CN103778368A - 一种基于系统虚拟化技术的进程安全隔离方法 - Google Patents
一种基于系统虚拟化技术的进程安全隔离方法 Download PDFInfo
- Publication number
- CN103778368A CN103778368A CN201410032134.1A CN201410032134A CN103778368A CN 103778368 A CN103778368 A CN 103778368A CN 201410032134 A CN201410032134 A CN 201410032134A CN 103778368 A CN103778368 A CN 103778368A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- progress
- isolated
- kvm
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于系统虚拟化技术的进程安全隔离方法,属于云计算中的信息安全领域。其包括如下步骤:加载被隔离进程,获取进程运行环境信息;创建进程虚拟机,创建上述进程环境,并设置虚拟机进入、退出机制;在虚拟机内存中写入进程引导程序,等待被引导进程的植入;将被隔离进程移植到虚拟机内部,并引导其正常运行。本发明优点在于:简化传统虚拟机,摒弃操作系统而将进程直接运行于虚拟机中,节省系统开销;虚拟机进入与退出机制保证进程访问系统资源所涉及的系统调用必须受到宿主机的控制,防止进程对系统资源的非法访问;只针对可疑进程进行隔离措施,有效阻止进程间非法通信,适用于高安全性需求的系统。
Description
技术领域
本发明涉及虚拟化技术领域,尤其涉及一种基于系统虚拟化技术的进程安全隔离方法。
背景技术
随着云计算概念的普及,作为其核心的虚拟化技术也受到前所未有的关注。虚拟化技术不仅可降低IT成本,还能增强系统的安全性和可靠性,因而其在商业应用上的优势得以充分体现。
虚拟化技术的应用最早出现在IBM大型机系统上,其通过一种称为虚拟机监控器(Virtual Machine Monitor,VMM)的程序,在物理硬件上虚拟出多个完备的,可以独立运行操作系统软件的虚拟机(Virtual Machine)系统实例。
VMM是实现虚拟机的关键,其通常具有三个特性:等价性,即除开时序、资源可用性,受控程序其他行为应与未受控情况无差异,并且可以自由执行预先编写的特权指令;效率性,即VMM不参与执行客户机绝大多数指令,其必须由宿主机硬件直接执行;资源控制,VMM具有ring0级权限,可管理所有系统资源。
现今的虚拟化技术通常可分为三个大类,分别是:平台虚拟化(Platform Virtualization)、资源虚拟化(Resource Virtualization)、应用程序虚拟化(Application Virtualization)。通常所说的虚拟化主要指的是平台虚拟化,其通过控制程序(Virtual Machine Monitor或Hypervisor)对计算机和操作系统进行虚拟化,隐藏其真实物理特性,为用户模拟一个统一、抽象的计算环境——虚拟机。
平台虚拟化通常可分为如下几类:完全虚拟化(Full Virtualization)、超虚拟化(Paravirtualization)、硬件辅助虚拟化(Hardware-Assisted Virtualization)、部分虚拟化(Partial Virtualization)和操作系统级虚拟化(Operating System Level Virtualization)。全虚拟化是对真实物理机最彻底,最完整的模拟,包括其各种底层硬件,如:处理器、物理内存、各种外设、时钟等等。通过此种虚拟化方式,操作系统或其他系统软件可以不做任何修改无差别的运行在虚拟机中;超虚拟化的实现必须建立在对客户机代码的修改之上,操作虽不便,但客户机可以通过此种方式与VMM直接进行交互。VMM支持Hypercall龚客户机直接调用,以此来替代部分硬件接口;硬件辅助虚拟化必须有硬件的支持,现今流行的是Intel-VT技术和AMD-V技术,通过硬件辅助,客户机可直接运行于系统的最高级别,VMM和客户机在运行环境上自动隔离开。
基于虚拟化各种优越性,其被广泛应用于各个领域,最常用的虚拟化技术应该是普通操作系统都支持的虚拟内存技术,其通过内存映射使应用程序以为自己拥有连续的可用内存;云计算通过服务器虚拟化技术,把多机多系统的计算节点组成群组,统一通过一个入口向外提供服务,使用户感觉其享受的服务来自于一台专用的计算机。在系统安全方面,研究人员利用系统虚拟化技术将安全敏感程序或是可疑进程置于安全的隔离执行环境中,以此不仅能得到更小的可验证的计算基,而且可将不同的应用程序和操作系统隔离开来,防止它们之间发生干扰和破坏,从而能够获得程序和系统在虚拟机抽象底层真实有效的执行状态和运行信息。
发明内容
