RU128742U1 - COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER - Google Patents
COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER Download PDFInfo
- Publication number
- RU128742U1 RU128742U1 RU2013104959/08U RU2013104959U RU128742U1 RU 128742 U1 RU128742 U1 RU 128742U1 RU 2013104959/08 U RU2013104959/08 U RU 2013104959/08U RU 2013104959 U RU2013104959 U RU 2013104959U RU 128742 U1 RU128742 U1 RU 128742U1
- Authority
- RU
- Russia
- Prior art keywords
- computer
- uefi
- hypervisor
- thin
- thin hypervisor
- Prior art date
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
1. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера, включающий материнскую плату с системной шиной, модуль памяти, содержащий UEFI, и, по меньшей мере, одно запоминающее устройство с операционной системой, при этом модуль памяти содержит раздел для хранения данных модуля тонкого гипервизора, а UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля тонкого гипервизора.2. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера по п.1, отличающийся тем, что модуль памяти компьютера, в котором хранится UEFI, представляет собой микросхему FLASH.3. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера по п.1, отличающийся тем, что UEFI передает информацию тонкому гипервизору о необходимом, по меньшей мере, одном запоминающем устройстве для загрузки основной операционной системы и гипервизор сам осуществляет загрузку операционной системы.1. A computer for starting a thin hypervisor in UEFI at an early stage of computer startup, including a motherboard with a system bus, a memory module containing UEFI, and at least one memory device with an operating system, the memory module containing a section for storing data the thin hypervisor module, and UEFI is configured so that immediately after the transition to the driver execution environment, it launches the thin hypervisor module. 2. A computer for starting a thin hypervisor in UEFI at an early stage of computer boot according to claim 1, characterized in that the memory module of the computer in which the UEFI is stored is a FLASH chip.3. A computer for starting a thin hypervisor in UEFI at an early stage of computer boot according to claim 1, characterized in that UEFI transmits information to the thin hypervisor about the necessary at least one storage device for loading the main operating system and the hypervisor itself loads the operating system.
Description
Предлагаемая полезная модель относится к компьютеру, содержащему операционную систему, которая защищена от несанкционированного доступа к информации.The proposed utility model relates to a computer containing an operating system that is protected from unauthorized access to information.
В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US2009319763A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.Currently, Unified Extensible Firmware (UEFI) is being developed for modern computers, or rather their motherboards. This interface is designed to replace the computer BIOS and is intended to correctly initialize the equipment when the system is turned on and transfer control to the bootloader of the operating system. UEFI has two phases: the preliminary EFI phase, at which the computer elements are initialized and the Driver Execution Environment (DXE) driver loading phase, after which the computer operating system is already loaded, see, for example, US2009319763A1 dated 12.24.2009. Thanks to the use of UEFI, the loading of the computer operating system is accelerated.
Наиболее близким техническим решением является RU2446447C2, от 27.03.2012 в котором описан компьютер для управления доступом операционных систем с помощью гипервизора. Данный компьютер содержит материнскую плату с системной шиной, модуль памяти, содержащий BIOS и запоминающее устройство с операционной системой, и модулем гипервизора. В BIOS имеется набор инструкций исполняемых на этапе загрузки, осуществляющих запуск гипервизора. Недостатком данной системы является не достаточная защита компьютера, т.к. гипервизор хранится в разделе на запоминающем устройстве, которое может быть подвержено изменению.The closest technical solution is RU2446447C2, dated 03/27/2012, which describes a computer for controlling access to operating systems using a hypervisor. This computer contains a motherboard with a system bus, a memory module containing a BIOS and a storage device with an operating system, and a hypervisor module. The BIOS has a set of instructions executed at the boot stage, which launch the hypervisor. The disadvantage of this system is not sufficient computer protection, because The hypervisor is stored in a section on the storage device, which may be subject to change.
Предлагаемое техническое решение направлено на создание компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. В предлагаемом решении гипервизор располагается в области модуля памяти не подверженного изменению при загруженной операционной системе, и поэтому такой компьютер обладает повышенной защищенностью операционной системы.The proposed technical solution is aimed at creating a computer to run a thin hypervisor in UEFI at an early stage of computer boot. In the proposed solution, the hypervisor is located in the area of the memory module that is not subject to change when the operating system is loaded, and therefore such a computer has increased security of the operating system.
