CN103907101B

CN103907101B - 用于管理器环境中的内核rootkit防护的系统和方法

Info

Publication number: CN103907101B
Application number: CN201280053257.2A
Authority: CN
Inventors: A·丹格; P·莫欣德尔; V·斯里瓦斯塔瓦
Original assignee: McAfee LLC
Current assignee: McAfee LLC
Priority date: 2011-10-13
Filing date: 2012-09-14
Publication date: 2017-02-15
Anticipated expiration: 2032-09-14
Also published as: EP2766843B1; JP6142027B2; US9465700B2; US8973144B2; EP2766843A4; US20150234718A1; EP2766843A1; US20130097355A1; JP5909829B2; JP2014528621A; CN103907101A; WO2013055498A1; JP2016129071A

Abstract

一个实施例中的系统和方法包括：用于创建软白名单的模块，其中该软白名单具有与管理器环境中的客户机操作系统里的每一个客户机内核页相对应的条目；当针对客户机内核页进行访问尝试时，产生页错误；如果该客户机内核页与软白名单中的条目里的一个相对应，则修复该页错误，以便允许访问和执行；如果该客户机内核页不与软白名单中的条目里的任何一个相对应，则拒绝执行。如果该页错误是指令页错误，并且该客户机内核页与软白名单中的条目里的一个相对应，则该方法包括：将该客户机内核页标记成只读的和可执行的。所述软白名单包括：与每一个客户机内核页的虚拟地址相对应的机器页面号的散列。

Description

用于管理器环境中的内核ROOTKIT防护的系统和方法

技术领域

概括地说，本公开内容涉及计算机网络领域，具体地说，及用于管理器(hypervisor)环境中的内核ROOTKIT防护的系统和方法。

背景技术

计算机网络安全领域在今日社会已变得日益地重要和复杂。事实上每一个企业或者组织都配置有计算机网络环境，其通常具有多个相互连接的计算机(例如，终端用户计算机、膝上型计算机、服务器、打印设备等等)。此外，云服务提供商(和运行多个应用和操作系统的其它组织)可以使用管理器技术在一个主机设备(host device)上同时地运行各种不同的客户机(guest)操作系统。管理器是允许在一个主机计算机上同时地运行多个操作系统的计算机软件/硬件平台虚拟化软件。在管理器环境中，可能外部地或内部地引起安全威胁。管理器环境下的这些威胁，可能向IT管理员呈现进一步的挑战。

附图说明

为了提供本公开内容及其特征和优点的更全面理解，结合附图来参照下面的描述，其中相同的附图标记表示相同的部件，其中：

图1是示出了根据一个示例性实施例用于管理器环境中的内核rootkit防护的系统的组件的简化框图；以及

图2是示出了可以与本公开内容的实施例相关联的示例性操作步骤的简化流程图。

示例性实施例的具体实施方式

概述

一个实施例中的系统和方法包括：用于创建软白名单的模块，其中该软白名单具有与管理器环境中的客户机操作系统里的每一个客户机内核页相对应的条目；当针对客户机内核页进行访问尝试时，产生页错误；如果该客户机内核页与软白名单中的条目里的一个相对应，则修复该页错误，以便允许进行访问和执行；以及如果该客户机内核页不与软白名单中的条目里的任何一个相对应时，则拒绝进行执行。在示例性实施例中，该软白名单包括与每一个客户机内核页的虚拟地址相对应的机器页面号的散列。

其它示例性实施例包括：如果所述页错误是指令页错误，并且所述客户机内核页与所述软白名单中的条目里的一个相对应，则将所述客户机内核页标记成只读和可执行。如果所述页错误是数据页错误，并且所述客户机内核页不与所述软白名单中的条目里的任何一个相对应，则该方法包括：修复所述页错误；以及将所述客户机内核页标记成不可执行。

更具体的实施例包括：在管理器的影子页表中将与每一个客户机内核页相对应的页表条目标记成NOT_PRESENT(不存在)。在其它示例性实施例中，该方法包括通过下面操作来拒绝执行：使所述客户机OS无限地循环、在所述客户机OS中注入异常、或者修复所述页错误、以及将所述影子页表中的相应PTE指向制作的页而不是所述客户机内核页。所述制作的页可以包括导致所述客户机OS崩溃或者导致无害地执行的一组无操作(NOP)指令的代码。

在其它示例性实施例中，在所述客户机OS在启动时实质上已经装载了所有其内核组件之后，执行创建软白名单。如果所述客户机OS实质上没有装载所有其内核组件，每一个客户机内核页可以来自于分页池范围或者非分页池范围。另一个实施例包括：在域创建期间，在所述管理器中设置锁定特征比特，以使能rootkit防护和其它特征。

