CN114265775A - 一种硬件辅助虚拟化环境核心检测方法及*** - Google Patents
一种硬件辅助虚拟化环境核心检测方法及*** Download PDFInfo
- Publication number
- CN114265775A CN114265775A CN202111576319.5A CN202111576319A CN114265775A CN 114265775 A CN114265775 A CN 114265775A CN 202111576319 A CN202111576319 A CN 202111576319A CN 114265775 A CN114265775 A CN 114265775A
- Authority
- CN
- China
- Prior art keywords
- vmcall
- operate
- detection program
- virtualization environment
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 35
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000006870 function Effects 0.000 claims description 21
- 230000002035 prolonged effect Effects 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 description 9
- 230000003068 static effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种硬件辅助虚拟化环境核心检测方法及***,其方法包括:S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同的返回值,根据返回值,从而判断虚拟化环境是否存在;S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种硬件辅助虚拟化环境核心检测方法及***。
背景技术
软件分析技术包括静态分析和动态分析。静态分析通过对可执行程序进行反编译等操作从而获取待分析软件的反汇编代码,通过分析反汇编代码进一步分析软件逻辑和特定行为。静态分析不需要实际地运行程序,因此是一种非常方便快捷的软件分析方法,但是对于加固软件的分析比较难以处理,同时有些运行流程静态分析无法解析。动态分析则通常借助于虚拟化技术在隔离环境中实际地运行程序,通过不同的输入得到不同的执行路径,分析运行分支和结果来解构软件的执行逻辑。通过不断地调整输入,可以比较完整地了解待分析软件的内部执行逻辑,但是高级的软件会在发现被动态分析时刻意隐藏自身行为,从而对分析结果产生误导。许多软件为了防止被破解或分析,都会进行不同程度的混淆或加固,并且通常需要对运行环境进行检测,以便规避动态分析,及时隐藏自身行为或终止运行。因此,如何判断程序是否运行在用户虚拟机内还是本地裸机OS环境中,成为一个亟待解决的问题。
发明内容
为了解决上述技术问题,本发明提供一种硬件辅助虚拟化环境核心检测方法及***。
本发明技术解决方案为:一种硬件辅助虚拟化环境核心检测方法,包括:
步骤S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VM Exit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;
步骤S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据所述返回值,从而判断虚拟化环境是否存在;
步骤S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;
步骤S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据所述Cache组的驱逐情况,从而判断虚拟化环境是否存在。
本发明与现有技术相比,具有以下优点:
1、由于传统虚拟化检测主要基于Hypervisor实现时在虚拟机上呈现的一些指纹痕迹,但是这些指纹容易被Hypervisor更新移除;而且现在主流的Hypervisor实现几乎都建立在硬件辅助虚拟化加速之上,隔离性更强且虚拟化指纹更少。为了解决该问题,本发明公开了一种硬件辅助虚拟化环境核心检测方法,建立在硬件辅助虚拟化扩展和微架构特征基础之上,不依赖于Hypervisor本身痕迹,因此不容易规避或移除。
2、本发明可以根据用户程序所能拥有的不同权限选择不同的模块,适用性更广,可扩展性更高。
3、本发明利用基于PP技术的虚拟化检测,只依赖于虚拟环境SLAT的性质,因此不仅适用于硬件辅助的全虚拟化环境,同时还适用于半虚拟化或沙箱环境。
附图说明
图1为本发明实施例中一种硬件辅助虚拟化环境核心检测方法的流程图;
图2为本发明实施例中CD位在置位前后访存示意图;
图3为本发明实施例中L2C驱逐检测示意图;
图4为本发明实施例中一种硬件辅助虚拟化环境核心检测***的结构框图。
具体实施方式
本发明提供了一种硬件辅助虚拟化环境核心检测方法,具有更广的适用性和扩展性,同时由于基于底层的硬件辅助虚拟化扩展和微架构特征,因此具有更好的检测稳定性。
为了使本发明的目的、技术方案及优点更加清楚,以下通过具体实施,并结合附图,对本发明进一步详细说明。
为了更好地理解下述实施例,对所用技术以及部分名词缩写的解释如下:
***虚拟化技术在云环境和本地环境中广泛使用,不但极大地提高资源的利用率,也提供了一个和宿主机***隔离的虚拟化运行环境。典型的虚拟机管理器开源的如KVM,Xen等,商业闭源的如HyperV,VMware Workstation等,虚拟机管理器也叫作Hypervisor。由于硬件辅助虚拟化机制提供对虚拟化的硬件支持,基于硬件辅助的全虚拟化技术提供更好的安全隔离防护和更高的性能。Intel VT-x,AMD-V和ARM Virtualization等都提供硬件辅助虚拟化的支持。
基于CPU Cache侧信道计时攻击是侧信道攻击领域广泛利用的一种攻击形式,攻击者通过计时受害者程序访问特定区域内存映射的共享Cache的访问时长,利用访问时长的差异,间接地推断出受害者的内存访问模式,从而获取受害者的机密代码或数据。PP是一种典型的进行Cache侧信道的攻击技术,主要分为三步:攻击者构建驱逐集,访问驱逐集中的对应的内存以填充特定的一个或多个Cache组;然后等待预定的时间,以便受害者访问映射到相同Cache组的内存;攻击者再次读取自己填充的Cache组对应的内存,测量并分析读取Cache组对应内存的访问时间。
实施例一
如图1所示,本发明实施例提供的一种硬件辅助虚拟化环境核心检测方法,包括下述步骤:
步骤S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VM Exit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;
步骤S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据返回值,从而判断虚拟化环境是否存在;
步骤S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;
步骤S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在。
本方法实施例中综合利用处理器的硬件辅助虚拟化机制和微架构特征,考虑检测程序可拥有的权限,根据不同的权限提供不同的检测方式,并且可以方便地进行集成。当检测程序只拥有普通权限时,基于VMCALL虚拟化扩展指令主动地进行VM Exit,向Hypervisor中Hypercall处理函数发送调用,从而获得调用结果。当检测程序可申请特权权限时,可以根据实际情况调用VMCALL特权级检测,CR0特权级检测和L2C特权级检测,从而获得调用结果。通过分析调用结果,从而确定检测程序运行在用户虚拟机内还是本地裸机OS环境中。
在一个实施例中,上述步骤S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VM Exit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有普通权限对VMCALL操作时,在本地环境,主动地调用VMCALL会引发硬件异常,导致程序出错,而在虚拟机中调用VMCALL时可以顺利执行,并且经过VM Exit陷入到Hypervisor之后可获得默认返回值,根据默认返回值,从而判断虚拟化环境是否存在;
当检测程序拥有普通权限时,主要利用硬件虚拟化扩展指令VMCALL和相应的Hypercall机制。Intel VT-x提供的虚拟化平台拥有两种运行环境,分别是VRM模式和VNRM模式。如同于OS提供***调用接口给用户空间,基于硬件辅助虚拟化且运行在VRM下的Hypervisor需要提供一些特定的接口给运行在VNRM下的虚拟机调用,这些接口以Hypercall的形式呈现。检测程序中用汇编的形式主动调用VMCALL指令,CPU检测到VMCALL之后立即发生VM Exit并将CPU切换到VRM模式执行,此时运行环境进入Hypervisor中。Hypervisor中的Hypercall处理函数检测到来自vCPU之前的特权级不是最高特权级,则传递给虚拟寄存器默认的返回结果,CPU发生VM Entry后虚拟机中检测程序从虚拟寄存器中获得返回值。当检测程序在本地环境中运行时,由于不支持VNRM模式下的指令,检测程序会引发硬件异常从而中断运行,没有返回值。因此,根据不同的执行情况和返回值,可以区分是否在虚拟化环境中运行。
在一个实施例中,上述步骤S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据返回值,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有特权权限对VMCALL操作时,在调用VMCALL指令时在虚拟寄存器上附上特定的参数值,根据不同的参数值调用不同的Hypercall处理函数,并得到不同的返回值;当检测程序运行在本地环境时,由于指令的不兼容会导致错误,无法获得返回值;根据返回值,从而判断虚拟化环境是否存在。
当检测程序运行在OS的内核态且具有特权权限对VMCALL操作时,利用VMCALL在不同CPU模式下的支持的指令集差异来检测虚拟化,可以实现更细粒度的检测。检测程序用汇编的形式主动调用VMCALL指令,同时根据主流Hypervisor开源代码和文档说明分析不同Hypercall处理函数对应的寄存器参数,在调用时通过VMCALL指令并在虚拟寄存器上附上特定的参数值。CPU发生VM Exit之后,Hypervisor检测到来自vCPU之前的特权级属于最高特权级,则从VMCS中获取虚拟寄存器中的参数值,根据参数值的不同调用不同的Hypercall处理函数并返回不同的值,CPU发生VM Entry后虚拟机中检测程序从虚拟寄存器中获得返回值。只要在虚拟机内部检测程序中传递不同的参数,就可以获得不同的预期返回值。但是当检测程序运行在本地环境时,由于指令的不兼容会导致错误,无法获得返回值。
在一个实施例中,上述步骤S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有特权权限对CR0操作时,在虚拟化环境中对CR0寄存器的CD位进行置位不会实际影响到物理CPU;当检测程序运行在本地环境,则对CD位的置位会实际地影响到物理CPU,导致物理Cache状态改变,从而会导致访存时间变长;通过比较CD置位前后访存的时间,从而判断虚拟化环境是否存在。
