CN103907098B

CN103907098B - 用于管理程序环境中的关键地址空间保护的系统和方法

Info

Publication number: CN103907098B
Application number: CN201280053614.5A
Authority: CN
Inventors: R.布哈塔查尔杰; N.芒贾尔; B.辛格; P.辛格
Original assignee: Mai Kefei Co
Current assignee: McAfee LLC
Priority date: 2011-10-11
Filing date: 2012-09-15
Publication date: 2018-05-08
Anticipated expiration: 2032-09-15
Also published as: EP2766847A1; US8694738B2; WO2013055502A1; EP2766847A4; US20130091318A1; JP5763278B2; JP2014528623A; CN103907098A

Abstract

一个实施例中的系统和方法包括用于检测对客户操作系统(OS)(其已经实现管理程序环境中的地址空间布局随机化)的关键地址空间(CAS)的访问尝试，识别尝试访问的进程，以及在不准许该进程访问CAS时采取动作的模块。动作能够从下列项选取：向管理程序的管理控制台报告该访问，向客户OS提供推荐，以及在客户OS内自动采取动作。其它实施例包括通过促使客户OS中的页错误，从与CAS对应的客户虚拟地址解析客户物理地址，并且将机器地址映射到客户物理地址，来识别与CAS对应的机器地址。

Description

用于管理程序环境中的关键地址空间保护的系统和方法

技术领域

一般来说，本公开涉及计算机网络领域，以及更具体来说，涉及用于管理程序环境中的关键地址空间保护的系统和方法。

背景技术

计算机网络安全性的领域在当今社会已经变得越来越重要和复杂。计算机网络环境配置用于几乎每一个企业或组织，其中通常具有多个互连的计算机(例如最终用户计算机、膝上型计算机、服务器、打印装置等)。此外，云服务提供商(以及运行多个应用和操作系统的其它组织)可使用管理程序技术在主机装置上并发地运行各种不同的客户操作系统。管理程序是计算机软件/硬件平台虚拟化软件，其允许多个操作系统并发地运行于主计算机上。安全性威胁能够源于管理程序环境的外部和内部。管理程序环境中的这些威胁能够给IT管理员带来进一步挑战。

附图说明

为了提供对本公开及其特征和优点的更完整理解，参照结合附图进行的以下描述，其中相似参考标号表示相似部件，其中：

图1是示出按照一个示例实施例、用于管理程序环境中的关键地址空间保护的系统的组件的简化框图；

图2是示出按照一个示例实施例的系统的附加细节的简化框图；以及

图3是示出可与本公开的实施例关联的示例操作步骤的简化流程图。

具体实施方式

概述

一个实施例中的系统和方法包括用于检测对客户操作系统(OS)(其实现管理程序环境中的地址空间布局随机化(ASLR))的关键地址空间(CAS)的访问尝试，识别尝试访问的进程，以及在不准许该动作时采取至少一个动作的模块。动作可以是下列一个或多个：向管理程序的管理控制台报告该访问，向客户OS提供推荐，并且在客户OS内自动采取动作。向管理程序的管理控制台报告访问包括将客户OS的状态标记为受感染。向客户OS提供推荐包括推荐将该进程列入黑名单、直到它由安全工具来扫描并且列入白名单，和/或对该进程运行防病毒。在客户OS内采取动作包括在客户OS中运行防病毒程序，和/或关闭客户OS或保存客户OS的状态以供离线扫描。

更具体实施例包括通过在管理程序的影子页表中为与CAS对应的页生成页表条目(PTE)并且将PTE标记成使得访问尝试引起页错误，来检测访问尝试。尝试访问的进程可通过读取该进程对应的CR3寄存器来识别。

其它实施例包括使用策略来验证访问尝试，策略包括：如果该进程从存储器元件的可写区域执行，则拒绝该访问，而如果该进程从存储器元件的只读区域执行，则准许该访问。其它示例实施例包括通过促使客户OS中的页错误，从与CAS对应的客户虚拟地址解析客户物理地址，并且将机器地址映射到客户物理地址和其它特征，来识别与CAS对应的机器地址。

示例实施例

图1是示出用于管理程序环境中的关键地址空间保护的系统10的示例实现的简化框图。如本文所使用的“管理程序”是一种硬件虚拟化实体，其允许称作“客户OS”的一个或多个操作系统(OS)在主机装置(例如计算机)上并发地运行。在一个示例实施例中，管理程序能够直接运行于主机装置的硬件上，以控制硬件以及管理客户OS。在一个备选实施例中，管理程序能够在常规OS环境(例如Linux OS)内作为支持运行于更高层的一个或多个客户OS的软件层来运行。虚拟化允许客户OS在其中再现主机装置的物理特性和行为的隔离虚拟环境(通常称作虚拟机或客户)上未经修改地运行。更具体来说，客户能够表示配备有虚拟硬件(处理器、存储器、盘、网络接口等)的隔离虚拟环境。按照图1所示的实施例，系统10包括管理程序12，其向客户14提供虚拟化环境。在本公开的广义范围之内，可在管理程序12上接管任何数量的客户。为了便于说明，图1中代表性地示出单个客户。