示例性实施例

图1的简化框图示出了用于管理器环境中的内核rootkit防护的系统10的示例性实现。如本申请所使用的，“管理器”是允许一个或多个操作系统(OS)(其称为“客户机OS”)在主机设备(例如，计算机)上同时地运行的硬件虚拟实体。虚拟化允许客户机OS在隔离的虚拟环境(其通常称为虚拟机或者客户机)上不修改地运行，在隔离的虚拟环境中对主机设备的物理特性和行为进行复制。具体而言，一个客户机可以表示装备有虚拟硬件(处理器、存储器、磁盘、网络接口等等)的隔离的虚拟环境。根据图1中所描绘的实施例，系统10包括管理器12，其向客户机14提供虚拟环境。在本公开内容的广泛的范围之内，可以有任意数量的客户机驻留在管理器12上。为了便于解释，在图1中只表示性地描绘了单一客户机。

管理器12对主机设备(没有示出)的被分配由客户机14使用的硬件16进行控制和管理。在管理器12上，客户机14可以运行客户机OS18。客户机OS18可以支持一个或多个应用20(本申请中用单数称为应用20，以指代应用中的一个)。如本申请所使用的，以广泛的含义来使用术语“应用”，以便一般地指代任何软件文件、库模块、函数、子例行程序、二进制文件、指令集、代码块、或者其它类似的操作单元，其中所述其它类似的操作单元包括：在具有辅助或者不具有辅助(例如，编译、解释等等)的基础上，能被计算机理解和处理的指令。

管理器12可以管理应用20针对底层硬件16(例如，处理器22和机器存储器24)的访问。如本申请所使用的，“机器存储器”指代管理器12可见的、如在主机设备上可用的存储器单元。客户机OS18可以向应用20呈现客户机虚拟存储器26，其访问客户机物理存储器28。如本申请所使用的，术语“客户机虚拟存储器”指代在客户机14中运行的应用20可见的基本连续虚拟地址空间。地址空间指代离散地址的范围，每一个离散地址可以对应于一个存储器单元(即，地址)，应用(例如，应用20)可以在该存储器单元处存储数据，并稍后获取数据。如本申请所使用的，术语“客户机物理存储器”指代客户机OS18可见的虚拟存储器。

客户机物理存储器28可以在操作期间创建内核页30。当客户机OS将其客户机内核装载到内存中时，该客户机内核被划分成页(例如，客户机内核页30)，其中一些页包含内核指令，其它页包含内核数据。每一个页(其包括客户机内核页30中的每一个在内)通常具有标准大小(例如，4kB)，并与一个地址(例如，客户机虚拟地址)相关联。客户机OS18通过页表，将每一个页的虚拟地址映射到相应的“物理”地址。虽然客户机存储器(例如，客户机虚拟存储器26和客户机物理存储器28)是虚拟的，但客户机OS18假定客户机物理存储器28是真实的或者“物理的”。但是，客户机物理存储器(例如，客户机物理存储器28)仅仅是管理器12为了维持针对(真实)主机物理地址(其还称为机器地址)的正确映射所使用的抽象。

页表是客户机OS18为了存储虚拟地址和“物理”地址之间的映射而使用的数据结构。页表包含若干页表条目(PTE)，每一个PTE将一个虚拟地址映射到相应的“物理”地址(例如，从客户机虚拟地址映射到客户机物理地址或者从客户机物理地址映射到机器地址)。PTE包括：与适当的存储器元件(例如，客户机物理存储器28或者机器存储器24)中的页有关的“物理”地址(例如，客户机物理地址或者机器地址)和其它信息，例如，该页是否存在、该页是只读的还是读/写的等等。

针对当前执行的进程，管理器12可以使用影子页表32，将客户机物理存储器28映射到机器存储器24。“进程”是指令正被执行的应用(或者其一部分)的实例。影子页表32包括与客户机内核页30相对应的页表条目(PTE)34。PTE34中的每一个包括：与装载到机器存储器24中的相应内核页有关的机器地址和其它信息。根据一个示例性实施例，可以在影子页表32中将PTE34标记成NOT_PRESENT(不存在)。在示例性实施例中，每当在客户机OS18中创建任何新的内核页时，就可以缺省地将影子页表32中的相应PTE34标记成NOT_PRESENT。

管理器12中的rootkit防护模块36可以将与客户机内核页30的虚拟地址相对应的机器页面号(MFN)添加到散列(hash)36中。在一个示例性实现中，MFN指代在机器存储器24中为相应的虚拟地址分配的页号。页错误处理机40可以有条件地允许或者拒绝对于适当的客户机内核页30的访问或者执行。在管理器12上运行的域0(DOM0)42具有访问物理硬件16以及与在该系统上运行的其它客户机进行交互的特权。DOM042可以具有锁定模块44，用于控制管理器12中的rootkit防护模块36的某些锁定特征。