针对以上现有技术中的不足,本发明的目的在于提供一种能够阻止进程间的非法通信,即使进程取得超级用户权限,也无法对宿主机进行违法操作, 最大限度的提高系统的安全性能的基于系统虚拟化技术的进程安全隔离方法,本发明的技术方案如下:一种基于系统虚拟化技术的进程安全隔离方法,其包括以下步骤:
获取LINUX平台下的待隔离进程,采用linux命令行终端将L-QEMU和待隔离进程引入内核进行装载,当待隔离进程完成内核装载并返回至用户空间时,L-QEMU替换LINUX默认的动态链接库解释器,获得程序控制权,在控制权移交给待隔离进程本身时,L-QEMU暂停进程,收集进程运行环境信息;
102、在LINUX平台下创建KVM(Kernel-based Virtual Machine)进程虚拟机,其中,KVM进程虚拟机主要包括虚拟机VM和虚拟CPU,在KVM进程虚拟机中布置步骤101中的进程运行环境,并设置KVM进程虚拟机的进入机制和退出机制;
103、将进程引导程序写入到步骤102中建立的KVM进程虚拟机内存段;
104、将步骤101中待隔离进程移植进入KVM进程虚拟机内,并利用步骤103中的进程引导程序将寄存器CS:IP的值设置为被隔离程序地址,使CPU执行被隔离程序,进而引导该进程在KVM进程虚拟机内正常运行。
进一步的,步骤101中的L-QEMU用于装载待隔离程序所需要的动态连接库、创建KVM进程虚拟机、设置进程运行环境、写入进程引导程序及进程移植控制。
进一步的,步骤101中的进程运行环境信息包括标志寄存器位、虚拟地址空间、物理地址空间和内存映射关系。
进一步的,步骤102中的KVM进程虚拟机取消硬盘和其他外设的创建,所述KVM进程虚拟机不安装操作系统,使被移植进虚拟机内的进程可直接 运行于裸机之上。
进一步的,步骤101中的动态连接库解释器为ld-linux.so.2,通过ELF二进制文件分析命令readelf获得。
进一步的,步骤102中的虚拟机退出机制是通过修改ELF Auxiliary Vector中指针函数所指地址,发生系统调用时,虚拟机执行人为设置的代码,从而发生虚拟机退出事件。
进一步的,步骤104中的待隔离进程移植进入KVM进程虚拟机内的步骤包括:
A1:确定进程移植时机,移植时需保证进程运行在用户态,而不在内核态;
A2:利用进程页表目录的基址,对被移植进程进行精确定位;
A3:L-QEMU移植进程,进入虚拟机。
本发明的优点及有益效果如下:
本发明方法简化传统虚拟机,摒弃操作系统而将进程直接运行于虚拟机中,节省系统开销;虚拟机进入与退出机制保证进程访问系统资源所涉及的系统调用必须受到宿主机的控制,防止进程对系统资源的非法访问;只针对可疑进程进行隔离措施,有效阻止进程间非法通信,适用于高安全性需求的系统。
附图说明
图1是本发明一优选实施例进程安全隔离框架图;
图2是进程移植图;
图3是KVM框架图;
图4是VM创建流程图;
图5是vCPU创建流程图。
具体实施方式
下面结合附图给出一个非限定性的实施例对本发明作进一步的阐述。
本发明提供一种基于系统虚拟化技术的进程安全隔离方法,整个方法的实现效果如图1所示。其包括如下步骤:
第一步:L-QEMU装载被隔离程序时替换动态连接库解释器,并暂停进程,收集进程运行环境信息。
在本实施方案中,隔离的首要关键点是在L-QEMU的作用下,使被隔离程序正常运行起来,内核在完成程序底层加载后,将控制权交于动态连接库解释器,解释器加载被隔离程序所需要的动态连接库。再者,运行程序时需将L-QEMU置于被隔离程序前面,通过此种方式,L-QEMU才可替代程序默认的ld-linux.so.2解释器,得到控制权。程序具体加载过程涉及到内核空间和用户空间。内核首先根据ELF映像头部信息将目标映像装入当前进程用户空间的某个位置,之后,判断目标映像是否需要使用动态连接共享库,如果需要,则还要根据映像头部所提供的信息,将所需的“解释器”的映像也映射到用户空间的某个位置上,最后从系统调用返回到用户空间解释器的入口。
在本实施方案中,所述程序装载包括如下具体步骤:
A1:execv()或execve()调用系统调用do_execve(),打开目标映像文件,读取文件头部信息;
A2:do_execve()调用search_binary_handler(),搜索Linux支持的可执行文件类型队列;
A3:类型匹配成功,调用load_binary函数指针指向的对应目标映像文件对应的处理函数load_elf_binary();
A4:load_elf_binary()调用load_elf_interp(),装入动态链接库解释器映像,设置load_elf_interp()返回值为返回用户空间的入口地址,即解释器的入口地址。
A5:在load_elf_binary()调用creat_elf_tables为目标映像和解释器 准备被相关信息,复制到用户空间。
A6:返回用户空间,移交控制权给解释器。
第二步:L-QEMU创建KVM进程虚拟机,创建步骤A中进程运行环境,并设置虚拟机进入、退出机制。在本实施方式中,虚拟机的创建包括VM和vCPU的创建,如图4、图5所示。具体创建步骤包括:
B1:内核加载KVM模块,进入KVM初始化模块;