CR0寄存器上的CD位控制着***全局的代码或数据是否能够被CPU内的Cache进行缓存加速,改变CD位对***性能将会有明显差异。如图2所示,检测程序拥有特权权限对CR0操作时,可先多次对内存数据进行密集地访问,并记录访问内存的总时间;然后检测程序对CD位进行置位,从而使得Cache无法对内存内容进行缓存,然后再次对内存数据进行密集地访问,并记录第二次访问内存的总时间;然后对两个时间进行比较。如果检测程序运行在虚拟化环境,当修改CR0的CD位时,修改的是Hypervisor提供给虚拟机的虚拟vCR0,虚拟机虽然可以完成修改置位,但本质上并没有影响到物理CPU。然而当检测程序运行在本地环境,那么处于内核态的程序对CD位的置位将实际地影响到CPU,从而会导致访存时间明显变长。通过比较置位前后两次的访存时间,可以区分出运行在虚拟化环境还是本地环境。
在一个实施例中,上述步骤S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有特权权限对L2C操作且运行在本地环境时,通过pagemap接口获取的就是真实的物理内存地址,从而定位正确索引到Cache组,在目标Cache组平均访存时间会具有明显的峰值,当检测程序运行在虚拟化环境中时,获取的物理地址并不是真实物理内存的地址,因此所定位的Cache组不是预期目标Cache组;通过对目标Cache组与全部Cache组的平均访问时间对比,检测程序可以判断所处的运行环境。
本步骤中利用虚拟化中和本地环境中对物理地址的不同理解,基于PP技术在L2C上进行驱逐,观察映射到目标Cache组内存访问时间与其他Cache组内存访问时间差异。如图3所示,检测程序首先需要在函数栈上申请虚拟内存,然后通过pagemap接口获取相应虚拟内存的物理地址。L2C的Cache组是由物理内存地址进行索引的,由于典型的Cache Line的大小是64Byte,即由最低的0-5位索引,则Cache组从物理地址的第6位开始索引。通过不断地搜索和保存Cache组对应的驱逐集,获得所有Cache组对应的驱逐集,即映射到相同Cache组的一组内存地址。检测程序选择一个Cache组作为目标观察组,随机选择一个Cache组并对这个组使用同样的方法找到另外一组驱逐集。检测程序先对全部驱逐集进行访问,这个访问过程在CPU内部会将这些内存块缓存到对应的Cache组,同时将L2C上的以前内容被替换;接着对目标Cache组对应的驱逐集的一个或多个地址进行访问,这样导致新的内存内容缓存到目标Cache组并替换原有内容;然后依次访问所有驱逐集,计时访问这些驱逐集的时间;重复上面的过程并统计平均时间。当检测程序运行在本地环境时,虚拟机内部程序通过pagemap接口获取的就是真实的物理内存地址,可以通过物理内存地址的指定位正确索引到Cache组。然而当检测程序运行在虚拟化环境中时,虚拟机内部程序获取的物理地址并不是真实物理内存的地址,同时由于虚拟机作为宿主机上一个进程还存在着跨核心调度,此外虚拟化环境也具有更多的噪声影响会污染Cache。在多种因素影响下会导致虚拟化环境下观察到的所有Cache组的平均访问时间十分混乱,没有规律;然而在本地环境下,由于可以正确定位Cache组,因此可以观察到在目标Cache组平均访存时间具有明显的峰值,而在其他Cache组的平均访存时间较低。通过对目标Cache组与全部Cache组的平均访问时间对比,检测程序可以判断所处的运行环境。
由于传统虚拟化检测主要基于Hypervisor实现时在虚拟机上呈现的一些指纹痕迹,但是这些指纹容易被Hypervisor更新移除;而且现在主流的Hypervisor实现几乎都建立在硬件辅助虚拟化加速之上,隔离性更强且虚拟化指纹更少。为了解决该问题,本发明公开了一种硬件辅助虚拟化环境核心检测方法,建立在硬件辅助虚拟化扩展和微架构特征基础之上,不依赖于Hypervisor本身痕迹,因此不容易规避或移除。本发明可以根据用户程序所能拥有的不同权限选择不同的模块,适用性更广,可扩展性更高。本发明利用基于PP技术的虚拟化检测,只依赖于虚拟环境SLAT的性质,因此不仅适用于硬件辅助的全虚拟化环境,同时还适用于半虚拟化或沙箱环境。
实施例二
如图4所示,本发明实施例提供了一种硬件辅助虚拟化环境核心检测***,包括下述模块:
VMCALL普通权限检测模块51,用于当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VM Exit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;
VMCALL特权权限检测模块52,用于当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据返回值,从而判断虚拟化环境是否存在;
CR0特权权限检测模块53,用于当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;
L2C特权权限检测模块54,用于当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
Claims (6)
1.一种硬件辅助虚拟化环境核心检测方法,其特征在于,包括:
步骤S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;
步骤S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据所述返回值,从而判断虚拟化环境是否存在;
步骤S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;
步骤S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据所述Cache组的驱逐情况,从而判断虚拟化环境是否存在。
2.根据权利要求1所述的硬件辅助虚拟化环境核心检测方法,其特征在于,所述步骤S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有普通权限对VMCALL操作时,在本地环境中主动地调用VMCALL会引发硬件异常,从而导致程序出错;而在虚拟化环境中调用VMCALL时可以顺利执行,并且经过VMExit陷入到Hypervisor之后可获得默认返回值,根据所述默认返回值,从而判断虚拟化环境是否存在。