为了描绘系统10的技术的目的，重要的是理解可能在给定的系统(例如，图1中所示出的系统)中出现的动作和安全问题。可以将下面的基本信息视作为用于对本公开内容进行适当地解释的基础。认真地提供这样的信息仅仅是为了解释的目的，因此，这样的信息无论如何不应被解释为限制本公开内容及其潜在应用的广泛范围。

典型的计算体系结构支持4环(编号为0到3)的特权层级，以便保护系统代码和数据不被低级特权代码无意或者恶意覆盖。环0是最高特权层级，而环3是最低特权层级。OS可以针对不同的进程使用不同的特权层级。例如，Windows OS针对进程和数据安全，使用两个特权层级(环0和3)。用于诸如互联网浏览器和微软Word之类的应用和很多Windows服务(例如，服务控制管理器、本地系统安全权限、Winlogon、会话管理器和RPC服务器等等)的代码在环3中运行。

内核级代码在环0中运行，并在设备驱动器和内核组件(例如，针对虚拟存储器、高速缓存、输入/输出、对象、即插即用、硬件抽象层、图形子系统、文件系统和网络协议实现的管理器)。内核将应用连接到计算设备的硬件。通常，内核包括可以根据OS进行变化的若干组件。例如，Linux OS可以包括诸如下面的组件：低级驱动器(例如，负责中央处理单元(CPU)、存储器管理单元(MMU)和板上设备初始化的特定于架构的驱动器)；进程调度器(例如，负责将CPU时间切片公平地分配到不同的进程的组件)；存储器管理器(例如，负责向不同的进程分配存储器和共享存储器的组件)；文件系统(例如，对底层文件系统进行抽象以便向用户呈现统一文件系统接口的组件)；网络接口(例如，提供针对不同的联网设备的访问和控制的组件)；设备驱动器(例如，高级驱动器)等等。应用通常使用系统函数调用(例如，Win32API调用)来与内核进行通信。

Rootkit改变(应用中的进程的)正常执行路径的流程，以使其秘密行动成功实施。Rootkit是这样一种软件：其实现针对设备的持续的特权访问，同时通过破坏标准OS功能来有效地隐藏它的存在。Rootkit通常修改系统函数调用所返回的数据，以便隐藏它们的二进制文件、进程和注册表条目。根据rootkit在什么地方运行以及它们挂钩在系统中的什么区域，通常可以将rootkit分类成两种类型中的一种：用户模式的rootkit和内核rootkit。由于用户模式的rootkit以用户模式特权执行，因此其相对容易地进行检测和修复。另一方面，内核rootkit以系统特权执行，这使得检测和修复它们更具有挑战性。内核rootkit通常通过安装内核模式设备驱动器，将它们的代码装载(即，注入)到内核地址空间。例如，可以通过使用内核模块将内核代码注入到运行的内核，或者通过向一块未使用的内核存储器写入新代码，或者通过插入内核模块文件等等，来安装内核rootkit。一旦传输机制到位，内核rootkit就可以破坏一个进程的正常执行路径的流程。

内核rootkit是桌面安全中的显著挑战。内核rootkit可以发起各种攻击，例如，打开系统后门、偷窃隐私信息、关闭安全措施以及执行其它恶意应用。一般情况下，攻击者在第一次获得根级访问之后，通过使用已知的漏洞或者通过获得密码(例如，借由通过社交工程破解加密)，在计算机上安装内核rootkit。一旦内核rootkit被安装了，其就允许攻击者通过绕开正常的认证和授权机制来掩盖正在进行的入侵并维持针对该计算机的特权访问。内核rootkit可能是难于检测的，这是由于内核rootkit可能能够破坏旨在发现它的软件。检测方法包括使用替代的、信任的操作系统；基于行为的方法；签名扫描；差别扫描；以及存储器转储分析。删除可能是复杂的，或者实际上是不可能的，特别是在内核rootkit驻留在内核之中的情况下更是如此。

在管理器环境下，攻击的影响可能是很严重的。一个受感染的客户机可能感染该主机设备上的所有其它客户机。例如，攻击者可以通过感染一个客户机来获得硬件上的管理员特权，并且通过管理器环境从一个客户机移到另一个客户机。在管理器拥有成千个客户机的情形下，这种客户机到客户机攻击可能具有灾难性的结果。

管理器环境给出了用于在无需驻留于客户机的防护软件的情况下，提供内核rootkit防护的机会。客户机在虚拟化主机设备中的管理器之上运行。传统的内核rootkit防护机制可以安装到在管理器上运行的客户机的每一个实例上；但是，这些方法在存储器、运行时间性能和管理方面导致了显著开销。理想情况下，内核rootkit防护机制应该位于(其正在保护的)内核之外，这在非虚拟化环境下可能是不可能的。此外，在云(虚拟化)环境下运行客户机的客户可能喜欢云服务提供商透明地提供内核rootkit防护。