管理程序12控制和管理被分配以供客户14使用的主机装置(未示出)的硬件16。客户14可在管理程序12上运行客户OS 18。客户OS 18可支持一个或多个应用20。管理程序12可管理一个或多个应用20(本文中以单数称作应用20，以表示应用之一)对诸如处理器22和机器存储器24之类的基础硬件16的访问。如本文所使用的“机器存储器”表示一种存储器元件，它对于管理程序12如在主机装置上可用的那样是可见的。客户OS 18可向应用20提供客户虚拟存储器26，其访问客户物理存储器28。如本文所使用的“客户虚拟存储器”表示实质上连续的虚拟地址空间，该空间对于客户14内部运行的应用20是可见的。地址空间表示离散地址的范围，每个离散地址可对应于应用(例如应用20)能够存储数据以及以后检索数据的存储器位置(即，地址)。“客户物理存储器”表示对于客户OS 18是可见的虚拟存储器。

客户14包括虚拟控制寄存器、即CR3寄存器30，其指向应用20的进程的页表的开始。进程是应用(或者其一部分)的实例，其指令被执行。客户OS 18中的应用20可由多个进程组成。各进程能够具有其自己(唯一)的进程地址空间。各进程地址空间具有对应的页表。页表是由客户OS 18用来存储虚拟地址与物理地址之间的映射的数据结构。例如，CR3寄存器30可唯一地识别尝试访问客户OS 18中称作关键地址空间(CAS)(其包括系统库(例如kernel32.dll))的被保护存储区的进程。

客户OS 18包括代理32(作为客户镜像的一部分)，其与管理程序12中的hyperCASP模块34进行通信。hyperCASP模块34也可与客户物理存储器28、CR3寄存器30和机器存储器24进行通信。hyperCASP模块34可通过俘获对CAS的访问尝试，并且检查管理程序环境内部、访问尝试发生的上下文，来保护客户14免受潜在恶意软件攻击。

管理程序12可使用管理控制台36来管理。管理控制台36可提供管理管理程序12上的客户14的统一接口。管理控制台36可提供让管理员配置管理程序12(包括存储、控制客户行为的方面以及建立虚拟网络)的部件。在一个示例实施例中，管理控制台36可提供让管理员查看客户14的状态(包括它是否被恶意软件和/或其它不希望的应用攻击)的接口。

按照本公开的实施例，系统10的组件可检测对客户OS 18的CAS的访问尝试，识别执行访问尝试的进程，确定是否准许该访问，以及如果不准许该访问，则采取一个或多个保护动作，诸如向管理控制台36报告访问尝试、向客户OS 18提供推荐以及在客户OS 18内自动采取动作等。

为了说明系统10的技术，重要的是理解可存在于给定系统、例如图1所示系统中的活动和安全性问题。以下基本信息可被看作是可正确说明本公开的基础。这种信息完全是仅为了说明而提供，并且因此决不应当被理解为限制本公开的广义范围及其潜在应用。

在管理物理存储器的一种方法中，存储器可分为覆盖存储器地址的连续范围的块或页。每个块或页被给予包括存储器是只读、读/写还是只写的属性。当应用或库(包括动态链接库、例如kernel32.dll)加载到存储器时，对应代码指令加载到只读存储器中，并且数据加载到可写存储器中。因此，代码指令可从只读存储器来读取和执行。一些存储器、例如包含可执行代码(例如指令)的存储器通常是只读存储器；操作系统可以不允许进程对其可执行代码改写数据。相反，能够对包含数据的(非恶意软件)页进行写入，但是尝试将那个存储器作为指令来执行可能失败。

但是，恶意代码可配置成加载或注入数据中，并且可配置成从可写存储器而不是如预期那样从只读存储器执行。在可写存储器空间中运行的代码的检测可以是关于代码是恶意的指示。例如，使组网中使用的缓冲器溢出，以注入恶意代码。接收具有来自非置信主机的数据的服务请求的万维网服务器能够受请求中嵌入并且通过使万维网服务器的缓冲器溢出所加载的恶意代码感染。通过缓冲器溢出(或者通过其它不适当技术)所加载的恶意代码的突出特性在于，代码加载到可写的存储器(并且从其中执行)。

在计算机安全性中，可执行空间保护能够用来将某些存储器区域(例如栈和堆存储器)标记为不可执行，使得执行这些区域中的机器代码的尝试能够引起异常或页错误。页错误是当程序访问在虚拟存储器(例如管理程序环境中的客户虚拟存储器)中映射、但是没有在物理存储器(例如，管理程序环境中的机器存储器)中加载的页时的陷阱。这种方式帮助防止某些缓冲器溢出攻击、特别是注入和执行代码的那些攻击取得成功。这些攻击依靠既可写又可执行的存储器的某个部分、通常是栈。检测恶意代码的执行的一种方法是检查每一个处理器指令从其中执行的存储器属性。但是，这种方式可要求大处理开销来检查每一个所执行指令的存储器属性，从而使计算机性能降级。