B2:根据平台特性调用module_init()对特定的特定模块进行初始化,然后调用kvm_init初始化通用模块;
B3:L-QEMU首先打开/dev/kvm文件并且获得文件描述符fd;
B4:利用系统调用ioctl写入KVM_CREATE_KVM指令,调用kvm_dev_ioctl_create_vm创建VM虚拟机,获得文件描述符vm_fd;
B5:通过vm_fd描述符创建vCPU,获得vCPU的描述符,并初始化vCPU。
在本发明的一种优选实施方式中,所述进程虚拟机是基于传统虚拟机简化而来,移除不需要的硬盘和其他外设,另一方面,介于操作系统本质上也是一个程序,该进程虚拟机摒弃操作系统,使被移植进虚拟机内的进程可直接运行于裸机之上,因此,虚拟机只需要提供一个普通进程运行所需要的运行环境即可,不仅简化虚拟机的创建过程,而且最大限度的节省系统资源。
在本发明的一种优选实施方式中,所述虚拟机退出和进入机制需保证所有系统资源访问、文件读写涉及到的系统调用都必须产生虚拟机退出事件,而现今系统实现系统调用步骤包括:内核加载时,动态加载一个so文件到物理页;映射此物理也到用户空间;将函数根据其类型设置到ELF Auxiliary Vector中;glibc通过ELF Auxiliary Vector取得对应系统的调用函数实现系统调用。本发明中为实现对现有VM-Exit和VM-Entry的改进,在现有的Linux系统调用机制基础上,修改ELF Auxiliary Vector中指针函数所指地址,致使发生系统调用时,虚拟机执行人为设置的代码,从而发生虚拟机退出事件,以便L-QEMU截获进程的系统调用请求,通过分析判断后,L-QEMU将执行结果返回给进程。
在本实施方式中,所述KVM是Linux内核的一个模块,具有很好的移植性,其特点在于和Linux内核结合的非常好,因此,KVM继承了Linux大部分功能。在结构上,KVM采用的是基于Intel VT技术的硬件虚拟化,结合上层QEMU来提供设备虚拟化。Intel VT技术是KVM模块正常运行的关键,其中,VT-x引入了两种操作模式:跟操作模式和非根操作模式,二者统称为VMX操作模式。
根操作模式(VMX Root Operation)简称根模式,是VMM运行时所处的模式,在此模式下,所有的指令行为和传统IA32一样,因此,原系统中的软件都可以正常运行;非根操作模式(VMX Non-Root Operation)简称为非根模式,在此模式下,所有敏感指令的行为都被重新定义,使得它们能不经过虚拟化就直接运行或者通过“陷入再模拟”的方式来处理。
在非根模式下,敏感指令所引起的“陷入”称为VM-Exit,与其对应的是VM-Entry,其由VMM发起。当VM-Exit出现时,CPU自动从非根模式切换到根模式下,而VM-Entry的产生通常是因为VMM调度某个客户机运行时,CPU由根模式切换成非根模式。
第三步:L-QEMU将进程引导程序写入虚拟机内存,退出虚拟机,等待被引导进程的植入。在本实施方案中,将步骤101中待隔离进程移植进入KVM进程虚拟机内,并利用步骤103中的进程引导程序将寄存器CS:IP的值设置为被隔离程序地址,使CPU执行被隔离程序,进而引导该进程在KVM进程虚拟机内正常运行。写入引导程序的步骤包括:
C1:L-QEMU创建完虚拟机,并通过退出机制退出虚拟机,保存其运行状态;
C2:L-QEMU定位虚拟机内存段0x07C00-0x07DFF;
C3:L-QEMU将引导程序写入上述内存段。
上述步骤C2中,所述内存段0x07C00-0x07DFF存在于vCPU加电时的1M内存中,BIOS将此内存其分成7段内存,分别存放中断向量表、BIOS数据、引导程序等数。据系统会从该内存段调用引导程序,引导程序正常运行。
第四步:L-QEMU将被隔离进程移植到虚拟机内部,利用步骤C中引导程序 引导被移植进程正常运行。在本实施方式中,进程移植步骤包括:
D1:确定进程移植时机,移植时需保证进程运行在用户态,而不在内核态;
D2:利用进程页表目录的基址,对被移植进程进行精确定位;
D3:L-QEMU移植进程,进入虚拟机。
在本实施方式中,进程移植首先要考虑的问题是移植的时机,最佳的移植时机能够避免破坏系统的连续性和安全性,从而保证被移植进程和操作系统的正常运行。由于加载被移植程序是从用户态到内核态,再到用户态的过程,为保证程序加载完毕,兼顾系统和程序的有效运行,进程的移植需等到进程进入用户态时,即当控制权移交给L-QEMU时,才执行进程移植命令。在执行命令之前,VMM必须叫停虚拟机,即产生一个VM Exit退出事件,并保存退出时的虚拟机状态。
确定进程移植时间后,需要获得进程移植内容,本发明中进程移植是在内核加载完毕,返回用户时进行,相比于动态进程移植,时间上更早,因此,不需要将用户级指令可访问的代码和数据同时转移,只需要转移进程相关的执行环境(如寄存器值)和内存页帧。
图2描述了进程移植过程,在此过程中,首先利用Linux进程管理机制,暂停运行的进程,并锁死进程页表,保持与虚拟机中环境同步;L-QEMU通过进程描述结构task_struct得到进程相关信息,并从CPU运行状态得知寄存器值,然后根据进程虚拟地址空间的到进程物理页帧;L-QEMU将进程物理页帧转化为虚拟机中的客户物理页帧,VMM在本地缓冲区中存入进程信息,随后调用inject_irq()函数,通过虚拟终端请求的方式返回虚拟机;