在内核rootkit防护的一种方法中，可以使用散列函数来计算磁盘上的代码库的数字签名。该散列函数创建消息摘要，消息摘要是针对任意的数据块计算的使得对该数据的改变也改变散列值的固定大小比特串。通过以定期的时间间隔重新计算磁盘上的代码库的消息摘要，并将其与受信任的指纹列表进行比较，可以检测和监测到系统的改变。但是，当前方法只检查自从代码的发布者上一次发布以来，该代码是否被修改过。此外，内核rootkit可以通过从存储器进行装载，而不是在磁盘上进行修改，来破坏该过程。其它rootkit防护解决方案可以是基于商业OS的。需要能够提供无代理保护的用于虚拟化环境的软件。

图1所描绘的用于管理器环境中的内核rootkit防护的系统，可以解决这些问题以及其它。本公开内容的实施例寻求大幅地提高现有技术的能力，以便允许更健壮的解决方案。在示例性实施例中，系统10的组件可以在管理器12之中，创建客户机内核页30的软白名单(例如，散列38)。该软白名单包括与客户机OS18中的每一个客户机内核页30相对应的条目。在示例性实施例中，该软白名单旨在包括批准的客户机内核页的列表，其中所述批准的客户机内核页中的每一个通过例如相应的机器页面号(MFN)、而不是整个页内容的校验和来表示。在示例性实施例中，该软白名单(即，散列38)包括与客户机内核页30相对应的MFN的散列。

根据一个示例性实施例，可以在客户机OS18已经引导并且已经装载了其内核组件(例如，进程调度器、存储器管理器、文件系统等等)之后，创建该软白名单。如本申请所使用的，术语“引导”指代引导序列，其是当打开电源时计算机执行的一组初始操作。其后，系统10可以确保不执行来自于不存在于该软白名单中的任何新内核页的代码。根据另一个示例性实施例，可以在客户机OS18已经引导，并已经装载了其内核组件之前，创建该软白名单。内核页30可以处于分页池和非分页池之中(这是由于所有的内核驱动器都装载在这些页之中)。可以将分页池和非分页池范围之内的每一个错误虚拟地址的页起始地址存储在管理器12中的散列表(例如，散列38)里。

例如，系统10可以防护零日威胁，这是因为其是基于白名单的。在示例性实施例中，系统10可以由公有云基础设施提供商和使用私有云的公司来实现。系统10可以提供透明的安全层。对于不频繁地改变其基本OS配置而只是改变在基本OS配置上存储的数据的客户(例如，web主机服务提供商)来说，该解决方案可能是特别有用的。

转到管理器环境下的存储器管理，客户机OS(例如，客户机OS18)向应用(例如，应用20)提供客户机虚拟存储器(例如，客户机虚拟存储器26)中的虚拟地址空间布局。可以将客户机虚拟存储器的地址空间划分成用户空间(其中用户空间是应用(例如，应用20)可访问的)和系统空间(其中系统空间包括引导驱动器、进程页表、系统高速缓存、分页池和非分页池等等)。通常，系统页的地址位置是硬编码的(或者是先验已知的)。例如，可以将4GB的客户机虚拟存储器分割成3GB的用户空间(其地址范围从0xBFFFFFFF到0x00000000)和系统空间(其地址范围从0xFFFFFFFF到0xC0000000)。

客户机OS通过页表来处理虚拟地址到物理地址的映射。虽然虚拟地址空间(例如，客户机虚拟存储器26)通常是连续的，但是这些地址可能被映射到物理地址空间(例如，客户机物理存储器28)中的非连续块。将虚拟到物理映射信息放置在称为页表条目(PTE)的结构的页表中。PTE的格式可以随着OS发生变化，例如，Linux OS可以指定一种格式，而Windows XP OS可以指定另一种格式。一般地，PTE通常包含一个位来指示PTE所引用的页是否存在(或者有效)。例如，当一个进程开始装载到机器存储器(例如，机器存储器24)中时，客户机OS假定页装载到客户机物理存储器(例如，客户机物理存储器28)中，并生成相应的页表。将针对被装载到机器存储器的页的存在位设置为0(其指示NOT_PRESENT)，直到将所有页都装载到存储器中为止。一旦装载了所有页，则可以将针对这些页的存在位在各自的PTE中设置为1(其指示PRESENT)。在装载期间，如果尝试访问被标记为NOT_PRESENT的页，则可以产生页错误。

