RU2537814C9 - Method of launching hypervisor in computer system at early computer booting stage - Google Patents
Method of launching hypervisor in computer system at early computer booting stage Download PDFInfo
- Publication number
- RU2537814C9 RU2537814C9 RU2013104952A RU2013104952A RU2537814C9 RU 2537814 C9 RU2537814 C9 RU 2537814C9 RU 2013104952 A RU2013104952 A RU 2013104952A RU 2013104952 A RU2013104952 A RU 2013104952A RU 2537814 C9 RU2537814 C9 RU 2537814C9
- Authority
- RU
- Russia
- Prior art keywords
- computer
- hypervisor
- uefi
- module
- thin
- Prior art date
Links
Landscapes
- Stored Programmes (AREA)
Abstract
Description
Предлагаемое изобретение относится к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации.The present invention relates to a method for starting a hypervisor in a computer system that is protected from unauthorized access to information.
В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.Currently, Unified Extensible Firmware (UEFI) is being developed for modern computers, or rather their motherboards. This interface is designed to replace the computer BIOS and is intended to correctly initialize the equipment when the system is turned on and transfer control to the bootloader of the operating system. UEFI has two phases: the preliminary EFI phase, at which the computer elements are initialized and the driver execution phase of the Driver Execution Environment (DXE), after which the computer’s operating system is already loaded, see, for example, US 2009319763 A1 dated 12.24.2009. Thanks to the use of UEFI, the loading of the computer operating system is accelerated.
Наиболее близким техническим решением является RU 2446447 C2, от 27.03.2012, в котором описан способ для управления доступом операционных систем с помощью гипервизора. Данный способ заключается в загрузке компьютером BIOS. В BIOS имеется набор инструкций, исполняемых на этапе загрузки, осуществляющих запуск гипервизора. Недостатком данного способа является недостаточная защита компьютера, т.к. гипервизор хранится в разделе на запоминающем устройстве, которое может быть подвержено изменению.The closest technical solution is RU 2446447 C2, dated 03/27/2012, which describes a method for controlling access of operating systems using a hypervisor. This method consists in loading the computer BIOS. The BIOS has a set of instructions executed at the boot stage that start the hypervisor. The disadvantage of this method is the lack of computer protection, because The hypervisor is stored in a section on the storage device, which may be subject to change.
Предлагаемое техническое решение предлагает способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. В предлагаемом решении гипервизор является частью UEFI, находящейся в модуле памяти, и не подвержен изменению при загруженной операционной системе, поэтому компьютер, загружаемый по предлагаемому способу, будет обладать повышенной защищенностью операционной системы.The proposed technical solution provides a way to start a hypervisor in a computer system at an early stage of computer loading. In the proposed solution, the hypervisor is part of the UEFI located in the memory module, and is not subject to change when the operating system is loaded, so the computer loaded by the proposed method will have increased security of the operating system.
Задача, которую позволяет решить предлагаемое изобретение, - возможность гарантированного запуска гипервизора до старта любого кода расположенного на доступных носителях/запоминающих устройствах, подверженных вирусным атакам, с целью предотвращения несанкционированного доступа к информации и проверки всего графика информации антивирусом, внутри самого модуля гипервизора.The task that the present invention allows to solve is the possibility of guaranteed launch of the hypervisor before the start of any code located on accessible media / storage devices susceptible to virus attacks, in order to prevent unauthorized access to information and check the entire information schedule by the antivirus, inside the hypervisor module itself.
Технический результат предлагаемого технического решения - повышение безопасности компьютера.The technical result of the proposed technical solution is to increase the security of the computer.
Технический результат достигается тем, что способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера включает загрузку компьютером UEFI из своего модуля памяти, UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося частью UEFI, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы.The technical result is achieved in that a method for starting a hypervisor in a computer system at an early stage of computer boot-up involves loading the UEFI computer from its memory module, the UEFI is configured so that immediately after the transition to the driver execution environment is completed, a thin hypervisor that is part of UEFI is launched, while the thin hypervisor selects at least one storage device for loading the main operating system, in addition, the thin hypervisor has a built-in antivirus module, which nd when it detects potentially dangerous files, blocks and passes the information to the main antivirus module that runs within the operating system.