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明方法权利要求所限定的范围。
Claims (7)
1.一种基于系统虚拟化技术的进程安全隔离方法,其特征在于包括以下步骤:
101、获取LINUX平台下的待隔离进程,采用LINUX命令行终端将L-QEMU和待隔离进程引入内核进行装载,当待隔离进程完成内核装载并返回至用户空间时,L-QEMU替换LINUX默认的动态链接库解释器,获得程序控制权,在控制权移交给待隔离进程本身时,L-QEMU暂停进程,收集进程运行环境信息;
102、在LINUX平台下创建KVM进程虚拟机,其中,KVM进程虚拟机主要包括虚拟机VM和虚拟CPU,在KVM进程虚拟机中布置步骤101中的进程运行环境,并设置KVM进程虚拟机的进入机制和退出机制;
103、将进程引导程序写入到步骤102中建立的KVM进程虚拟机内存段;
104、将步骤101中待隔离进程移植进入KVM进程虚拟机内,并利用步骤103中的进程引导程序将寄存器CS:IP的值设置为被隔离程序地址,使CPU执行被隔离程序,进而引导该进程在KVM进程虚拟机内正常运行。
2.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤101中的L-QEMU用于装载待隔离程序所需要的动态连接库、创建KVM进程虚拟机、设置进程运行环境、写入进程引导程序及进程移植控制。
3.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤101中的进程运行环境信息包括标志寄存器位、虚拟地址空间、物理地址空间和内存映射关系。
4.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤102中的KVM进程虚拟机取消硬盘和其他外设的创建,所述KVM进程虚拟机不安装操作系统,使被移植进虚拟机内的进程可直接运行于裸机之上。
5.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤101中的动态连接库解释器为ld-linux.so.2,通过ELF二进制文件分析命令readelf获得。
6.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤102中的虚拟机退出机制是通过修改ELF AuxiliaryVector中指针函数所指地址,发生系统调用时,虚拟机执行人为设置的代码,从而发生虚拟机退出事件。
7.根据权利要求1所述的基于系统虚拟化技术的进程安全隔离方法,其特征在于:步骤104中的待隔离进程移植进入KVM进程虚拟机内的步骤包括:
A1:确定进程移植时机,移植时需保证进程运行在用户态,而不在内核态;
A2:利用进程页表目录的基址,对被移植进程进行精确定位;
A3:L-QEMU移植进程,进入虚拟机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410032134.1A CN103778368A (zh) | 2014-01-23 | 2014-01-23 | 一种基于系统虚拟化技术的进程安全隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410032134.1A CN103778368A (zh) | 2014-01-23 | 2014-01-23 | 一种基于系统虚拟化技术的进程安全隔离方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103778368A true CN103778368A (zh) | 2014-05-07 |
Family
ID=50570594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410032134.1A Pending CN103778368A (zh) | 2014-01-23 | 2014-01-23 | 一种基于系统虚拟化技术的进程安全隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103778368A (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105302092A (zh) * | 2014-07-25 | 2016-02-03 | 费希尔-罗斯蒙特系统公司 | 基于最小特权的过程控制软件安全架构 |
WO2016070623A1 (zh) * | 2014-11-05 | 2016-05-12 | 中兴通讯股份有限公司 | 敏感信息安全保护方法和装置 |