在示例性实施例中，客户机14所维持的任何页表可以具有相应的影子页表(例如，影子页表32)，其是由管理器12来生成和维持的。客户机OS18无权访问影子页表32。在引导时，客户机OS18可以将其内核从计算机的硬盘装载到存储器中(例如，以客户机内核页30的形式)。Rootkit防护模块36可以在影子页表32中将与客户机内核页30相对应的PTE34标记成NOT_PRESENT。在一个示例中，rootkit防护模块36可以通过读取页的虚拟地址，来确定该页是客户机内核页30中的一个。如果该虚拟地址位于特定的范围(例如，预定的范围)之内，则该页可以是客户机内核页30中的一个，并且相应的PTE34可以被标记成NOT_PRESENT。

当发生页错误时，控制从执行引起该页错误的指令的处理器(例如，处理器22)转移到管理器(例如，管理器12)。管理器的页错误处理机(例如，页错误处理机40)可以确定指令指针和出错地址，例如以便判断该页错误是指令页错误还是数据页错误。例如，如果指令指针(即，指向处理器接下来将尝试执行的存储器地址的指针)指向出错地址，则该页错误是指令页错误。

转到图1的基础设施，管理器12可以运行客户机OS的多个实例。管理器12可以是服务器、防火墙、防病毒解决方案或者更一般地是计算机的一部分。在一个示例性实现中，管理器12是Xen单元，Xen单元在裸硬件上运行并提供在相同的硬件上同时地运行OS的多个实例的能力。典型的Xen设置可以涉及Xen在多个OS之下运行，其中应用位于与一组客户机(例如客户机14)相关联的OS之上。该完整的配置可以在服务器(或者某个其它网络设施)中提供。在一个示例性实施例中，客户机14可能正在运行与DOM042相关联的OS。应当注意，Xen实现仅仅表示本公开内容可以应用的一个可能示例。任意数量的其它管理器可以类似地从本申请所讨论的广泛教导中受益。

用于管理管理器12的控制工具可以在DOM042上运行。DOM042可以提供统一的接口，来在管理器12上管理客户机(例如，客户机14)。DOM042可以提供一种供管理员配置管理器12的方式，包括：管理存储、控制客户机行为的方面、建立虚拟网络、配置管理器和一个或多个客户机、以及对客户机进行创建、删除、关闭、引导等等。例如，这种类型的设置在服务器运行Xen、Xen进而拥有客户机的多个实例的数据中心中可以是流行的。DOM042可以包括修改的Linux内核，并且可以具有用于访问物理I/O资源、以及与在该系统上运行的其它虚拟机进行交互的特殊权利。通常，DOM042是在系统引导时所发起的第一域，并且其可以用于创建和配置所有其它常规的客户机(例如，客户机14)。管理器环境可能要求DOM042在其它客户机能够被启动之前进行运行。

转到图2，图2的简化流程图示出了可以与本公开内容的实施例相关联的示例性操作步骤。操作100可以开始于102，此时激活DOM042。在104，锁定模块44可以使能域创建期间的锁定功能(其与从客户机上下文到管理器上下文的VMEXIT转换相关联)。在106，可以在管理器12中，设置特定于域的数据结构中的锁定功能比特。在108，可以启动管理器虚拟机(HVM)(即，客户机14)。在110，在VMEXIT到管理器12的情况下，客户机OS18可以创建针对客户机内核页30的页表条目(PTE)。在112，rootkit防护模块36可以在影子页表32中，创建针对客户机内核页30的PTE34。在114，rootkit防护模块36可以在由管理器12所维持的影子页表32中，将客户机内核页30标记成NOT_PRESENT。此外，在116，可以连同与处理器22相关联的虚拟机指令(VMRUN)一起来提供该操作。

如果已经使能了rootkit防护(例如，客户机OS18已经引导并装载了其内核组件)，则页错误处理机40可以执行诸如下面的动作：遍历管理器12中的影子页表32，以及向散列38添加虚拟地址(例如，其与先前没有访问的页相对应)。在一个示例性实施例中，在客户机18完成引导之后，这些动作发生一次，随后系统10可以视作为被锁定。

在120，客户机OS14中的应用20可以尝试访问客户机内核页30。尝试访问客户机内核页30，可能造成122中的页错误(这是由于客户机内核页30已被标记成NOT_PRESENT)。应当注意，如果没有使能rootkit防护(例如，客户机OS18尚未引导和装载其内核组件)，并且如果页错误位于分页池范围和非分页池范围之外，则页错误处理机40可以简单地修复该页错误，并将针对每一个出错虚拟地址(例如，在分页池范围和非分页池范围中)的页起始地址存储在散列38中。可以允许对位于分页池和非分页池范围之外的这些地址进行访问，这是由于通常将内核驱动器装载在分页池范围和非分页池范围之内。