防止恶意软件执行的另一种技术是通过控制对CAS的访问。CAS保护(CASP)通过俘获对CAS的访问尝试，并且检查访问尝试从其中发生的上下文，来防止缓冲器溢出和栈溢出攻击。例如，大多数恶意软件执行kernel32.dll的查找以供函数解析(例如导出函数)。Kernel32.dll是中央模块，其包含操作系统的核心进程，诸如存储器管理、输入/输出操作、中断等。因此，CASP技术能够通过俘获对kernel32.dll的访问尝试，来防止诸如缓冲器溢出和栈溢出攻击之类的攻击。

地址空间布局随机化(ASLR)是可用于通过使攻击者更难以预测目标地址来防止安全性攻击的另一种技术。ASLR在操作系统引导时将可执行镜像(即，采取处理器可执行的格式的程序代码的单元，例如采取DLL格式或EXE格式的文件)移入随机位置，从而使得更难以利用代码可预测地操作。ASLR的意图是保护物理存储器免于病毒和其它恶意软件。通过ASLR，OS(例如管理程序环境中的客户OS 18)随机排列关键数据区的位置，包括库的位置、进程的虚拟地址空间中的堆和栈。在没有使用ASLR的情况下，攻击可能使用进程的地址空间(例如特定库函数)中的已知位置的硬编码地址来执行其功能。

在一个示例中，当应用创建堆时，OS的堆管理器在进程地址空间中的随机位置创建那个堆，以帮助降低基于堆的缓冲器溢出利用的成功机会。在另一个示例中，当线程在进程中开始时，OS(例如客户OS 18)将线程的栈移动到进程地址空间中的随机位置，以帮助降低基于栈的缓冲器溢出利用的成功机会。在又一个示例中，ASLR可使程序的每次执行产生不同的存储器空间布局，这使动态加载库(DLL)每次被加载到不同位置中。许多恶意软件攻击依靠程序员准确识别特定进程或系统函数在存储器中驻留的位置的能力。通过ASLR，地址位置经过随机化，从而使得恶意软件代码更难以成功执行。

例如，在Windows Vista OS中，当加载已经选择参与ASLR的可执行镜像时，OS使用每次重新引导从256个值的范围中选择一次的随机全局镜像偏移量。共同加载到进程中的可执行镜像，包括EXE和DLL，以这个偏移量一个接一个地加载。当执行其可执行镜像对ASLR已经标记的程序时，通过随机地放置线程栈和进程堆，对进程的存储器布局进一步随机化。栈地址首先从32个可能位置的范围来选择。一旦已经放置栈，则对初始栈指针进一步随机化某个随机量(例如从IA32系统上的16384个可能值其中之一所选择)。一旦已经选择栈地址，则选择进程堆。从32个不同位置的范围来分配每个堆。第一堆的位置选择成避免先前放置的栈，以及必须分配随后的每个堆以避免先前到达的堆。在Windows Vista中，诸如进程环境块、栈和堆位置之类的一些地址空间布局参数每次程序执行选择一次。诸如程序代码的位置、数据段和库之类的其它参数仅在重新引导之间发生变化。

在管理程序环境中，攻击的影响可比非虚拟化环境中更加严重。一个受感染客户可感染主机装置上的所有其它客户。例如，攻击者能够通过感染客户来获得对硬件的管理员特权，并且能够通过管理程序环境从一个客户移动到另一个客户。在管理程序接管数千客户的情况下，这种客户-客户攻击可能具有灾难性结果。

来看与管理程序中如何配置虚拟存储器系统关联的一些初步信息，当运行客户时，管理程序为客户创建毗连可寻址存储器空间。这个存储器空间具有与客户虚拟存储器相同的性质。这允许管理程序同时运行多个虚拟机，同时防止各虚拟机的存储器被他人访问。因此，从客户内部运行的应用的角度来看，管理程序添加额外等级的地址转换，其将客户物理地址映射到机器地址。客户OS与管理程序之间的通信经由可建立客户物理地址中的参数的超级调用发生，以及管理程序可对参数进行解码，将客户物理地址映射到机器地址，并且执行所请求动作。

客户物理存储器(例如客户物理存储器28)只是由管理程序(例如管理程序12)用于保持到主机物理地址(又称作机器地址)的正确映射的抽象。影子页表由管理程序(例如管理程序12)用来将客户物理存储器(例如客户物理存储器28)映射到机器存储器(例如机器存储器24)。通常，不保证客户页表所指向的任何页存在于机器存储器中。管理程序(例如管理程序12)配置成每次存在由客户OS(例如客户OS 18)访问不存在页的尝试时启用页错误。在触发页错误时，管理程序中的页错误处理程序促进将适当页(例如从盘)加载到机器存储器中，并且更新管理程序的影子页表以反映变化。引起页错误的指令的执行在页已经加载到机器存储器中并且分页表适当地指向正确页时恢复。管理程序的分页表反映哪些页实际上(即，物理上)在机器存储器中加载，而客户分页表只是虚拟的。

来看进程存储器管理，在许多处理器(不一定运行管理程序)中，称作CR3寄存器的控制寄存器(例如CR3寄存器30)包含当前页表(称作页目录)的根(即，开始)的物理地址。在管理程序环境中，客户中的CR3寄存器可经过虚拟化，并且可指向当前客户页表的根的客户物理地址。物理处理器(例如处理器22)使用另一个CR3寄存器(未示出)而不是客户CR3寄存器(例如CR3寄存器30)来对机器存储器24寻址。处理器的CR3寄存器指向管理程序的页目录而不是客户页目录。相比之下，客户CR3寄存器(例如CR3寄存器30)指向客户页目录，其指向客户页表。因此，通过客户CR3寄存器-客户页目录-客户页表-影子页表-物理页的序列把虚拟客户地址转换成机器地址，能够执行当前指令。

