技術領域

本發明屬于計算機科學與技術領域，涉及惡意軟件的防護，具體是一種基于虛擬機管理器的防止操作系統中斷流程被非法轉移的方法，可用于保護操作系統的安全。

背景技術

基于執行流程的攻擊是當代黑客采用的一種典型攻擊手段。它通過在某個關鍵點上將程序原有的執行流程進行非法轉移，跳轉到攻擊者自己的惡意代碼，或按照攻擊者精心選定的次序來“濫用”原有的代碼片段，達到惡意攻擊的目的。

為了轉移原有的執行流程，攻擊者需要改寫系統中的某個控制數據。所謂控制數據是指計算機程序在執行到某個時刻被載入CPU程序計數器中的數據，它決定了程序跳轉時的執行路徑。由于控制數據的特殊性，它們經常被攻擊者利用來實施基于執行流程的攻擊。為了抵御這些攻擊，相關研究者提出了多種技術方法來保護操作系統中的控制數據，防止它們被惡意篡改。目前，針對操作系統中兩種常用的控制數據：函數指針和返回地址，業界已經提出了一些解決方案。例如，Wang等提出的HookSafe系統[Wang?et?al.，ACM?CCS?2009]和Li等提出的return-less系統[Li?et?al.，ACM?EuroSys2010]通過間接索引的方式分別對函數指針和返回地址提供了基于硬件的頁面級保護。

然而，在操作系統內核中存在著一種重要的例外情形，那就是中斷上下文中控制數據的保護。當一個中斷發生時，系統將暫停當前程序的執行，強制將執行流程轉移給相應的中斷處理程序。同時，系統保存當前正在運行程序的上下文相關信息，以便將來恢復運行。在中斷上下文信息中，系統硬件將自動把被中斷程序的斷點地址壓入系統棧中。由于這個斷點地址決定了中斷處理結束后的返回位置，所以將這個斷點地址稱為中斷上下文中的控制數據。它由代碼段寄存器CS和指令指針寄存器IP共同組成，通常用“CS:IP”表示。我們必須對這個斷點地址進行保護，因為攻擊者同樣可以利用它來非法轉移操作系統正常的執行流程。

中斷的特殊性在于無法預先得知它所發生的具體時間和位置，因為它有可能發生在系統中幾乎任意指令的邊緣。理論上，中斷上下文中對應CS和IP寄存器的位置有可能保存了系統中任意有效的指令地址。因此，對于操作系統中斷流程的保護是個非常棘手的問題。

發明內容

針對操作系統中斷流程被非法轉移的問題，本發明提出了一種防止操作系統中斷流程被非法轉移的方法。該方法基于虛擬機管理器技術來保護中斷上下文中的控制數據，阻止攻擊者通過篡改該數據來非法轉移操作系統的中斷流程，保護操作系統的安全。

為了實現上述目的，本發明的防止操作系統中斷流程被非法轉移的方法，包括：

(1)操作系統中斷處理流程修改步驟

(1.1)在操作系統中斷處理程序的入口點增加超級調用hypercall?1，向虛擬機管理器發送Interrupt_Begin消息；

(1.2)在操作系統中斷處理程序執行結束返回之前加入超級調用hypercall?2，向虛擬機管理器發送Interrupt_End消息；

(2)虛擬機管理器修改步驟

(2.1)初始化保存中斷上下文中控制數據“CS:IP”的先入后出FILO隊列；

(2.2)虛擬機管理器監聽客戶機操作系統發送來的消息，如果虛擬機管理器接收到客戶機發送來的Interrupt_Begin消息，則執行步驟(2.3)；如果虛擬機管理器接收到客戶機發送來的Interrupt_End消息，則執行步驟(2.4)；否則繼續監聽；

(2.3)虛擬機管理器復制操作系統棧上CS寄存器和IP寄存器的值到先入后出FILO隊列的頭部，返回步驟(2.2)；

(2.4)虛擬機管理器取出先入后出FILO隊列頭部保存的CS寄存器和IP寄存器的值，并與操作系統當前棧上CS寄存器和IP寄存器的值分別進行比較，如果相同，表明中斷上下文中的控制數據即CS寄存器和IP寄存器的值未被非法篡改，返回步驟(2.2)；否則表明中斷上下文中的控制數據即CS寄存器和/或IP寄存器的值被非法篡改，系統發生錯誤，停止操作系統的執行。

本發明與現有的技術相比，具有如下的有益效果：

1)本發明基于虛擬機管理器技術，借助于虛擬機管理器，通過修改客戶機操作系統中斷處理流程，提供了對操作系統中斷上下文中控制數據的保護，從而阻止了攻擊者通過篡改該數據來非法轉移操作系統的中斷流程；