3.根据权利要求1所述的硬件辅助虚拟化环境核心检测方法,其特征在于,所述步骤S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递不同参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据所述返回值,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有特权权限对VMCALL操作时,在调用VMCALL指令时在虚拟寄存器上附上特定的参数值,根据不同的所述参数值调用不同的Hypercall处理函数,并得到不同的返回值;当所述检测程序运行在本地环境时,由于指令的不兼容会导致错误,无法获得返回值;根据所述返回值,从而判断虚拟化环境是否存在。
4.根据权利要求1所述的硬件辅助虚拟化环境核心检测方法,其特征在于,所述步骤S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在,具体包括:
当检测程序拥有特权权限对CR0操作时,在虚拟化环境中对CR0寄存器的CD位进行置位不会实际影响到物理CPU;当所述检测程序运行在本地环境,则对CD位的置位会实际地影响到物理CPU,导致物理Cache状态改变,从而会导致访存时间变长;通过比较CD置位前后访存的时间,从而判断虚拟化环境是否存在。
5.根据权利要求1所述的硬件辅助虚拟化环境核心检测方法,其特征在于,所述步骤S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据所述Cache组的驱逐情况,从而判断虚拟化环境是否存在,具体包括:
当检测程序运行在本地环境时,通过pagemap接口获取的就是真实的物理内存地址,从而定位正确索引到Cache组,在目标Cache组平均访存时间会具有明显的峰值,当检测程序运行在虚拟化环境中时,获取的物理地址并不是真实物理内存的地址,因此所定位的Cache组不是预期目标Cache组,通过对目标Cache组与全部Cache组的平均访问时间对比,检测程序可以判断所处的运行环境。
6.一种硬件辅助虚拟化环境核心检测***,其特征在于,包括下述模块:
VMCALL普通权限检测模块,用于当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;
VMCALL特权权限检测模块,用于当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同VMCALL参数对应的特定Hypercall处理函数的返回值,根据所述返回值,从而判断虚拟化环境是否存在;
CR0特权权限检测模块,用于当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对***性能的影响,从而判断虚拟化环境是否存在;
L2C特权权限检测模块,用于通过驱逐特定的L2C的Cache组,根据所述Cache组的驱逐情况,从而判断虚拟化环境是否存在。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111576319.5A CN114265775B (zh) | 2021-12-21 | 2021-12-21 | 一种硬件辅助虚拟化环境核心检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111576319.5A CN114265775B (zh) | 2021-12-21 | 2021-12-21 | 一种硬件辅助虚拟化环境核心检测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114265775A true CN114265775A (zh) | 2022-04-01 |
| CN114265775B CN114265775B (zh) | 2024-05-24 |
Family
ID=80828541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111576319.5A Active CN114265775B (zh) | 2021-12-21 | 2021-12-21 | 一种硬件辅助虚拟化环境核心检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114265775B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103116515A (zh) * | 2011-09-28 | 2013-05-22 | 西门子公司 | 提供用于虚拟运行环境的独立的时间源的方法和虚拟化软件 |
| CN104025050A (zh) * | 2011-12-28 | 2014-09-03 | Ati科技无限责任公司 | 在图形处理单元上虚拟机之间变化 |
| CN106406974A (zh) * | 2015-07-30 | 2017-02-15 | 中兴通讯股份有限公司 | 一种用于虚拟机的高性能定时器实现方法、虚拟机 |
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| CN111782335A (zh) * | 2019-04-03 | 2020-10-16 | Sap欧洲公司 | 通过进程内操作***的扩展应用机制 |
| CN112416508A (zh) * | 2019-08-23 | 2021-02-26 | 无锡江南计算技术研究所 | 基于特权指令库的cpu虚拟化方法 |
| CN112464231A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 基于虚拟机的威胁检测方法及*** |
-
2021
- 2021-12-21 CN CN202111576319.5A patent/CN114265775B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103116515A (zh) * | 2011-09-28 | 2013-05-22 | 西门子公司 | 提供用于虚拟运行环境的独立的时间源的方法和虚拟化软件 |