当在122中遭遇到页错误时，在124中，判断该页错误是指令页错误还是数据页错误。如果该页错误是数据页错误，则搜索软白名单(即散列38)以查找与出错虚拟地址相对应的MFN散列。如果在散列38中存在该出错虚拟地址的MFN，则与该页错误相关联的页是合法的。因此，在126，页错误处理机40可以永久地修复该页错误，以便允许该页的未来访问/执行。另一方面，如果在散列38中不存在与该出错虚拟地址相对应的MFN，则该内核页是新的，并且向其进行写入的任何尝试可能包括代码或数据。因此，在126，页错误处理机40可以永久地修复该页错误，将该页标记成NX(不执行)。这可以确保发生最少的页错误，同时防止任何新的内核页被访问或者执行。其它页可以继续是可读/写的(在不存在任何页错误的情况下)，直到尝试执行该页为止。在128，可以允许应用20访问影子页表32，并且该过程结束于130。

如果在124中确定该页错误是指令错误，则页错误处理机40可以在132中检查在散列38中是否存在针对该出错虚拟地址的MFN。如果存在，则在134中页错误处理机40可以永久地修复该页错误(例如，允许未来访问/执行)，并将该页标记成只读，删除任何NX并允许访问/执行。如果在散列38中不存在该页，则其可能意味着该页是新内核页，并且在136中，页错误处理机40可以拒绝执行。可以以下面几种方式来实现拒绝执行：(i)不修复页错误，造成客户机14中的出错线程无限地循环；(ii)不修复页错误，并在客户机14中注入异常。该异常可以被出错进程捕获。如果该进程不处理该异常，则其可以被杀掉；(iii)可以修复页错误，但可以使与该出错页相关联的影子PTE34指向制作的页而不是期望的页。该制作的页可以配置有造成客户机14崩溃，或者造成将无害地执行无操作被执行(NOP)指令的代码。其它示例是时客户机14“蓝屏”、插入造成优雅地退出的伪页等等。该过程可以在138处结束。

可以在各个位置处(例如，在rootkit防护模块36中)，提供用于内核rootkit防护(以及禁止执行危险代码)的软件。在一个示例性实现中，该软件驻留在寻求被保护以防止安全攻击(或者防止不想要的、或者未授权的对可写入存储区域的操作)的计算机中。在更详细的配置中，该软件专门驻留在管理器的安全层中，其可以包括图1所描述的组件(或者与它们进行交互)。在其它实施例中，可以从web服务器接收或者下载软件(例如，在针对单独的设备、单独的虚拟机、客户机、管理器、服务器等等，购买单独的终端用户许可的背景下)，以便提供该内核rootkit防护。

在其它示例中，内核rootkit防护功能可以涉及专有单元(例如，作为防病毒解决方案的一部分)，其中这些专有单元可以在这些标识的单元中提供(或者接近这些标识的单元)，或者在任何其它设备、服务器、网络设施、控制台、防火墙、交换机、信息技术(IT)设备等等中提供，或者被提供成互补解决方案(例如，结合防火墙)，或者在网络中的某个地方进行设置。如本说明书中所使用的，术语‘计算机’意味着涵盖：用于在安全环境下，影响或者处理电子信息的这些可能单元(VMM、管理器、Xen设备、虚拟设备、网络设备、路由器、交换机、网关、处理器、服务器、负载平衡器、防火墙或者任何其它适当的设备、组件、单元或对象)。此外，这种计算机可以包括：有助于实现其操作的任何适当硬件、软件、组件、模块、接口或者对象。这可以包括：允许有效的防护内核rootkit的适当算法和通信协议。此外，可以以任何适当的方式，对内核rootkit防护功能进行合并。沿着类似的设计替换方案，可以以各种可能的配置，对各个附图中的所描绘模块和组件里的任何一个进行组合：所有这些都清晰地落入本说明书的广泛范围之内。

这些单元(例如，计算机、服务器、网络设施、防火墙、管理器、任何其它类型的虚拟单元等等)中的任何一个，可以包括能够执行软件或者算法以便执行如本说明书所讨论的内核rootkit防护动作的处理器。另外，在适当时病基于特定的需求，这些单元(例如，计算机、服务器、网络设施、防火墙、管理器、任何其它类型的虚拟单元等等)中的每一个，可以包括存储器单元(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等等)、软件、硬件，或者位于任何其它适当的组件、设备、单元或者对象中。基于特定的需求和实现，可以在任何数据库、寄存器、表、高速缓存、队列、控制列表或者存储结构中提供在系统10中被跟踪、发送、接收或者存储的信息，所有这些可以用任何适当的时间表来引用。