CN105740044A (zh) * | 2016-01-25 | 2016-07-06 | 华中科技大学 | 一种缩减宿主型虚拟化软件可信计算基的方法 |
WO2016131383A1 (zh) * | 2015-07-16 | 2016-08-25 | 中兴通讯股份有限公司 | 一种系统的维护进程运行方法及装置 |
WO2017036376A1 (zh) * | 2015-09-06 | 2017-03-09 | 华为技术有限公司 | 一种数据访问方法、代码调用方法及虚拟机监视器 |
CN106886447A (zh) * | 2017-01-16 | 2017-06-23 | 武汉噢易云计算股份有限公司 | 基于云计算提升三维图形软件性能的系统及方法 |
WO2017185204A1 (zh) * | 2016-04-25 | 2017-11-02 | 深圳前海达闼云端智能科技有限公司 | 一种虚拟机创建方法和装置 |
CN108241801A (zh) * | 2016-12-26 | 2018-07-03 | 华为技术有限公司 | 处理系统调用的方法和装置 |
CN105631321B (zh) * | 2015-12-24 | 2019-05-21 | 北京奇虎科技有限公司 | 一种虚拟机进程信息的检测方法及装置 |
CN110888771A (zh) * | 2018-12-26 | 2020-03-17 | 北京安天网络安全技术有限公司 | 对进程进行监视分析的方法、装置、电子设备及存储介质 |
CN111294293A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种基于用户态协议栈的网络隔离方法和装置 |
CN111857971A (zh) * | 2020-07-29 | 2020-10-30 | 福建多多云科技有限公司 | 一种安卓虚拟机系统下运行可执行文件的方法及存储介质 |
CN112486570A (zh) * | 2020-11-06 | 2021-03-12 | 麒麟软件有限公司 | 一种不同类型CPU的Glibc兼容方法 |
CN112540833A (zh) * | 2020-12-28 | 2021-03-23 | 海光信息技术股份有限公司 | 进程运行方法、装置、处理器、存储介质及电子设备 |
CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
CN112905233A (zh) * | 2021-01-25 | 2021-06-04 | 浙江大学 | 一种基于Linux内核的嵌入式固件的外设移植方法 |
CN113544655A (zh) * | 2019-03-08 | 2021-10-22 | 国际商业机器公司 | 安全接口控件安全存储硬件标记 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102736944A (zh) * | 2012-06-25 | 2012-10-17 | 腾讯科技(深圳)有限公司 | 一种应用程序样本检测的方法及装置 |
CN102779250A (zh) * | 2012-06-29 | 2012-11-14 | 腾讯科技(深圳)有限公司 | 文件可控执行的检测方法及虚拟机 |
-
2014
- 2014-01-23 CN CN201410032134.1A patent/CN103778368A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102736944A (zh) * | 2012-06-25 | 2012-10-17 | 腾讯科技(深圳)有限公司 | 一种应用程序样本检测的方法及装置 |
CN102779250A (zh) * | 2012-06-29 | 2012-11-14 | 腾讯科技(深圳)有限公司 | 文件可控执行的检测方法及虚拟机 |
Non-Patent Citations (2)
Title |
---|
王晓睿: "虚拟化系统中的攻击与防护模型研究", 《武汉大学学报(理学版)》 * |
车翔: "QEMU_KVM设备虚拟化研究与改进", 《成都理工大学硕士学文论文》 * |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105302092A (zh) * | 2014-07-25 | 2016-02-03 | 费希尔-罗斯蒙特系统公司 | 基于最小特权的过程控制软件安全架构 |
US11275861B2 (en) | 2014-07-25 | 2022-03-15 | Fisher-Rosemount Systems, Inc. | Process control software security architecture based on least privileges |
WO2016070623A1 (zh) * | 2014-11-05 | 2016-05-12 | 中兴通讯股份有限公司 | 敏感信息安全保护方法和装置 |