客户CR3寄存器30的内容由客户OS(例如客户OS 18)的内核来更新成指向由当前执行的进程所使用的适当页表。因此，客户OS(例如客户OS 18)通过改变客户CR3寄存器(例如CR3寄存器30)的值，在进程之间切换。在虚拟机(例如客户14)中，管理程序(例如管理程序12)拦截对CR3寄存器(例如CR3寄存器30)的任何访问，并且由此确定将要从机器存储器24取出的、用于当前执行的进程的页。

回到恶意软件保护技术，管理程序中的弱点可破坏ASLR的效能。例如，管理程序中的已知弱点使机器存储器的原本不可访问的部分可用于对客户OS中运行的应用的读/写访问。恶意软件可能利用这个弱点来获得对机器存储器的控制，而不管ASLR。虽然CASP能够在管理程序环境中的客户OS(例如客户OS 18)内部实现，但是客户OS中的CASP无法防止管理程序中的弱点。此外，基于管理程序的实现能够提供OS不可知解决方案。在这种解决方案中存在对最终用户的价值，因为安全性软件无需在各客户内部单独安装。攻击客户的恶意软件忘了管理程序内部运行的这个安全性层。采用由客户OS所实现的ASLR来实现管理程序中的CASP的过程中的难题之一在于，管理程序可能不知道要保护的关键地址，因为CAS在每次应用加载或者存在客户操作系统的重新引导时在客户物理存储器内由ASLR来随机化。另一个难题是唯一识别攻击源于的客户进程上下文以使得可采取适当保护动作。

通过图1所概述的用于管理程序环境中的关键地址空间保护的系统能够解决这些问题等。本公开的实施例寻求极大地改进现有技术的能力，以允许更健壮的解决方案。在示例实施例中，系统10的组件可检测对管理程序环境中的客户OS 18的CAS的访问，其中客户OS 18实现ASLR，识别请求访问的进程，确定是否准许该访问，以及如果不准许该访问，则采取一个或多个保护动作。

如图1所示，hyperCASP模块34可与代理32进行通信，以便识别与CAS的客户物理地址对应的机器地址。代理32可通过特意从CAS地址进行读取来在客户OS 18中促使页错误，并且从客户虚拟地址来解析客户物理地址。例如，页错误可使管理程序12拦截页错误事件，以及代理32可检查客户页表，以确定对应客户虚拟地址的客户物理地址。在另一个示例中，管理程序12中的页错误处理程序可监测客户物理页的映射，并且可响应页错误而建立到机器页的对应映射(例如通过俘获对客户页表的访问)。

代理32可将CAS客户物理地址传递给hyperCASP模块34，模块34可将机器地址映射到对应客户物理地址。因此，hyperCASP模块34识别待保护的机器地址。管理程序12中的页错误处理程序可使那些页的条目指向机器存储器24中的对应页。在一个示例实施例中，代理32可使用双向通信信道，来将CAS地址传递给hyperCASP模块34。通过保护与客户虚拟存储器28中的CAS对应的机器存储器24中的地址空间，管理程序12能够防止从客户OS 18中的恶意软件攻击、例如尝试访问CAS的恶意软件。

按照本公开的实施例，hyperCASP模块34可通过在管理程序的影子页表中为与CAS对应的页生成页表条目(PTE)，来检测对CAS的访问尝试，在PTE中将页标记为NOT_PRESENT，使得基本上每一次访问尝试引起页错误。页错误将控制传递给管理程序12，使得管理程序12能够识别访问CAS的进程。

在一个示例实施例中，hyperCASP模块34可读取CR3寄存器30，以识别尝试访问CAS的进程。一般来说，使用影子页表的管理程序(例如管理程序12)(例如使用硬件支持、例如扩展页表/嵌套页表(EPT/NPT)所实现和所加速的影子页表)可俘获CR3寄存器访问，以便客户14的正常操作。因此，对CR3寄存器30的变更可由hyperCASP模块34来俘获，以便唯一地识别运行于客户14中、访问CAS的进程。CR3寄存器30能够通过保持当前任务的客户页表的根，来识别进程。例如，恶意软件进程可尝试执行任务。任务具有上下文，其是对任务唯一的寄存器和值的集合。一种这样的寄存器是CR3寄存器30，其包含恶意软件进程的页目录的地址。每当客户OS 18内存在CAS访问时，hyperCASP模块34可通过查看(进程的)当前执行的可应用指令的页保护位，来检查它是否为攻击(例如缓冲器/栈溢出)。

hyperCASP模块34可使用策略，诸如在访问来自存储器元件(例如客户虚拟存储器)的可写区域时拒绝访问的策略以及在访问来自存储器元件的只读区域时准许访问的策略，来确定是否准许访问。例如，如果PTE表明对客户OS 18中的CAS的访问来自设置了写入位的客户14中的PTE，并且策略指示不准许写入位的这种状态，则该访问可能是非法的，因为它可能是对进程的栈或堆的恶意软件攻击的结果。在一个示例实施例中，hyperCASP模块34可使用相同位(例如写入位)状态值来允许绕过针对假阳性的保护校验以允许合法访问。

