增强的恶意软件检测

核心提示： 图4：Intel®管理引擎架构（来源：Intel公司,2009）原型2：基于虚拟机监视程序(Virtual Machine Monitor) 在这里，我们的第二种有原型中，增强的恶意软件检测(7)，我们用虚拟机(virtual machine,VM)作为隔离环境，并且扩展我们的第一个原型

图4：Intel®管理引擎架构（来源：Intel公司,2009）

原型2：基于虚拟机监视程序(Virtual Machine Monitor)

在这里，我们的第二种有原型中，我们用虚拟机(virtual machine,VM)作为隔离环境，并且扩展我们的第一个原型来度量虚拟机监视程序(VMM)的完整性。

为理解我们为何选择VMM作为隔离环境，让我们首先来了解一下使用硬件虚拟的基于虚拟的系统。我们在平台上使用Intel® Virtualization Technology (Intel® VT)。虚拟是指一种将处理器或者芯片组的物理资源到分割到不同VM上，并在OS下插入比VM更高权限的执行程序的技术。这个执行程序就是VMM。在 IA-32的Intel® Virtualization Technology (Intel® VT)、 Intel® 64 和 Intel® Architecture (Intel® VT-x)中，称这一权限级别为VMX-root模式。将控制转换到VMM称为VMExit，将控制转换到VM称为VMEntry。通过使用VMCALL 指令，VM能显式地、强制地进行VMExit。在VMX non-root模式下运行的客户OS进行关键OS操作时必定会产生一个VMExit。这使得VMM能强制执行隔离策略。通过增加一个轻量级VMM到 [9]中所描述的原型，我们增强了其功能。为能拦截换页事件以及对数据结构的改动，我们利用VMM监控所需的系统事件，并可以在需要时建立影子页 (shadow page)表。系统组件、清单生成以及完整性验证算法的细节在[9]中详细讨论。我们在研究原型中加入了Intel ME固件，用其来验证VMM自身的完整性[11]。在图5显示了此架构。