WO2016131383A1 (zh) * | 2015-07-16 | 2016-08-25 | 中兴通讯股份有限公司 | 一种系统的维护进程运行方法及装置 |
WO2017036376A1 (zh) * | 2015-09-06 | 2017-03-09 | 华为技术有限公司 | 一种数据访问方法、代码调用方法及虚拟机监视器 |
CN106502759A (zh) * | 2015-09-06 | 2017-03-15 | 华为技术有限公司 | 一种数据访问方法、代码调用方法及虚拟机监视器 |
CN106502759B (zh) * | 2015-09-06 | 2019-11-15 | 华为技术有限公司 | 一种数据访问方法、代码调用方法及虚拟机监视器 |
CN105631321B (zh) * | 2015-12-24 | 2019-05-21 | 北京奇虎科技有限公司 | 一种虚拟机进程信息的检测方法及装置 |
CN105740044B (zh) * | 2016-01-25 | 2019-01-29 | 华中科技大学 | 一种缩减宿主型虚拟化软件可信计算基的方法 |
CN105740044A (zh) * | 2016-01-25 | 2016-07-06 | 华中科技大学 | 一种缩减宿主型虚拟化软件可信计算基的方法 |
US10095870B2 (en) | 2016-04-25 | 2018-10-09 | Cloudminds (Shenzhen) Robotics Systems Co., Ltd. | Virtual machine creation method and apparatus |
WO2017185204A1 (zh) * | 2016-04-25 | 2017-11-02 | 深圳前海达闼云端智能科技有限公司 | 一种虚拟机创建方法和装置 |
CN108241801B (zh) * | 2016-12-26 | 2021-03-30 | 华为技术有限公司 | 处理系统调用的方法和装置 |
CN108241801A (zh) * | 2016-12-26 | 2018-07-03 | 华为技术有限公司 | 处理系统调用的方法和装置 |
CN106886447A (zh) * | 2017-01-16 | 2017-06-23 | 武汉噢易云计算股份有限公司 | 基于云计算提升三维图形软件性能的系统及方法 |
CN111294293A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种基于用户态协议栈的网络隔离方法和装置 |
CN111294293B (zh) * | 2018-12-07 | 2021-08-10 | 网宿科技股份有限公司 | 一种基于用户态协议栈的网络隔离方法和装置 |
CN110888771A (zh) * | 2018-12-26 | 2020-03-17 | 北京安天网络安全技术有限公司 | 对进程进行监视分析的方法、装置、电子设备及存储介质 |
CN113544655B (zh) * | 2019-03-08 | 2023-09-01 | 国际商业机器公司 | 安全接口控件安全存储硬件标记 |
CN113544655A (zh) * | 2019-03-08 | 2021-10-22 | 国际商业机器公司 | 安全接口控件安全存储硬件标记 |
CN111857971B (zh) * | 2020-07-29 | 2024-03-15 | 福建多多云科技有限公司 | 一种安卓虚拟机系统下运行可执行文件的方法及存储介质 |
CN111857971A (zh) * | 2020-07-29 | 2020-10-30 | 福建多多云科技有限公司 | 一种安卓虚拟机系统下运行可执行文件的方法及存储介质 |
CN112486570B (zh) * | 2020-11-06 | 2023-06-02 | 麒麟软件有限公司 | 一种不同类型CPU的Glibc兼容方法 |
CN112486570A (zh) * | 2020-11-06 | 2021-03-12 | 麒麟软件有限公司 | 一种不同类型CPU的Glibc兼容方法 |
CN112540833B (zh) * | 2020-12-28 | 2022-11-11 | 海光信息技术股份有限公司 | 进程运行方法、装置、处理器、存储介质及电子设备 |
CN112540833A (zh) * | 2020-12-28 | 2021-03-23 | 海光信息技术股份有限公司 | 进程运行方法、装置、处理器、存储介质及电子设备 |
CN112748987B (zh) * | 2021-01-19 | 2021-08-06 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
CN112905233A (zh) * | 2021-01-25 | 2021-06-04 | 浙江大学 | 一种基于Linux内核的嵌入式固件的外设移植方法 |