Задача, которую позволяет решить предлагаемая полезная модель - возможность гарантированного запуска гипервизора до старта любого кода расположенного на доступных носителях/запоминающих устройств, подверженных вирусным атакам с целью предотвращения несанкционированного доступа к информации и запуска дополнительных средств защиты информации внутри самого модуля гипервизора.The task that the proposed utility model allows to solve is the possibility of guaranteed launch of the hypervisor before the start of any code located on accessible media / memory devices that are susceptible to virus attacks in order to prevent unauthorized access to information and launch additional information protection tools inside the hypervisor module itself.
Технический результат предлагаемого технического решения - повышение безопасности компьютера.The technical result of the proposed technical solution is to increase the security of the computer.
Технический результат достигается тем, что компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера включает материнскую плату с системной шиной, модуль памяти, содержащий UEFI, и, по меньшей мере, одно запоминающее устройство с операционной системой. При этом модуль памяти содержит раздел для хранения данных модуля тонкого гипервизора, а UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля тонкого гипервизора.The technical result is achieved by the fact that the computer for starting a thin hypervisor in UEFI at an early stage of computer startup includes a motherboard with a system bus, a memory module containing UEFI, and at least one memory device with an operating system. At the same time, the memory module contains a section for storing the data of the thin hypervisor module, and the UEFI is configured so that immediately after the transition to the driver execution environment, it launches the thin hypervisor module.
Модуль памяти компьютера, в котором хранится UEFI по существу представляет собой микросхему FLASH.The memory module of the computer in which the UEFI is stored is essentially a FLASH chip.
При этом UEFI передает информацию тонкому гипервизору о необходимом, по меньшей мере, одном запоминающем устройстве для загрузки основной операционной системы и гипервизор сам осуществляет загрузку операционной системы.In this case, the UEFI transmits information to the thin hypervisor about the necessary at least one storage device for loading the main operating system, and the hypervisor itself loads the operating system.
На фиг.1 показана схема компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера.Figure 1 shows a diagram of a computer for starting a thin hypervisor in UEFI at an early stage in computer startup.
Рассмотрим работу предлагаемого устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того в микросхеме FLASH содержится раздел для хранения данных модуля гипервизора. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь.Consider the work of the proposed computer device to run a thin hypervisor in UEFI at an early stage of computer boot. To operate the proposed computer, the motherboard of the computer is used, which has a memory module in the form of a FLASH chip, where instead of BIOS (BIOS) UEFI is recorded. In addition, the FLASH chip contains a section for storing data from the hypervisor module. The remaining elements of the computer represent standard computer elements: a processor with a cooling system, RAM, a video card, hard disks (SSD or HDD), a monitor, a case with a power supply, a keyboard and mouse.
Работа предлагаемого устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE, запускается модуль гипервизора. Модуль тонкого гипервизора является прослойкой между ОС и интерфейсами, виртуализирует все интерфейсы устройства. Т.е., допустим, у устройства есть интерфейс беспроводного доступа к сети, интерфейсы монитора, принтера и CD дисковода. В обычном случае операционная система видит эти устройства и обращается к ним напрямую. И вредоносная программа или неавторизованный пользователь могут при определенных условиях получить доступ к этим интерфейсам. При включенном модуле тонкого гипервизора ОС видит только сам гипервизор, не видя интерфейсы устройств напрямую, а только те и в таком виде, как это отображает для нее гипервизор. Таким образом, определенные пользователи или программы (зависит от настройки гипервизора) просто не увидят, например, принтер, или беспроводной доступ к сети, поскольку для них гипервизор не будет отображать эти интерфейсы, и система будет считать, что такого устройства на компьютере нет. Напротив, тонкий гипервизор может показывать системе какие-либо устройства, не существующие в действительности, например, виртуальный принтер или виртуальный жесткий диск. Кроме того, весь трафик, которым обменивается ОС с любыми интерфейсами, обрабатывается гипервизором, и может независимо от ОС быть передан гипервизором для обработки антивирусным модулем, при этом сама операционная система, даже в случае, если она будет взята под контроль вредоносной программой, не будет иметь информации о том, что такая проверка проводится, что исключает воздействие вирусов на процесс проверки (и лечения). В нашем случае особенностью является то, что запуск этого тонкого гипервизора осуществляется на описанной выше предзагрузочной стадии, до запуска любых программ (и до появления у пользователя возможности осуществления действий), которые потенциально могли бы повлиять на запуск тонкого гипервизора или предотвратить его.The work of the proposed computer device to run a thin hypervisor in UEFI at an early stage of computer boot is as follows. The user turns on the computer, after which the UEFI download starts, and various graphic or textual design of the UEFI download can be formed on the monitor. After performing the UEFI transition to the driver execution environment - DXE, the hypervisor module is launched. The thin hypervisor module is a layer between the OS and interfaces, it virtualizes all device interfaces. That is, let's say the device has an interface for wireless access to the network, interfaces for a monitor, printer, and CD drive. In the usual case, the operating system sees these devices and accesses them directly. And a malicious program or an unauthorized user can, under certain conditions, gain access to these interfaces. When the thin hypervisor module is turned on, the OS sees only the hypervisor itself, without seeing the device interfaces directly, but only in the form that the hypervisor displays for it. Thus, certain users or programs (depending on the configuration of the hypervisor) simply will not see, for example, a printer, or wireless access to the network, because for them the hypervisor will not display these interfaces, and the system will assume that there is no such device on the computer. In contrast, a thin hypervisor can show the system any devices that do not really exist, such as a virtual printer or virtual hard disk. In addition, all traffic exchanged by the OS with any interfaces is processed by the hypervisor, and can be transmitted by the hypervisor for processing by the anti-virus module regardless of the OS, while the operating system itself, even if it is taken under the control of a malicious program, will not be to have information that such a check is carried out, which excludes the effect of viruses on the check process (and treatment). In our case, the peculiarity is that the launch of this thin hypervisor is carried out at the pre-boot stage described above, before launching any programs (and until the user has the ability to take actions) that could potentially affect the launch of the thin hypervisor or prevent it.
Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода.The hypervisor code is located inside the memory module microcircuit and is not subject to the possibility of changing or discrediting the code.
Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники, очевидно, что на основе раскрытых данных можно создать вариации компьютера для запуска тонкого гипервизора в UEFI, например, сохраняя код тонкого гипервизора на отдельной микросхеме FLASH. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.A specific embodiment of the proposed technical solution was disclosed above, but it is obvious to any person skilled in the art that based on the disclosed data, it is possible to create computer variations for launching a thin hypervisor in UEFI, for example, storing the code of a thin hypervisor on a separate FLASH chip. Thus, the scope of the utility model should not be limited to the specific embodiment described in the proposed utility model formula.
Claims (3)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013104959/08U RU128742U1 (en) | 2013-02-06 | 2013-02-06 | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013104959/08U RU128742U1 (en) | 2013-02-06 | 2013-02-06 | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU128742U1 true RU128742U1 (en) | 2013-05-27 |
Family
ID=48804778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2013104959/08U RU128742U1 (en) | 2013-02-06 | 2013-02-06 | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU128742U1 (en) |
-
2013
- 2013-02-06 RU RU2013104959/08U patent/RU128742U1/en active
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI616818B (en) | Virtual high privilege mode for a system management request | |
| US10311236B2 (en) | Secure system memory training | |
| US9135435B2 (en) | Binary translator driven program state relocation | |
| US9043789B2 (en) | Managing safe removal of a passthrough device in a virtualization system | |
| JP5308522B2 (en) | Memory management for hypervisor loading | |
| US10146962B2 (en) | Method and apparatus for protecting a PCI device controller from masquerade attacks by malware | |
| JP5951145B2 (en) | Operating system recovery method, apparatus, and terminal device | |
| US9417886B2 (en) | System and method for dynamically changing system behavior by modifying boot configuration data and registry entries | |
| US10552345B2 (en) | Virtual machine memory lock-down | |
| KR20160108517A (en) | Access isolation for multi-operating system devices | |
| EP3048550B1 (en) | Measurement method, electronic device and measurement system | |
| US20170132164A1 (en) | Unified Extensible Firmware Interface System Management Mode Initialization Protections with System Management Interrupt Transfer Monitor Sandboxing | |
| Wojtczuk et al. | Attacking UEFI boot script | |
| EP3029564B1 (en) | System and method for providing access to original routines of boot drivers | |
| US20200073832A1 (en) | Systems And Methods For Hiding Operating System Kernel Data In System Management Mode Memory To Thwart User Mode Side-Channel Attacks | |
| KR20220070462A (en) | secure buffer for bootloader | |
| US10491736B2 (en) | Computer system and method thereof for bluetooth data sharing between UEFI firmware and OS | |
| US20090300307A1 (en) | Protection and security provisioning using on-the-fly virtualization | |
| US8856788B2 (en) | Activity based device removal management | |
| US20120216284A1 (en) | Method and system of posting achievements regarding scans for malware programs | |
| RU129675U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
| US9003172B2 (en) | Intelligently controlling loading of legacy option ROMs in a computing system | |
| RU2538286C2 (en) | Method of launching hypervisor in computer system at early computer booting stage | |
| RU128742U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
| RU2537814C9 (en) | Method of launching hypervisor in computer system at early computer booting stage |