| CN104025050A (zh) * | 2011-12-28 | 2014-09-03 | Ati科技无限责任公司 | 在图形处理单元上虚拟机之间变化 |
| CN106406974A (zh) * | 2015-07-30 | 2017-02-15 | 中兴通讯股份有限公司 | 一种用于虚拟机的高性能定时器实现方法、虚拟机 |
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| CN111782335A (zh) * | 2019-04-03 | 2020-10-16 | Sap欧洲公司 | 通过进程内操作***的扩展应用机制 |
| CN112416508A (zh) * | 2019-08-23 | 2021-02-26 | 无锡江南计算技术研究所 | 基于特权指令库的cpu虚拟化方法 |
| CN112464231A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 基于虚拟机的威胁检测方法及*** |
Non-Patent Citations (3)
| Title |
|---|
| 刘维杰;王丽娜;谈诚;徐来;: "基于VMFUNC的虚拟机自省触发机制", 计算机研究与发展, no. 10, 15 October 2017 (2017-10-15) * |
| 吴宇明;刘宇涛;陈海波;: "基于AMD硬件内存加密机制的关键数据保护方案", 信息安全学报, no. 01, 15 January 2018 (2018-01-15) * |
| 杨晓晖;许烨;: "基于硬件虚拟化的虚拟机内核完整性保护", 河北大学学报(自然科学版), no. 02, 25 March 2018 (2018-03-25) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114265775B (zh) | 2024-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8954959B2 (en) | Memory overcommit by using an emulated IOMMU in a computer system without a host IOMMU | |
| US11436155B2 (en) | Method and apparatus for enhancing isolation of user space from kernel space | |
| JP6411494B2 (ja) | 仮想マシンにおけるページフォールトインジェクション | |
| US7376949B2 (en) | Resource allocation and protection in a multi-virtual environment | |
| EP2691851B1 (en) | Method and apparatus for transparently instrumenting an application program | |
| US8631170B2 (en) | Memory overcommit by using an emulated IOMMU in a computer system with a host IOMMU | |
| CN110196757B (zh) | 虚拟机的tlb填写方法、装置及存储介质 | |
| US8887139B2 (en) | Virtual system and method of analyzing operation of virtual system | |
| US11797678B2 (en) | Memory scanning methods and apparatus | |
| US20080235757A1 (en) | Detecting attempts to change memory | |
| US9424427B1 (en) | Anti-rootkit systems and methods | |
| US20170286672A1 (en) | System, Apparatus And Method For Filtering Memory Access Logging In A Processor | |
| EP3783513A1 (en) | Apparatus, system and method to define memory information leak zones in a computing system | |
| CN114265775B (zh) | 一种硬件辅助虚拟化环境核心检测方法及*** | |
| Che et al. | Performance combinative evaluation of typical virtual machine monitors | |
| Mittal et al. | Efficient virtualization on embedded power architecture® platforms | |
| Sun et al. | Kernel code integrity protection based on a virtualized memory architecture | |
| US20240020377A1 (en) | Build system monitoring for detecting abnormal operations | |
| Tao et al. | Detection of Hardware-Assisted Virtualization Based on Low-Level Feature | |
| CN113268726A (zh) | 程序代码执行行为的监控方法、计算机设备 | |
| CN118410500A (zh) | 权限管控方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |