[發明專利]處理系統調用的方法和裝置有效
| 申請號: | 201611218930.X | 申請日: | 2016-12-26 |
| 公開(公告)號: | CN108241801B | 公開(公告)日: | 2021-03-30 |
| 發明(設計)人: | 李志;夏虞斌;陳慶澍 | 申請(專利權)人: | 華為技術有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F21/57 |
| 代理公司: | 北京龍雙利達知識產權代理有限公司 11329 | 代理人: | 時林;毛威 |
| 地址: | 518129 廣東*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 處理 系統 調用 方法 裝置 | ||
1.一種處理系統調用的方法,其特征在于,所述方法包括:
主機內核對應用程序需要執行的系統調用進行攔截,并將攔截的所述系統調用轉由目標虛擬機執行,其中,所述目標虛擬機與主機共享所述主機內核,且所述目標虛擬機對所述主機內核的任何內存數據禁用寫權限或所述目標虛擬機對所述主機內核的特定內存數據禁用讀權限;
所述主機內核根據所述目標虛擬機執行所述系統調用的執行結果和預設的第一策略,判定所述系統調用的合法性,其中,所述第一策略用于判定一個系統調用的合法性,所述第一策略是根據系統調用規范和/或運行在所述主機上的操作系統的已知漏洞設定的。
2.根據權利要求1所述的方法,其特征在于,所述主機內核對應用程序需要執行的系統調用進行攔截,包括:
所述主機內核根據預設的第二策略,判定對所述系統調用進行攔截。
3.根據權利要求1或2所述的方法,其特征在于,所述主機內核將所述系統調用轉由目標虛擬機執行之前,所述方法還包括:
所述主機內核向虛擬機監控器發送創建請求,所述創建請求用于請求所述虛擬機監控器創建與所述主機共享所述主機內核的所述目標虛擬機。
4.根據權利要求1或2所述的方法,其特征在于,所述主機上運行有虛擬機監控器和至少一個虛擬機,所述目標虛擬機是所述虛擬機監控器修改第一虛擬機的控制寄存器CR3和所述第一虛擬機的擴展頁表得到的,其中,修改后的所述第一虛擬機與所述主機共享所述主機內核,所述第一虛擬機為所述至少一個虛擬機中的任意一個。
5.根據權利要求1或2所述的方法,其特征在于,所述方法還包括:
所述主機內核獲取所述目標虛擬機執行所述系統調用時對所述主機內核的內存數據的讀寫行為;
以及,所述主機內核根據所述目標虛擬機執行所述系統調用的執行結果和預設的第一策略,判斷所述系統調用的合法性,包括:
所述主機內核根據所述目標虛擬機執行所述系統調用時對所述主機內核的內存數據的讀寫行為和所述第一策略,判斷所述系統調用的合法性。
6.根據權利要求1或2所述的方法,其特征在于,所述第一策略是根據系統調用規范和運行在所述主機上的操作系統的已知漏洞預先配置的。
7.一種處理系統調用的裝置,其特征在于,所述裝置包括:
處理單元,用于對應用程序需要執行的系統調用進行攔截,并將攔截的所述系統調用轉由目標虛擬機執行,其中,所述目標虛擬機與主機共享主機內核,且所述目標虛擬機對所述主機內核的任何內存數據禁用寫權限或所述目標虛擬機對所述主機內核的特定內存數據禁用讀權限;
所述處理單元,還用于根據所述目標虛擬機執行所述系統調用的執行結果和預設的第一策略,判定所述系統調用的合法性,其中,所述第一策略用于判定一個系統調用的合法性,所述第一策略是根據系統調用規范和/或運行在所述主機上的操作系統的已知漏洞設定的。
8.根據權利要求7所述的裝置,其特征在于,所述處理單元具體用于:根據預設的第二策略,判定對所述系統調用進行攔截。
9.根據權利要求7或8所述的裝置,其特征在于,所述裝置還包括:
發送單元,用于在所述處理單元將所述系統調用轉由所述目標虛擬機執行之前,向虛擬機監控器發送創建請求,所述創建請求用于請求所述虛擬機監控器創建與所述主機共享主機內核的所述目標虛擬機。
10.根據權利要求7或8所述的裝置,其特征在于,所述主機上運行有虛擬機監控器和至少一個虛擬機,所述目標虛擬機是所述虛擬機監控器修改第一虛擬機的控制寄存器CR3和所述第一虛擬機的擴展頁表得到的,其中,修改后的所述第一虛擬機與所述主機共享所述主機內核,所述第一虛擬機為所述至少一個虛擬機中的任意一個。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于華為技術有限公司,未經華為技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611218930.X/1.html,轉載請聲明來源鉆瓜專利網。