Модуль памяти компьютера, в котором хранится UEFI, по существу представляет собой микросхему FLASH.The memory module of the computer in which the UEFI is stored is essentially a FLASH chip.
На фиг.1 показана схема способа запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера.Figure 1 shows a diagram of a method of starting a hypervisor in a computer system at an early stage of loading a computer.
Рассмотрим работу предлагаемого способа на примере устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того, одной из частей UEFI является модуль тонкого гипервизора. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), на которых установлена загружаемая операционная система, монитор, корпус с блоком питания, клавиатура и мышь.Consider the work of the proposed method on the example of a computer device to run a thin hypervisor in UEFI at an early stage of computer boot. To operate the proposed computer, the motherboard of the computer is used, which has a memory module in the form of a FLASH chip, where instead of BIOS (BIOS) UEFI is recorded. In addition, one of the parts of UEFI is the thin hypervisor module. The remaining elements of the computer represent the standard elements of the computer: a processor with a cooling system, RAM, a video card, hard disks (SSD or HDD), on which a bootable operating system, a monitor, a case with a power supply, a keyboard and a mouse are installed.
Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE запускается модуль гипервизора. Модуль тонкого гипервизора является прослойкой между ОС и интерфейсами, виртуализирует все интерфейсы устройства. Т.е., допустим, у устройства есть интерфейс беспроводного доступа к сети, интерфейсы монитора, принтера и CD дисковода. В обычном случае операционная система видит эти устройства и обращается к ним напрямую. И вредоносная программа или неавторизованный пользователь могут при определенных условиях получить доступ к этим интерфейсам. При включенном модуле тонкого гипервизора ОС видит только сам гипервизор, не видя интерфейсы устройств напрямую, а только те и в таком виде, как это отображает для нее гипервизор. Таким образом, определенные пользователи или программы (зависит от настройки гипервизора) просто не увидят, например, принтер или беспроводной доступ к сети, поскольку для них гипервизор не будет отображать эти интерфейсы, и система будет считать, что такого устройства на компьютере нет. Напротив, тонкий гипервизор может показывать системе какие-либо устройства, не существующие в действительности, например виртуальный принтер или виртуальный жесткий диск. Кроме того, весь трафик, которым обменивается ОС с любыми интерфейсами, обрабатывается гипервизором и может независимо от ОС быть передан гипервизором для обработки антивирусным модулем, при этом сама операционная система, даже в случае, если она будет взята под контроль вредоносной программой, не будет иметь информации о том, что такая проверка проводится, что исключает воздействие вирусов на процесс проверки (и лечения). В нашем случае особенностью является то, что запуск этого тонкого гипервизора осуществляется на описанной выше предзагрузочной стадии, до запуска любых программ (и до появления у пользователя возможности осуществления действий), которые потенциально могли бы повлиять на запуск тонкого гипервизора или предотвратить его.The method of starting a hypervisor in a computer system at an early stage of computer boot is as follows. The user turns on the computer, after which the UEFI download starts, and various graphic or textual design of the UEFI download can be formed on the monitor. After performing the UEFI transition to the driver execution environment - DXE, the hypervisor module is launched. The thin hypervisor module is a layer between the OS and interfaces, it virtualizes all device interfaces. That is, let's say the device has an interface for wireless access to the network, interfaces for a monitor, printer, and CD drive. In the usual case, the operating system sees these devices and accesses them directly. And a malicious program or an unauthorized user can, under certain conditions, gain access to these interfaces. When the thin hypervisor module is turned on, the OS sees only the hypervisor itself, without seeing the device interfaces directly, but only those in the form that the hypervisor displays for it. Thus, certain users or programs (depending on the configuration of the hypervisor) simply will not see, for example, a printer or wireless access to the network, because for them the hypervisor will not display these interfaces, and the system will assume that there is no such device on the computer. In contrast, a thin hypervisor can show the system any devices that do not really exist, such as a virtual printer or virtual hard disk. In addition, all traffic exchanged by the OS with any interfaces is processed by the hypervisor and can be transmitted by the hypervisor for processing by the antivirus module regardless of the OS, while the operating system itself, even if it is taken under control by a malicious program, will not have information that such a check is carried out, which excludes the effect of viruses on the check process (and treatment). In our case, the peculiarity is that the launch of this thin hypervisor is carried out at the preboot stage described above, before launching any programs (and until the user has the ability to take actions) that could potentially affect the launch of the thin hypervisor or prevent it.
Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода.The hypervisor code is located inside the microchip of the memory module and is not subject to the possibility of changing or discrediting the code.
При этом в модуль тонкого гипервизора встроен модуль антивируса. В связи с чем гипервизор виртуализирует интерфейсы взаимодействия с сетевой и дисковой подсистемой компьютера с целью добавления дополнительных процедур антивирусной проверки передаваемого графика. Модуль антивируса при обнаружении потенциальных опасностей блокирует данный трафик и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы. Помимо контроля графика гипервизор предназначен для контроля памяти процессов с целью выявления несанкционированных изменений. При обнаружении изменений процесс блокируется, и передается информация основному модулю антивируса. Смысл тонкого гипервизора в том, что он является прослойкой между операционной системой (ОС) и интерфейсами устройства, при включенном гипервизоре все обращения ОС к сети, дискам, устройствам ввода и вывода идут не напрямую, как в обычном случае, а обрабатываются гипервизором, который может эмулировать какие-либо интерфейсы, не существующие в реальности, или запрещать системе видеть реально существующие, или подменять их, что позволяет гарантированно контролировать трафик с целью выявления вирусной активности и угроз безопасности, а также определять политики доступа для различных пользователей.At the same time, an antivirus module is built into the thin hypervisor module. In this connection, the hypervisor virtualizes the interaction interfaces with the network and disk subsystems of the computer in order to add additional anti-virus scanning procedures for the transmitted schedule. When detecting potential dangers, the antivirus module blocks this traffic and transfers information to the main antivirus module, which runs inside the operating system. In addition to controlling the schedule, the hypervisor is designed to control the memory of processes in order to detect unauthorized changes. When changes are detected, the process is blocked and information is transmitted to the main antivirus module. The meaning of a thin hypervisor is that it is a layer between the operating system (OS) and device interfaces, with the hypervisor turned on, all OS calls to the network, disks, input and output devices do not go directly, as in the usual case, but are processed by the hypervisor, which can emulate any interfaces that do not exist in reality, or prevent the system from seeing the real ones, or replace them, which allows guaranteed control of traffic in order to detect virus activity and security threats, as well as e Define access policies for different users.
Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации компьютера для запуска тонкого гипервизора в UEFI, например, сохраняя код модуля антивируса на отдельной микросхеме FLASH. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.A specific embodiment of the proposed technical solution was disclosed above, but it is obvious to any person skilled in the art that based on the disclosed data, it is possible to create computer variations for launching a thin hypervisor in UEFI, for example, storing the antivirus module code on a separate FLASH chip. Thus, the scope of the invention should not be limited to the specific embodiment disclosed in the proposed claims.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013104952A RU2537814C9 (en) | 2013-02-06 | 2013-02-06 | Method of launching hypervisor in computer system at early computer booting stage |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013104952A RU2537814C9 (en) | 2013-02-06 | 2013-02-06 | Method of launching hypervisor in computer system at early computer booting stage |
Publications (3)
Publication Number | Publication Date |
---|---|
RU2013104952A RU2013104952A (en) | 2014-08-20 |
RU2537814C2 RU2537814C2 (en) | 2015-01-10 |
RU2537814C9 true RU2537814C9 (en) | 2018-07-13 |
Family
ID=51384050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013104952A RU2537814C9 (en) | 2013-02-06 | 2013-02-06 | Method of launching hypervisor in computer system at early computer booting stage |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2537814C9 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2755771C1 (en) * | 2020-08-03 | 2021-09-21 | Общество С Ограниченной Ответственностью "Кировский Региональный Центр Деловой Информации" | Method for starting a hypervisor in a computer system at an early stage of loading the computer from an external hardware apparatus |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090319763A1 (en) * | 2008-06-19 | 2009-12-24 | Zimmer Vincent J | Non-blocking uefi i/o channel enhancements |
RU107619U1 (en) * | 2011-04-11 | 2011-08-20 | Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" | SYSTEM FOR MONITORING PROGRAM PROGRESS |
RU2446447C2 (en) * | 2006-05-15 | 2012-03-27 | Майкрософт Корпорейшн | Launching hypervisor under running operating system |
RU2460133C1 (en) * | 2011-06-28 | 2012-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of protecting computer applications |
US20120240182A1 (en) * | 2011-03-18 | 2012-09-20 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
-
2013
- 2013-02-06 RU RU2013104952A patent/RU2537814C9/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2446447C2 (en) * | 2006-05-15 | 2012-03-27 | Майкрософт Корпорейшн | Launching hypervisor under running operating system |
US20090319763A1 (en) * | 2008-06-19 | 2009-12-24 | Zimmer Vincent J | Non-blocking uefi i/o channel enhancements |
US20120240182A1 (en) * | 2011-03-18 | 2012-09-20 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
RU107619U1 (en) * | 2011-04-11 | 2011-08-20 | Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ" | SYSTEM FOR MONITORING PROGRAM PROGRESS |
RU2460133C1 (en) * | 2011-06-28 | 2012-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of protecting computer applications |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2755771C1 (en) * | 2020-08-03 | 2021-09-21 | Общество С Ограниченной Ответственностью "Кировский Региональный Центр Деловой Информации" | Method for starting a hypervisor in a computer system at an early stage of loading the computer from an external hardware apparatus |
Also Published As
Publication number | Publication date |
---|---|
RU2013104952A (en) | 2014-08-20 |
RU2537814C2 (en) | 2015-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11861005B2 (en) | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features | |
JP6706273B2 (en) | Behavioral Malware Detection Using Interpreted Virtual Machines | |
EP2981925B1 (en) | Systems, methods and apparatuses for protection of antivirus software | |
US7769993B2 (en) | Method for ensuring boot source integrity of a computing system | |
US9135435B2 (en) | Binary translator driven program state relocation | |
US9448888B2 (en) | Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank | |
US20090300307A1 (en) | Protection and security provisioning using on-the-fly virtualization | |
EP3308274B1 (en) | Executing services in containers | |
RU2538286C2 (en) | Method of launching hypervisor in computer system at early computer booting stage | |
RU129675U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
RU2537814C2 (en) | Method of launching hypervisor in computer system at early computer booting stage | |
EP2729893B1 (en) | Security method and apparatus | |
RU129674U1 (en) | COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS | |
Suzaki et al. | Kernel memory protection by an insertable hypervisor which has VM introspection and stealth breakpoints | |
RU128742U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
RU129278U1 (en) | COMPUTER WITH ANTI-VIRUS PROTECTION AT UEFI AT EARLY DOWNLOAD STAGE | |
RU2538287C2 (en) | Method of checking computer with antivirus in uefi at early stage of booting computer | |
RU2755771C1 (en) | Method for starting a hypervisor in a computer system at an early stage of loading the computer from an external hardware apparatus | |
Wang et al. | Hardware-assisted application integrity monitor | |
RU2533303C2 (en) | Antivirus computer system | |
Mironov et al. | Trusted Boot Mechanisms in Physical and Virtual Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TK4A | Correction to the publication in the bulletin (patent) |
Free format text: CORRECTION TO CHAPTER -FG4A- IN JOURNAL 1-2015 FOR INID CODE(S) (73) |
|
TH4A | Reissue of patent specification |