[发明专利]一种硬件辅助虚拟化环境核心检测方法及系统

说明书

本发明涉及一种硬件辅助虚拟化环境核心检测方法及系统，其方法包括：S1：当检测程序拥有普通权限对VMCALL操作时，基于VMCALL虚拟化扩展指令主动地进行VMExit，向Hypervisor中Hypercall处理函数发送调用，根据默认返回值，从而判断虚拟化环境是否存在；S2：当检测程序拥有特权权限对VMCALL操作时，调用VMCALL并通过通用寄存器传递参数，可以获得不同的返回值，根据返回值，从而判断虚拟化环境是否存在；S3：当检测程序拥有特权权限对CR0操作时，通过改变CR0寄存器的CD位来检查对系统性能的影响，从而判断虚拟化环境是否存在；S4：当检测程序拥有特权权限对L2C操作时，通过驱逐特定的L2C的Cache组，根据Cache组的驱逐情况，从而判断虚拟化环境是否存在。

技术领域

本发明涉及信息安全技术领域，具体涉及一种硬件辅助虚拟化环境核心检测方法及系统。

背景技术

软件分析技术包括静态分析和动态分析。静态分析通过对可执行程序进行反编译等操作从而获取待分析软件的反汇编代码，通过分析反汇编代码进一步分析软件逻辑和特定行为。静态分析不需要实际地运行程序，因此是一种非常方便快捷的软件分析方法，但是对于加固软件的分析比较难以处理，同时有些运行流程静态分析无法解析。动态分析则通常借助于虚拟化技术在隔离环境中实际地运行程序，通过不同的输入得到不同的执行路径，分析运行分支和结果来解构软件的执行逻辑。通过不断地调整输入，可以比较完整地了解待分析软件的内部执行逻辑，但是高级的软件会在发现被动态分析时刻意隐藏自身行为，从而对分析结果产生误导。许多软件为了防止被破解或分析，都会进行不同程度的混淆或加固，并且通常需要对运行环境进行检测，以便规避动态分析，及时隐藏自身行为或终止运行。因此，如何判断程序是否运行在用户虚拟机内还是本地裸机OS环境中，成为一个亟待解决的问题。

发明内容

为了解决上述技术问题，本发明提供一种硬件辅助虚拟化环境核心检测方法及系统。

本发明技术解决方案为：一种硬件辅助虚拟化环境核心检测方法，包括：

步骤S1：当检测程序拥有普通权限对VMCALL操作时，基于VMCALL虚拟化扩展指令主动地进行VM Exit，向Hypervisor中Hypercall处理函数发送调用，根据默认返回值，从而判断虚拟化环境是否存在；

步骤S2：当检测程序拥有特权权限对VMCALL操作时，调用VMCALL并通过通用寄存器传递参数，可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值，根据所述返回值，从而判断虚拟化环境是否存在；

步骤S3：当检测程序拥有特权权限对CR0操作时，通过改变CR0寄存器的CD位来检查对系统性能的影响，从而判断虚拟化环境是否存在；

步骤S4：当检测程序拥有特权权限对L2C操作时，通过驱逐特定的L2C的Cache组，根据所述Cache组的驱逐情况，从而判断虚拟化环境是否存在。

本发明与现有技术相比，具有以下优点：

1、由于传统虚拟化检测主要基于Hypervisor实现时在虚拟机上呈现的一些指纹痕迹，但是这些指纹容易被Hypervisor更新移除；而且现在主流的Hypervisor实现几乎都建立在硬件辅助虚拟化加速之上，隔离性更强且虚拟化指纹更少。为了解决该问题，本发明公开了一种硬件辅助虚拟化环境核心检测方法，建立在硬件辅助虚拟化扩展和微架构特征基础之上，不依赖于Hypervisor本身痕迹，因此不容易规避或移除。

2、本发明可以根据用户程序所能拥有的不同权限选择不同的模块，适用性更广，可扩展性更高。

3、本发明利用基于PP技术的虚拟化检测，只依赖于虚拟环境SLAT的性质，因此不仅适用于硬件辅助的全虚拟化环境，同时还适用于半虚拟化或沙箱环境。

附图说明

图1为本发明实施例中一种硬件辅助虚拟化环境核心检测方法的流程图；