- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第十八届全国信息保密学术会议(IS2008)论文集
徐志大
中南计算机通信研究所
摘要:2006年中期以来,许多安全研究人员积极热衷于基于AMD和Intel
x86处理器硬件辅助虚拟能力的rootkit技术,引发大量激动人心、极其神秘的研究
工作。因而,这种技术的实现架构、探测方法及每种HVMrootkit的生存能力得以
广泛探讨,并取得了一定进展。
关键词:虚拟技术rootkit管理程序
1 引言
近年来,软件实现的虚拟机技术快速发展,应用需求越来越大。软件级的虚
拟机技术需要在系统中开辟复杂的工作区域,无法彻底解决自身的许多问题,要
实现更为高效和低成本的虚拟机技术,只有借助于硬件结构体系的改良和支持,
实现硬件级的虚拟机技术。因此,世界两大计算机CPU厂商AMD和Intel在新一
代CPU中引入芯片级虚拟化辅助技术,通过扩展处理器指令,增加相应机制,为
虚拟技术提供硬件支持,为基于管理程序的x86系统虚拟化铺平道路。
对于这种新技术,一直在涉猎前沿技术的黑客们自然会进行研究。在2006年
Dai
美国拉斯维加斯的黑帽会议上,研究员JoannaRutkowska和DinoZovi首次公开
提出硬件辅助虚拟机(HVM)rootkit概念【】’2】,但当时未提供实现细节,引发同
EdgarBarbosa介绍了针对“蓝色药丸(BluePill)”的检测方法汹]。不久,在root.
kit.tompl上出现在Intel上实现的HVM
AMD上实现的Blue
Pill代码放在BluePillProiect.org【41上,供公众下载。
在纯软件和基于硬件实现的虚拟机技术体系结构中,主要涉及两种软件:
OS)的
控制处理器和其他硬件,在单一物理机器上控制多个客户操作系统(guest
·336·
硬件辅助虚拟机(HVM)rootkit的实现与探测
有效运行,通过拦截和模拟客户操作,为每个客户虚拟一个完整的计算机系统
(内存、CPU和所有外部设备)。
客户软件:每台虚拟机(VM)是一个客户软件环境,支持由OS和应用软件
组成的栈。VMs相互独立,在同样的接口上使用物理平台提供的处理器、内存、
存储器、图形卡和I/O。
本文首先从编程角度简要介绍AMD和Intel硬件辅助虚拟技术,描述基于这
种技术的HVMrootkit,提出在AMD多核x86处理器上构建HVMrootkit的框架。
rootkit
然后,讨论探测方法,评估每种HVMrootkit的生存能力。最后,分析HVM
的鉴识问题及在主机安全防护中的应用。
2 AMD虚拟技术
手册[51中称为“安全虚拟机(SVM)”技术,是作为一组异常实现的,它拦截可
能影响管理程序或客户的任何指令或CPU事件。AMD—V新定义了指令、寄存器
与控制标志,实现更具特权的模式,即“ring-1”,高于以前x86体系结构实现的
最高特权模式“ring0”。称为虚拟机控制块(VMCB)的数据结构实现对异常的
控制,不在处理器内核中共享。
管理程序安全加载器。另外,扩展了MOV指令,直接读写CR8控制寄存器(任
务优先级寄存器),加速与SVM相关的性能。最后,为支持SVM,也对许多现有
AMD64指令行为进行了修改。总的来说,新定义的指令主要用于构建管理程序及
在主机与客户之间交换(AMD称为称为“世界交换(worldswitch)”)。
在AMD64体系结构程序员手册”’中描述了VMCB。它由两个区组成。第一个
enable
mask)。掩码确定什么条件引
区含有控制位,包括拦截使能掩码(intercept
起#VMEXIT。第二个区维持客户状态。Save状态区保存段寄存
您可能关注的文档
最近下载
- 《基于核心素养的初中语文“活动·探究”单元整体教学设计研究》课题研究方案.doc
- 四年级上册数学第二单元《练习三》教学课件(苏教版).pptx
- (最新)24年秋统编四年级语文上册习作:我的家人(精品课件).pptx
- 货币政策与财政政策配合的中国实践及经验.docx VIP
- 三年高考2024-2025高考地理真题分项汇编地球上的大气含解析.pdf VIP
- 经典诗文诵读技巧.ppt
- 五星级酒店功能区与面积配置(推荐保存).pdf
- 2024年山东省济南市莱芜区中考一模语文试卷(含解析).pdf VIP
- 2023版建筑三类人员a证题库含答案全考点.docx
- (人教版2024)物理八年级上册第二单元 声现象 大单元教学设计.docx
文档评论(0)