hyperCASP模块34可采取各种保护动作来防止恶意软件代码的执行。在一个示例实施例中，hyperCASP模块34可向管理控制台36报告访问尝试。管理员能够获得运行于系统10中(或者一组系统中，这取决于环境)的一个或多个客户(例如客户14)的视图，以及hyperCASP模块34可使标志被设置，以标记任何受感染客户的状态。在另一个示例实施例中，hyperCASP模块34可向客户OS 18提供推荐，以将该进程列入黑名单，直到它由防病毒或者另一种安全工具来扫描和标记为清洁(例如列入白名单)。在又一个示例实施例中，hyperCASP模块34可使代理32在客户OS 18内自动采取动作，例如，在检测到客户OS 18内的攻击时运行防病毒(自动发起)，或者关闭受影响客户/保存受影响客户的状态以供离线扫描等。

来看图2，图2是示出按照一个示例实施例的系统的附加细节的简化框图。实现对CASP的基于管理程序的解决方案的过程中的一个难题是识别与CAS(例如kernel32.dll)对应的机器地址。CAS的地址可使用两级分页(一个在客户14中，另一个在管理程序12中)来解析。

处理器22访问存储器地址，以便取指令或者当它执行应用20时取并且保存数据。在虚拟存储器系统、例如客户OS 18中，所有地址均是客户虚拟地址(GVA)，而不是客户物理地址(GPA)。虚拟地址由客户OS 18基于一组客户页表中保存的信息来转换为物理地址。客户页表将进程的客户虚拟页映射为存储器中的客户物理页。管理程序12维护与各客户页表对应的影子页表。每个页表(包括客户页表和影子页表)包括PTE的列表。当客户OS 18启动进程时，它为CAS创建PTE连同其它PTE条目；对应地，管理程序12也更新其影子页表。

在图2中示出一组示例的地址空间。假定进程X(例如在应用20中)在客户OS 18中运行并且具有客户虚拟地址空间38，其映射到客户OS 18中的对应客户物理地址空间40。各地址空间可分为用户空间和CAS(例如内核空间)。为了举例以及易于说明，客户虚拟地址空间38中的CAS示为CAS 60。客户物理地址空间40映射为机器地址空间42。例如，客户虚拟地址空间38中的GVA 44可映射到客户物理地址空间40中的对应GPA 46，客户物理地址空间40又可映射到机器地址空间42中的机器地址(MA)48。这些映射中的每个通过对应页表中的适当PTE来保护。例如，GVA 44可通过客户页表50中的PTE来映射到GPA 46。管理程序12可创建影子页表51，以将GPA 46映射到MA 48。影子页表51可包含格式与客户页表50中PTE的格式相似的PTE。

在图2中以分解视图示出影子页表51的示例PTE 51a。PTE 51a包括页的物理页地址52(例如MA 48)、存在位54、写入位56和读取位58。hyperCASP模块34可使用存在位54、写入位56和读取位58中的信息来确定CAS是否被恶意软件访问。从存在位54的状态，hyperCASP模块34能够确定与特定地址对应的页是否存在。在一个示例中，假定为100的GPA46转化成为5000的MA 48。hyperCASP模块34会查看与5000对应的PTE，并且通过读取存在位54来查看进程是否有权访问MA 48。如果该进程有权访问，则存在位54会设置为1。如果存在位54设置为0(即，页标记为NOT_PRESENT)，指示该页不存在，则可出现页错误。然后，控制(由处理器22)转到管理程序12以修复错误。在另一个示例中，访问CAS的代码指令可以让读取位58置位，以及写入位56可以不置位，从而指示指令为只读(但不可写)，并且因此被准许有权访问。

当应用20在客户OS 18中运行时，客户虚拟存储器26中的CAS 60的地址可以不一定是管理程序12已知的，因为CAS 60的地址可由客户OS 18使用ASLR来随机化以获得安全性。当客户14启动时，代理32可促使客户OS 18内部的错误，并且对其进行解析，使得从GVA(例如GVA 44)到与CAS 60(例如kernel32.dll)对应的GPA(例如GPA 46)建立映射。代理32可俘获对CAS 60的第一访问尝试(例如通过在用于CAS 60的PTE中将存在位设置为0(即，将页标记为NOT_PRESENT))，使得可俘获每一个后续访问。俘获对CAS 60的第一访问尝试可确保对CAS 60的进一步访问能够引起页错误，因为如果对于对应GVA(例如GVA 44)设立存在位(或者设置为1)，则处理器22对于对GVA(例如GVA 44)的附加访问尝试将不会引起任何错误。

