟化产品包括：VMware Workstation、VirtualBox、QEMU等，虽然这些虚拟化产品在一定程度上保证了主机和客户机的隔离，但是代码的不完善、协议的不完备都导致产品出现了不同种类的漏洞。随着越来越多的漏洞被发现，针对虚拟化产品的攻击也层出不穷，虚拟化逃逸就是其中较为严重的一种。虚拟机逃逸，指的是突破虚拟机的限制，实现与宿主机操作系统交互的一个过程，攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。在2008年，VMware公司的Workstation产品首次出现虚拟机逃逸攻击，攻击者可以利用漏洞使得虚拟机逃逸到虚拟机管理器上，进而威胁主机的安全。2016年举办的黑客大会上，研究人员成功实现了VMware的虚拟机逃逸，这也是VMware首次在公开场合被攻陷，震惊世人。近年来，随着虚拟化的不断普及，虚拟化逃逸攻击也越来越多，虚拟化环境的安全性不容忽视。

虚拟化逃逸攻击不仅影响了操作系统主机的安全性，更是威胁了整个虚拟化环境的稳固，所以目前亟需进一步探究虚拟化逃逸攻击的内在原理，从主机操作系统本身以及虚拟化环境入手，研究虚拟化环境与主机之间的交互，分析逃逸攻击的堆布局，进而对可疑逃逸攻击进行预警，保障整个虚拟化环境的安全和稳固。

发明内容

为了解决上述问题，本发明提供了一种基于内核调试器Windbg的虚拟化逃逸攻击的防御方法，分析虚拟机和主机之间的交互，研究堆上可疑溢出点的分配，进而有效防范虚拟化逃逸攻击，保障虚拟化环境的安全稳固。

为了达到上述目的，本发明是通过以下技术方案实现的：

本发明是一种基于内核调试器的虚拟化逃逸防御方法，从堆溢出的角度分析逃逸的可能性，该虚拟化逃逸防御方法包括如下步骤：

步骤1：在Windbg内核调试器中附加虚拟机进程vmware_vmx，通过相关指令，在特定地址处下断点，读取进程接收到的RPCI命令以及命令携带的参数；

步骤2：对步骤1中读取到的RPCI命令进行数据包解析，并对可疑指令进行针对性研判，判断数据包长度是否存在溢出可能；