这些单元和/或模块可以彼此之间进行协作，以便结合管理器环境中的内核rootkit防护来执行这些动作，如本申请所讨论的。在其它实施例中，可以将这些特征提供在这些单元之外，包括在其它设备中以实现这些意图的功能，或者以任何适当的方式进行合并。例如，可以删除或者合并与各个单元相关联的处理器中的一些，使得单一处理器和单一存储单元负责某些动作。通常来讲，附图中所描述的排列就其表示性来说是更加具有逻辑性的，而物理体系结构可以包括这些单元的各种置换、组合和/或混合。

本申请所讨论的存储器术语中的任何一个(例如，客户机内核页30、影子页表32、机器存储器24、客户机虚拟存储器26、客户机物理存储器28、散列38等等)，应当被解释成涵盖在广义术语‘存储器单元’之内。类似地，在本说明书中所描述的潜在处理单元、模块和机器中的任何一个，应当被解释成涵盖在广义术语‘处理器’之内。计算机、网络设施、虚拟单元等等中的每一个也可以包括：用于在管理器环境中接收、发送和/或传输数据或者信息的适当接口。

处理器可以执行与数据相关联的任何类型的指令，以实现本申请在该说明书中所详细描述的操作。在一个示例中，处理器(如附图中所示出的)可以将一个单元或者物品(例如，数据)从一种状态或者事物转换成另一种状态或者事物。在另一个示例中，本申请所概述的动作可以用固定逻辑或者可编程逻辑(例如，由处理器执行的软件/计算机指令)来实现，并且本申请所标识的单元可以是某种类型的可编程处理器、可编程数字逻辑(例如，现场可编程门阵列(FPGA))、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)或者包括数字逻辑、软件、代码、电子指令或者其任意组合的ASIC。

在某些示例性实现中，本申请所概述的内核rootkit防护功能可以通过在一个或多个有形、非临时性介质中编码的逻辑(例如，在专用集成电路(ASIC)、数字信号处理器(DSP)指令、将由处理器或者其它类似机器执行的软件(其潜在地包含目标代码和源代码)等等中提供的嵌入式逻辑)来实现。在这些实例中的一些中，存储器单元(如附图中所示)可以存储用于本申请所描述的操作的数据。这包括能够存储软件、逻辑、代码或者处理器指令的存储器单元，其中这些软件、逻辑、代码或者处理器指令被执行以实现本说明书中所描述的动作。在各个实施例中，这些单元中的一些或者全部包括：能够协调、管理或者协作以便实现如本申请所概述的操作的软件(或者往复式软件)。这些单元中的一个或多个可以包括有助于实现其操作的任何适当的算法、硬件、软件、组件、模块、接口或者对象。

应当注意，在本申请提供的众多示例中，通过两个、三个、四个或者更多的网络单元和模块来描述交互。但是，这只是用于清楚说明和举例说明目的。应当理解的是，可以以任何适当的方式对系统进行合并。沿着类似的设计替换方案，可以将图1中的所描绘的模块、组件和单元中的任何一个以各种可能的配置进行组合，所有这些都清晰地落入本说明书的广泛范围之内。在某些情况下，通过仅仅引用有限数量的单元或者组件，来描述一组给定的流程的功能中的一个或多个是更容易的。应当理解的是，图1的系统(以及其教导)可容易地扩展，并且能适应很大数量的组件以及更复杂/高深的排列和配置。因此，所提供的示例不应当限制系统10的范围，或者约束系统10的广义教导，这是因为这些示例可以潜在地应用于各种其它架构。

同样重要的是要注意，参照前述的附图所描述的操作仅仅描绘了可以由该系统执行、或者在该系统中执行的可能场景中的一些。在适当时，可以对这些操作中的一些进行删除或者去除，或者可以对这些步骤进行相当的修改或者改变，而不脱离所讨论的构思的范围。此外，可以对这些操作的时序进行相当的改变，但仍然获得本公开内容中所教示的结果。提供前述的操作流程，只是用于举例和讨论目的。本系统所提供的实质的灵活性在于：可以在不脱离所讨论的构思的教导的基础上，提供任何适当的排列、年表、配置和定时机制。

