本發明提供了一種處理、生成內核鏡像的方法、內核初始化方法、裝置和設備，在內核鏡像所對應的虛擬地址空間中插入干擾分頁；在內核初始化階段，從所述干擾分頁中選取部分或全部干擾分頁，并使選取的干擾分頁不存在映射的物理地址。這種方式使得攻擊者在利用內核任意地址可讀漏洞時，掃描到不存在映射的物理地址的干擾分頁時，返回異常，從而難以穩定地掃描內核虛擬地址空間，在一定程度上提升了攻擊的難度，提高內核信息的安全性。

【技術領域】

本發明涉及計算機應用技術領域，特別涉及一種處理、生成內核鏡像的方法、內核初始化方法、裝置和設備。

【背景技術】

內核是操作系統的核心部分，內核信息泄露漏洞關系著整個操作系統的安全。內核任意地址可讀漏洞作為內核信息泄露漏洞的一種，通過分析內核鏡像或描述內核的物理地址分布的文件(例如“/proc/iomem文件”)等獲得內核鏡像的起始和結束物理地址中的一個，然后根據線性映射規則算出內核的起始和結束虛擬地址，再進一步通過掃描內核的虛擬地址空間獲取內核信息。因此，攻擊者可以通過內核任意地址可讀漏洞獲取到內核信息，極大地威脅到內核的安全性。

【發明內容】

有鑒于此，本發明提供了一種處理、生成內核鏡像的方法、內核初始化方法、裝置和設備，針對內核任意地址可讀漏洞，提高內核信息的安全性。

具體技術方案如下：

本發明提供了一種處理內核鏡像的方法，該方法包括：

在內核鏡像所對應的虛擬地址空間中插入干擾分頁；

在內核初始化階段，從所述干擾分頁中選取部分或全部干擾分頁，并使選取的干擾分頁不存在映射的物理地址。

根據本發明一優選實施方式，所述在內核鏡像所對應的虛擬地址空間中插入干擾分頁包括：

在內核鏡像對應的鏈接腳本中插入命令，所述命令用于在所述內核鏡像所對應的虛擬地址空間中插入干擾分頁，所述干擾分頁不存在映射的物理地址。

根據本發明一優選實施方式，所述干擾分頁包括空白分頁。

根據本發明一優選實施方式，從所述干擾分頁中選取部分或全部干擾分頁包括：

隨機從所述干擾分頁中選取部分或全部干擾分頁。

根據本發明一優選實施方式，所述使選取的干擾分頁不存在映射的物理地址包括：

在內核鏡像的虛擬地址映射到物理地址后，刪除頁表中所述選取的干擾分頁的映射關系，以使所述選取的干擾分頁無法映射到物理地址。

根據本發明一優選實施方式，所述使選取的干擾分頁不存在映射的物理地址包括：

在將內核鏡像的虛擬地址映射到物理地址的過程中，對所述選取的干擾分頁不進行映射，使得頁表中不存在所述選取的干擾分頁的虛擬地址到物理地址的映射關系。

本發明還提供了一種生成內核鏡像的方法，該方法包括：

在內核鏡像對應的鏈接腳本中插入命令，所述命令用于在所述內核鏡像所對應的虛擬地址空間中插入干擾分頁，所述干擾分頁不存在映射的物理地址。

根據本發明一優選實施方式，所述干擾分頁包括空白分頁。

根據本發明一優選實施方式，所述內核鏡像所對應的虛擬地址空間中插入的干擾分頁為不連續的干擾分頁。

根據本發明一優選實施方式，在所述內核鏡像所對應的虛擬地址空間中插入干擾分頁包括：

在與內核鏡像的起始虛擬地址的距離在預設百分比之內的地方插入有干擾分頁；和/或，

在與內核鏡像的結束虛擬地址的距離在預設百分比之內的地方分別插入有干擾分頁。