CN112905233B (zh) * | 2021-01-25 | 2023-09-12 | 浙江大学 | 一种基于Linux内核的嵌入式固件的外设移植方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103778368A (zh) | 一种基于系统虚拟化技术的进程安全隔离方法 | |
Bugnion et al. | Bringing virtualization to the x86 architecture with the original vmware workstation | |
RU2686552C2 (ru) | Системы и способы предоставления результата текущей команды процессора при выходе из виртуальной машины | |
US7209994B1 (en) | Processor that maintains virtual interrupt state and injects virtual interrupts into virtual machine guests | |
US7707341B1 (en) | Virtualizing an interrupt controller | |
US9507727B2 (en) | Page fault injection in virtual machines | |
US8739160B1 (en) | Methods and systems for safe execution of guest code in virtual machine context | |
US8099574B2 (en) | Providing protected access to critical memory regions | |
US7685635B2 (en) | Systems and methods for multi-level intercept processing in a virtual machine environment | |
US9946870B2 (en) | Apparatus and method thereof for efficient execution of a guest in a virtualized enviroment | |
US10162657B2 (en) | Device and method for address translation setting in nested virtualization environment | |
US12014199B1 (en) | Virtualization extension modules | |
KR20110033024A (ko) | 컴퓨터 시스템에서의 네스티드 가상화 성능의 개선 | |
CN104364770A (zh) | 来自较小特权状态的运行时间仪表设施的控制操作 | |
KR20070086843A (ko) | 가상 머신 모니터의 구성요소의 특권을 해제하는 시스템 및방법 | |
US11106481B2 (en) | Safe hyper-threading for virtual machines | |
US8145471B2 (en) | Non-destructive simulation of a failure in a virtualization environment | |
CN101118499A (zh) | 异构硬件体系间软件移植的系统 | |
EP3341834B1 (en) | Exception handling | |
US7752030B2 (en) | Virtualization as emulation support | |
Campbell et al. | An introduction to virtualization | |
CN111737656A (zh) | 面向应用程序的特权硬件资源访问方法及电子设备 | |
Oikawa et al. | Linux/RTOS hybrid operating environment on gandalf virtual machine monitor | |
CN113268726B (zh) | 程序代码执行行为的监控方法、计算机设备 | |
Suzuki et al. | Analysis of the ARM architecture’s ability to support a virtual machine monitor through a simple implementation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140507 |
|
RJ01 | Rejection of invention patent application after publication |