Claims

1.一种用于管理器环境中的内核rootkit防护的方法，包括：

创建软白名单，所述软白名单具有与管理器环境中的客户机操作系统OS中的每一个客户机内核页相对应的条目，所述管理器环境包括管理器；

当针对客户机内核页进行访问尝试时，产生页错误；

如果所述客户机内核页与所述软白名单中的所述条目中的一个条目相对应，则修复所述页错误，以便允许访问和执行；以及

如果所述客户机内核页不与所述软白名单中的所述条目中的任何一个条目相对应，则拒绝执行。

2.根据权利要求1所述的方法，还包括：

如果所述页错误是指令页错误，并且所述客户机内核页与所述软白名单中的所述条目中的一个条目相对应，则将所述客户机内核页标记成只读的和可执行的。

3.根据权利要求1所述的方法，还包括：

如果所述页错误是数据页错误，并且所述客户机内核页不与所述软白名单中的所述条目中的任何一个条目相对应，则：

修复所述页错误；以及

将所述客户机内核页标记成不可执行的。

4.根据权利要求1所述的方法，其中，创建所述软白名单包括：将与每一个客户机内核页的虚拟地址相对应的机器页面号MFN添加到散列中。

5.根据权利要求1所述的方法，还包括：

在所述管理器的影子页表中，将与每一个客户机内核页相对应的页表条目PTE标记成NOT_PRESENT。

6.根据权利要求1所述的方法，其中，拒绝执行包括以下中的一个：

使所述客户机OS无限地循环；

在所述客户机OS中注入异常；或者

修复所述页错误，并将所述影子页表中的相应页表条目PTE指向制作的页而不是所述客户机内核页，其中，所述制作的页包括代码，所述代码使所述客户机OS崩溃或者引起一组无害地执行的无操作NOP指令。

7.根据权利要求1所述的方法，其中，创建所述软白名单是在所述客户机OS在引导时已经装载了其所有内核组件之后执行的。

8.根据权利要求1所述的方法，其中，创建所述软白名单是在所述客户机OS已经装载了其所有内核组件之前执行的，并且每一个客户机内核页来自于分页池范围或者非分页池范围。

9.根据权利要求1所述的方法，还包括：

在域创建期间，在所述管理器中设置锁定功能位，以使能rootkit防护。

10.一种用于管理器环境中的内核rootkit防护的装置，包括：

存储器；和

处理器；以及

管理器，使得所述装置被配置为：

当针对客户机内核页进行访问尝试时，产生页错误；

11.根据权利要求10所述的装置，其中，所述装置还被配置为：

12.根据权利要求10所述的装置，其中，所述装置还被配置为：

修复所述页错误；以及

将所述客户机内核页标记成不可执行的。

13.根据权利要求10所述的装置，其中，创建所述软白名单包括：将与每一个客户机内核页的虚拟地址相对应的机器页面号MFN添加到散列中。

14.根据权利要求10所述的装置，其中，拒绝执行包括以下中的一个：

使所述客户机OS无限地循环；

在所述客户机OS中注入异常；或者

修复所述页错误，并将所述管理器的影子页表中的相应页表条目PTE指向制作的页而不是所述客户机内核页，其中，所述制作的页包括代码，所述代码使所述客户机OS崩溃或者引起一组无害地执行的无操作NOP指令。

15.一种用于管理器环境中的内核rootkit防护的装置，包括：

用于创建软白名单的模块，所述软白名单具有与管理器环境中的客户机操作系统OS中的每一个客户机内核页相对应的条目，所述管理器环境包括管理器；

用于当针对客户机内核页进行访问尝试时，产生页错误的模块；

用于如果所述客户机内核页与所述软白名单中的所述条目中的一个条目相对应，则修复所述页错误，以便允许访问和执行的模块；以及

用于如果所述客户机内核页不与所述软白名单中的所述条目中的任何一个条目相对应，则拒绝执行的模块。

16.根据权利要求15所述的装置，还包括：

用于如果所述页错误是指令页错误，并且所述客户机内核页与所述软白名单中的所述条目中的一个条目相对应，则将所述客户机内核页标记成只读的和可执行的模块。

17.根据权利要求15所述的装置，还包括：

用于如果所述页错误是数据页错误，并且所述客户机内核页不与所述软白名单中的所述条目中的任何一个条目相对应，则：

修复所述页错误；以及

将所述客户机内核页标记成不可执行的模块。

18.根据权利要求15所述的装置，其中，用于创建所述软白名单的模块包括：用于将与每一个客户机内核页的虚拟地址相对应的机器页面号MFN添加到散列中的模块。

19.根据权利要求15所述的装置，还包括：

用于在所述管理器的影子页表中，将与每一个客户机内核页相对应的页表条目PTE标记成NOT_PRESENT的模块。

20.根据权利要求15所述的装置，其中，拒绝执行包括以下中的一个：

使所述客户机OS无限地循环；

在所述客户机OS中注入异常；或者

21.根据权利要求15所述的装置，其中，创建所述软白名单是在所述客户机OS在引导时已经装载了其所有内核组件之后执行的。

22.根据权利要求15所述的装置，其中，创建所述软白名单是在所述客户机OS已经装载了其所有内核组件之前执行的，并且每一个客户机内核页来自于分页池范围或者非分页池范围。

23.根据权利要求15所述的装置，还包括：

用于在域创建期间，在所述管理器中设置锁定功能位，以使能rootkit防护的模块。