代理32可使用双向通信信道将CAS 60的地址传递给hyperCASP模块34。与CAS 60对应的GVA(例如GVA 44)可使用客户页表50来转化成GPA(例如GPA 46)，并且使用影子页表51来转化为MA(例如MA 48)。这时，管理程序12已经识别MA(例如MA 48)，以使用CASP方法来防止攻击。hyperCASP模块34可在影子页表51中为与CAS 60对应的页生成PTE(例如PTE51a)。hyperCASP模块34可在PTE中将页标记为NOT_PRESENT(例如通过将存在位54设置为0)，以指示对CAS 60的访问引起页错误62。在通过页错误62检测到对CAS 60的访问时，控制(通过hyperCASP模块34)转到管理程序12，管理程序12可检查它是否为攻击(缓冲器/栈溢出)。在一个示例实施例中，hyperCASP模块34可运行一个或多个校验(例如预定的一组校验)，以查看访问是否来自被准许进程。管理程序12在没有客户OS 18的知识的情况下可透明地检查客户OS 18内的活动。

为了确定哪一个进程正攻击CAS 60，hyperCASP模块34可使用CR3寄存器30。通常，管理程序12不知道客户OS 18内部运行的任务。在一个示例实施例中，进程X中的恶意软件64可驻留在客户虚拟地址空间38中，并且可尝试访问CAS 60(例如kernel32.dll)。对CAS60的访问可引起页错误62。由客户OS 18中的进程(例如进程X)所运行的各任务可与对应CR3寄存器30关联，其中CR3寄存器30包括唯一对应于正执行该任务的进程的任务上下文。CR3寄存器30可指向客户页表50的开始。hyperCASP模块34可读取CR3寄存器30，并且确定进程X正访问CAS 60。

hyperCASP模块34可使用策略来验证访问尝试，策略包括在访问来自存储器元件的可写区域(例如客户虚拟地址空间38)时拒绝访问，以及在访问来自存储器元件的只读区域时准许访问。在一个示例实施例中，hyperCASP模块34可读取与当前执行的指令对应的影子页表51中的PTE 51a。因为恶意软件通常驻留在用户空间(而不是内核空间)中，所以PTE51a的写入位56可被置位，从而指示指令不是只读的并且因此可能是非法的(例如，指示对进程X的栈或堆的攻击)。

一旦hyperCASP模块34识别攻击，它可执行一个或多个保护动作。例如，如果管理程序12正运行多个客户，则hyperCASP模块34可对管理控制台36将客户的状态标记为受感染。作为替代或补充，hyperCASP模块34可向代理32发送一个或多个消息，以使客户14离线(例如关闭)或者启动防病毒(例如，将特定进程以及标记的一个或多个主机确定为目标以便清除)，和/或通知客户OS 18关于受感染的进程。在一个示例实施例中，推荐可包括将进程列入黑名单，直到它由防病毒或者另一个安全工具(例如用于测试和/或修复计算机软件和/或硬件中的弱点的程序)来扫描并且标记为清洁的(即，列入白名单)。

来看图3，图3是示出可与本公开的实施例关联的示例操作步骤的简化流程图。当激活hyperCASP模块34和代理32时，操作100在102开始。在104，代理32通过特意从CAS地址读取，来促使客户OS 18中的页错误62。在106，代理32解析与CAS 60对应的GPA(例如GPA46)。在108，GPA(例如GPA 46)使用影子页表51来映射到对应MA(例如MA 48)。在110，对MA(例如MA 48)的访问尝试由hyperCASP模块34例如通过在影子页表51的PTE(例如PTE 51a)中将与CAS 60对应的页标记为NOT_PRESENT来监测。

例如，对CAS 60的任何访问尝试可在112中检测，因为对CAS 60的访问尝试引起页错误62。如果没有检测到访问尝试(例如没有生成页错误)，则该进程可返回到110中的监测。但是，当检测到访问尝试时，控制以页错误62的形式转到管理程序12。在114，尝试访问的进程可例如使用CR3寄存器30来识别。hyperCASP模块34可读取CR3寄存器30，以识别与尝试访问的进程对应的客户页表50。在116，访问尝试可使用策略来验证。示例策略可指示对于对CAS 60的有效访问，没有将写入位56置位。如果如在118所确定的，策略不准许访问，则可指示攻击。

作为响应，hyperCASP模块34可采取一个或多个保护动作，例如，在120向管理控制台36报告访问；或者在122在客户OS 18内自动采取动作(例如使代理32在客户OS 18中自动发起防病毒；使客户14离线/关闭；保存客户OS 18的状态以供离线扫描等)；或者在124向客户OS 18提供推荐(例如，将进程列入黑名单、对进程运行防病毒等)。可对受感染进程所使用的其它资源(例如网络套接字/文件句柄等)采取类似动作。如果如在118所确定的，策略准许访问，则操作可在126结束。

用于保护地址空间(以及阻止危险代码被执行)的软件能够在各种位置(例如在hyperCASP模块34内)提供。在一个示例实现中，这个软件常驻于寻求保护以防止安全性攻击(或者防止可写存储区的不希望或者未经授权的操纵)的计算机中。在更详细配置中，这个软件具体常驻于管理程序的安全层，其可包括图1所示的组件(或者以其它方式与所述组件接口)。在又一些实施例中，软件可从万维网服务器来接收或下载(例如，在对于分离的装置、分离的虚拟机、管理程序、服务器等购买单独最终用户许可证的上下文中)，以便提供这个地址空间保护。

