一個實施例中的系統和方法包括用于檢測對客戶操作系統(OS)(其已經實現管理程序環境中的地址空間布局隨機化)的關鍵地址空間(CAS)的訪問嘗試，識別嘗試訪問的進程，以及在不準許該進程訪問CAS時采取動作的模塊。動作能夠從下列項選?。合蚬芾沓绦虻墓芾砜刂婆_報告該訪問，向客戶OS提供推薦，以及在客戶OS內自動采取動作。其它實施例包括通過促使客戶OS中的頁錯誤，從與CAS對應的客戶虛擬地址解析客戶物理地址，并且將機器地址映射到客戶物理地址，來識別與CAS對應的機器地址。

技術領域

一般來說，本公開涉及計算機網絡領域，以及更具體來說，涉及用于管理程序環境中的關鍵地址空間保護的系統和方法。

背景技術

計算機網絡安全性的領域在當今社會已經變得越來越重要和復雜。計算機網絡環境配置用于幾乎每一個企業或組織，其中通常具有多個互連的計算機(例如最終用戶計算機、膝上型計算機、服務器、打印裝置等)。此外，云服務提供商(以及運行多個應用和操作系統的其它組織)可使用管理程序技術在主機裝置上并發地運行各種不同的客戶操作系統。管理程序是計算機軟件/硬件平臺虛擬化軟件，其允許多個操作系統并發地運行于主計算機上。安全性威脅能夠源于管理程序環境的外部和內部。管理程序環境中的這些威脅能夠給IT管理員帶來進一步挑戰。

附圖說明

為了提供對本公開及其特征和優點的更完整理解，參照結合附圖進行的以下描述，其中相似參考標號表示相似部件，其中：

圖1是示出按照一個示例實施例、用于管理程序環境中的關鍵地址空間保護的系統的組件的簡化框圖；

圖2是示出按照一個示例實施例的系統的附加細節的簡化框圖；以及

圖3是示出可與本公開的實施例關聯的示例操作步驟的簡化流程圖。

具體實施方式

概述

一個實施例中的系統和方法包括用于檢測對客戶操作系統(OS)(其實現管理程序環境中的地址空間布局隨機化(ASLR))的關鍵地址空間(CAS)的訪問嘗試，識別嘗試訪問的進程，以及在不準許該動作時采取至少一個動作的模塊。動作可以是下列一個或多個：向管理程序的管理控制臺報告該訪問，向客戶OS提供推薦，并且在客戶OS內自動采取動作。向管理程序的管理控制臺報告訪問包括將客戶OS的狀態標記為受感染。向客戶OS提供推薦包括推薦將該進程列入黑名單、直到它由安全工具來掃描并且列入白名單，和/或對該進程運行防病毒。在客戶OS內采取動作包括在客戶OS中運行防病毒程序，和/或關閉客戶OS或保存客戶OS的狀態以供離線掃描。

更具體實施例包括通過在管理程序的影子頁表中為與CAS對應的頁生成頁表條目(PTE)并且將PTE標記成使得訪問嘗試引起頁錯誤，來檢測訪問嘗試。嘗試訪問的進程可通過讀取該進程對應的CR3寄存器來識別。

其它實施例包括使用策略來驗證訪問嘗試，策略包括：如果該進程從存儲器元件的可寫區域執行，則拒絕該訪問，而如果該進程從存儲器元件的只讀區域執行，則準許該訪問。其它示例實施例包括通過促使客戶OS中的頁錯誤，從與CAS對應的客戶虛擬地址解析客戶物理地址，并且將機器地址映射到客戶物理地址和其它特征，來識別與CAS對應的機器地址。

示例實施例