技術領域

本發明一般涉及計算機網絡領域，更具體而言，涉及用于在系統管理程序(hypervisor)環境中進行內核rootkit保護的系統和方法。

背景

計算機網絡安全領域在當今社會變得越來越重要并復雜化。為幾乎每一企業或組織配置了計算機網絡環境，通常帶有多個互連的計算機(例如，最終用戶計算機、膝上型計算機、服務器、打印設備等等)。此外，云服務提供商(及運行多個應用程序和操作系統的其他組織)可以使用系統管理程序技術來同時在主機設備上運行各種不同的來賓(guest)操作系統。系統管理程序是允許多個操作系統同時在主機計算機上運行的計算機軟件／硬件平臺虛擬化軟件。安全威脅會在系統管理程序環境的外部和內部產生。系統管理程序環境中的這些威脅會給IT管理員帶來進一步的挑戰。

附圖簡述

為提供對本發明以及其特征和優點的比較完整的理解，將參考與附圖一起進行的下面的描述，其中，相同參考編號表示相同部件，其中：

圖1是示出了根據示例實施例的用于在系統管理程序環境中進行內核rootkit保護的系統的組件的簡化框圖；以及

圖2是可以與本發明的實施例相關聯的示例操作步驟的簡化流程圖。

示例實施例的詳細描述

概覽

在示例實施例中，系統和方法包括用于創建具有對應于系統管理程序環境中的來賓操作系統的每一個來賓內核頁的條目的軟白名單的模塊，其中，每一個條目都是對應的來賓內核頁的重復頁，當一進程試圖訪問來賓內核頁時生成頁錯誤，以及將該進程重定向到對應于來賓內核頁的重復頁。如果頁錯誤是數據頁錯誤，則該方法包括修復頁錯誤，并將對應于來賓內核頁的頁表條目標記為非可執行的和可寫入的。如果頁錯誤是指令頁錯誤，則該方法包括將對應于來賓內核頁的頁表條目標記為只讀。

在示例實施例中，重新定向進程包括將來賓內核頁的虛擬地址指向對應于來賓內核頁的重復頁的機器頁幀號。其他實施例包括在系統管理程序的陰影頁表中將每一個來賓內核頁的頁表條目標記為NOT_PRESENT(不_存在)。其他實施例可以包括在域創建過程中在系統管理程序中設置鎖合(lockdown)特征比特，以啟用rootkit保護。

在某些實施例中，在來賓OS在引導時加載內核組件之后創建軟白名單。可以通過漫步(walk)系統管理程序的陰影頁表并將每一個來賓內核頁的虛擬地址映射到對應的重復頁的機器頁幀號來創建軟白名單。在又一些其他實施例中如果，如果來賓OS沒有加載至少某些內核組件，則該方法包括將每一個來賓內核頁的虛擬基地址映射到對應的重復頁的機器頁幀號及其他特征。

示例實施例

圖1是示出了用于在系統管理程序環境中進行內核rootkit保護的系統10的示例實現的簡化框圖。如此處所使用的，“系統管理程序”是可使一個或多個操作系統(OS)(被稱為來賓OS)在主機設備(例如，計算機)上同時運行的硬件虛擬化實體。虛擬化可使來賓OS在隔離的虛擬環境(通常被稱為虛擬機，或來賓)中未修改地運行，在那里，再現了主機設備的物理特征和行為。更具體而言，來賓可以表示配備有虛擬硬件(處理器、存儲器、磁盤、網絡接口等等)的隔離的，虛擬環境。根據圖1中所示出的實施例，系統10包括向來賓14提供虛擬化環境的系統管理程序12。可以在本發明的廣泛的范圍內在系統管理程序12上主存任意數量的來賓。為便于說明，在圖1中象征地示出了單一來賓。

系統管理程序12控制并管理被分配供來賓14使用的主機設備(未示出)的硬件16。來賓14可以在系統管理程序12上運行來賓OS18。來賓OS18可以支持一個或多個應用程序20(此處以單數作為應用程序20來引用應用程序中的一個)。如此處所使用的，術語“應用程序”從廣義來講用于一般地指代任何軟件文件、庫模塊、函數、子例程、二進制、指令集、代碼塊，或包括可以被計算機理解和處理(有或者沒有協助，例如，編譯，解釋等等))的指令的其他類似的操作單元。