系统虚拟化中指令去特权化的软硬件协同设计

提出了一种软硬件协同设计的去特权化方式，用来减少系统虚拟机中特权指令和敏感指令产生的额外开销。其主要思想是使用修改操作系统源代码的软件去特权化方式减少敏感指令的额外开销，使用修改硬件方式减少非敏感指令的特权指令的额外开销。两者配合使用可最大限度减少虚拟机中这两类指令的额外开销，从而能提高系统虚拟机性能。在MIPS架构CPU的测试板上的实验显示，使用这种方法之后虚拟机的特权指令和敏感指令造成的异常数减少了近97％，同时SPECCINT2000测试集中大部分程序性能提升100％以上。

基于VMM层内核函数分析的文件访问保护

文件是操作系统的一部分,也是恶意代码的主要攻击对象,如何有效管控文件的访问行为是保护操作系统安全的关键.针对当前文件保护方法容易被攻击或绕过的问题,提出一种基于VMM层内核函数分析的文件访问保护方法.该方法基于指令替换和仿真的思想,在VMM层监控与文件访问相关的关键内核函数,并结合虚拟机自省技术实现对文件访问行为的有效管控,还利用扩展页表增强了保护机制的安全性,降低了内核恶意程序绕过保护机制的可能性,提高了监控方法的安全性.经对比测试与分析,该方法能够监控到文件的访问行为,管控文件的流向,实现对重要文件的有效保护,开启监控系统引入的性能开销仅在Bit Visor的基础上增加了4.5%.

一种动静结合的代码反汇编框架

反汇编技术是二进制代码分析的基础,传统的静态反汇编方法存在着数据代码混编和间接跳转指令等带来的反汇编困难.为此,本文提出了一种动静结合的代码反汇编框架DTBC.在DTBC中,静态反汇编引擎根据传统反汇编算法实现代码的静态反汇编,通过代码分析技术标记程序中的敏感指令;符号执行引擎利用混合符号执行技术和约束求解器生成可达敏感指令的程序输入;动态仿真引擎模拟不同输入条件下的程序执行过程,通过监控代码的执行路径达到反汇编求精的目的.实验模拟的结果表明,DTBC能够有效提高代码反汇编的准确性和覆盖率.

基于硬件虚拟化的主动防御模型研究

基于HOOK内核代码的传统主动防御软件在放行恶意驱动后对于高危险的恶意代码无法做到有效防御,因此在在已有的病毒行为分析和模式识别技术的基础上,提出了一种基于硬件虚拟化的主动防御模型.详细阐述了硬件虚拟化的主动防御系统的主体构架和实现,系统功能模块的划分及实现原理,行为视窗监控、黑白名单等关键技术的实现方法,从更底层的角度进行行为检测防御,并通过影子页表可以实现高强度的自我保护.