在其它示例中，关键地址空间保护功能可涉及专有元件(例如作为防病毒解决方案的一部分)，其可在这些所述元件中(或者其附近)提供，或者在任何其它装置、服务器、网络设备、控制台、防火墙、交换机、信息技术(IT)装置等中提供，或者作为补充解决方案(例如结合防火墙)来提供，或者在网络中的某个位置来预配置。如本说明书中所使用的术语“计算机”意在涵盖在安全环境中可操作以影响或处理电子信息的这些可能元件(VMM、管理程序、Xen装置、虚拟装置、网络设备、路由器、交换机、网关、处理器、服务器、负荷平衡器、防火墙或者任何其它适当装置、组件、元件或对象)。此外，这个计算机可包括促进其操作的任何适当的硬件、软件、组件、模块、接口或者对象。这可包含允许关键地址空间的有效保护的适当算法和通信协议。另外，关键地址空间保护功能能够按照任何适当方式来结合。按照类似设计备选方案，各个附图的所示模块和组件的任一个可按照各种可能配置组合。显然，其全部处于本说明书的广义范围之内。

这些元件(例如计算机、服务器、网络设备、防火墙、管理程序、任何其它类型的虚拟元件等)中的任一个可包括处理器，处理器能够执行软件或算法，以执行如本说明书中所述的关键地址空间保护活动。另外，这些元件(例如计算机、服务器、网络设备、防火墙、管理程序、任何其它类型的虚拟元件等)中的每个能够包括存储器元件(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件，或者在适当的情况下并且基于特定需要在任何其它适当组件、装置、元件或对象中。在系统10中被跟踪、发送、接收或存储的信息可基于特定需要和实现而在任何数据库、寄存器、表、高速缓存、队列、控制列表或者存储结构中提供，其全部可在任何适当时帧中引用。

这些元件和/或模块能够相互协作，以便与如本文所述的管理程序环境中的关键地址空间保护结合执行活动。在其它实施例中，这些特征可在这些元件的外部提供、包含在其它装置中以实现这些预期功能性、或者按照任何适当方式来结合。例如，与各种元件关联的有些处理器可被去除或者以其它方式来合并，使得单个处理器和单个存储器位置负责某些活动。在一般意义上，附图所示的布置在其表示中可以是更加逻辑的，而物理架构可包括这些元件的各种置换、组合和/或混合。

本文所述的存储器项的任一个(例如客户页表50、影子页表51、机器存储器24、客户虚拟存储器26、客户物理存储器28、客户虚拟地址空间38、客户物理地址空间40、机器地址空间42等)应当被理解为涵盖在广义术语“存储器元件”内。类似地，本说明书中所述的潜在处理元件、模块和机器中的任一个应当被理解为涵盖在广义术语“处理器”内。计算机、网络设备、虚拟元件等中的每个还能够包括适当接口，以用于在安全环境中接收、传送和/或以其它方式传递数据或信息。

处理器能够执行与数据关联的任何类型的指令，以便实现本说明书中详述的操作。在一个示例中，处理器(如附图所示)可将元件或产品(例如数据)从一种状态或东西变换成另一种状态或东西。在另一个示例中，本文所述的活动可采用固定逻辑或者可编程逻辑(例如由处理器执行的软件/计算机指令)来实现，以及本文所述的元件可能是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程ROM(EEPROM))或者包括数字逻辑、软件、代码、电子指令或者它们的任何适当组合的ASIC。

在某些示例实现中，本文概述的地址空间保护功能可由在一个或多个有形非暂时介质中编码的逻辑(例如，专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、将要由处理器或其它类似机器执行的软件(可能包含对象代码和源代码)等)来实现。在这些实例中的有些实例中，存储器元件(如附图所示)能够存储用于本文所述操作的数据。这包括能够存储被执行以完成本说明书中所述活动的软件、逻辑、代码或处理器指令的存储器元件。

在各种实施例中，这些元件中的部分或全部包括软件(或者往复式软件)，其能够协调、管理或者以其它方式协作，以便实现如本文概述的操作。这些元件中的一个或多个可包括促进其操作的任何适当算法、硬件、软件、组件、模块、接口或者对象。注意，对于本文所提供的许多示例，可根据两个、三个、四个或者更多网络元件和模块来描述交互。但是，这仅为了清楚起见和举例而进行。应当理解，系统能够按照任何适当方式来结合。按照类似设计备选方案，图1的所示模块、组件和元件中的任一个可按照各种可能配置组合，其全部显然是在本说明书的广义范围之内。在某些情况下，通过仅引用有限数量的元件或组件，可以更易于描述给定的一组流程的功能性的一个或多个。应当理解，图1(及其教导)的系统是可容易缩放的，并且能够接纳大量组件以及更复杂/尖端的布置和配置。因此，所提供的示例不应当限制如潜在地适用于无数其它架构的系统10的范围或者约束其广义教导。

重要的是还要注意，参照前面附图所述的操作仅示出可由系统执行或者在系统内执行的可能情况中的一些。这些操作中的一些可适当地删除或消除，或者这些步骤可经过相当大的修改或改变，而没有背离所述概念的范围。另外，这些操作的定时可相当大地改变，并且仍然实现本公开所讲述的结果。为了示例和论述而提供了前面的操作流程。系统提供充分灵活性，因为可提供任何适当的布置、时序、配置和定时机制，而没有背离所述概念的教导。

Claims

1.一种用于计算机的方法，包括：

检测对包括管理程序的管理程序环境中的客户操作系统(OS)的关键地址空间(CAS)的访问尝试，其中所述客户OS实现地址空间布局随机化(ASLR)；

识别执行所述访问尝试的进程；以及

如果不准许所述进程访问所述CAS，则采取动作，

其中，识别执行所述访问尝试的所述进程包括：读取与所述进程对应的CR3寄存器。

2.如权利要求1所述的方法，其中，所述动作从下列项中选取：

向所述管理程序的管理控制台报告所述访问尝试；

向所述客户OS提供推荐；以及

在所述客户OS内自动采取动作。

3.如权利要求2所述的方法，其中，向所述管理程序的管理控制台报告所述访问尝试包括：将所述客户OS的状态标记为受感染。

4.如权利要求2所述的方法，其中，向所述客户OS提供推荐包括下列至少一个：

推荐将所述进程列入黑名单，直到它由安全工具来扫描并且列入白名单；或者

对所述进程运行防病毒。

5.如权利要求2所述的方法，其中，在所述客户OS内采取动作包括下列至少一个：

在所述客户OS中运行防病毒程序；或者

关闭所述客户OS或保存所述客户OS的状态以供离线扫描。

6.如权利要求1-5中的任一项所述的方法，还包括使用策略来验证所述访问尝试，所述策略包括：

如果所述进程从存储器元件的可写区域执行，则拒绝所述访问；以及

如果所述进程从所述存储器元件的只读区域执行，则准许所述访问。

7.如权利要求1-5中的任一项所述的方法，还包括：

识别与所述CAS对应的机器地址，识别所述机器地址包括：

促使所述客户OS中的页错误；

从与所述CAS对应的客户虚拟地址来解析客户物理地址；以及

将所述机器地址映射到所述客户物理地址。

8.如权利要求1-5中的任一项所述的方法，其中，检测所述访问尝试包括：

在所述管理程序的影子页表中为对应于所述CAS的页生成页表条目(PTE)；

标记所述PTE，使得所述访问尝试引起页错误。

9.一种用于计算机的设备，包括：

配置成存储数据的存储器元件；以及

可操作以执行与所述数据关联的指令的计算处理器；

管理程序；以及

驻留在客户操作系统(OS)中的代理，使得所述设备配置用于：

检测对包括所述管理程序的管理程序环境中的客户OS的关键地址空间(CAS)的访问尝试，其中所述客户OS实现地址空间布局随机化(ASLR)；

识别执行所述访问尝试的进程；以及

如果不准许所述进程访问所述CAS，则采取动作，

10.如权利要求9所述的设备，其中，所述动作从下列项中选取：

向所述管理程序的管理控制台报告所述访问尝试；

向所述客户OS提供推荐；以及

在所述客户OS内自动采取动作。

11.如权利要求10所述的设备，其中，向所述管理程序的管理控制台报告所述访问尝试包括：将所述客户OS的状态标记为受感染。

12.如权利要求10所述的设备，其中，向所述客户OS提供推荐包括下列至少一个：

对所述进程运行防病毒。

13.如权利要求10所述的设备，其中，在所述客户OS内采取动作包括下列至少一个：

在所述客户OS中运行防病毒程序；或者

关闭所述客户OS或保存所述客户OS的状态以供离线扫描。

14.如权利要求9-13中的任一项所述的设备，其中，所述设备还配置用于：

使用策略来验证所述访问尝试，所述策略包括：

15.如权利要求9-13中的任一项所述的设备，其中，所述设备还配置用于：

识别与所述CAS对应的机器地址，所述识别包括：

促使所述客户OS中的页错误；

从与所述CAS对应的客户虚拟地址来解析客户物理地址；以及

将所述机器地址映射到所述客户物理地址。

16.如权利要求9-13中的任一项所述的设备，其中，检测所述访问尝试包括：

标记所述PTE，使得所述访问尝试引起页错误。

17.一种用于计算机的设备，包括：

用于检测对包括管理程序的管理程序环境中的客户操作系统(OS)的关键地址空间(CAS)的访问尝试的部件，其中所述客户OS实现地址空间布局随机化(ASLR)；

用于识别执行所述访问尝试的进程的部件；以及

用于如果不准许所述进程访问所述CAS则采取动作的部件，

其中，用于识别执行所述访问尝试的所述进程的部件包括：用于读取与所述进程对应的CR3寄存器的部件。

18.如权利要求17所述的设备，其中，所述动作从下列项中选取：

向所述管理程序的管理控制台报告所述访问尝试；

向所述客户OS提供推荐；以及

在所述客户OS内自动采取动作。

19.如权利要求18所述的设备，其中，向所述管理程序的管理控制台报告所述访问尝试包括：将所述客户OS的状态标记为受感染。

20.如权利要求18所述的设备，其中，向所述客户OS提供推荐包括下列至少一个：

对所述进程运行防病毒。

21.如权利要求18所述的设备，其中，在所述客户OS内采取动作包括下列至少一个：

在所述客户OS中运行防病毒程序；或者

关闭所述客户OS或保存所述客户OS的状态以供离线扫描。