增强的恶意软件检测

核心提示： 图5：虚拟化环境架构（来源：Intel公司，2009）第二种原型的的关键架构组件基于深视技术(Deep Watch)，增强的恶意软件检测(8)，详见[11]，它是由位于Intel ME固件中的完整性验证模块和防病毒云服务中的VMM完整性应用服务组成，能有效减少防病毒云环境中对主机代理的大部分威胁

图5：虚拟化环境架构（来源：Intel公司，2009）

第二种原型的的关键架构组件基于深视技术(Deep Watch)，详见[11]，它是由位于Intel ME固件中的完整性验证模块和防病毒云服务中的VMM完整性应用服务组成。 在BIOS 系统管理中断(system management interrupt,SMI)处理程序提供的简单支持下，能得到处理器状态和寄存器信息，然后Intel ME能从这些信息中为VMM重建虚拟内存页表。系统管理模式(System management mode,SMM)是一种能达成特定目标的操作模式，此模式能管理全系统范围内的功能，例如电源管理、系统硬件控制，甚至私有OEM设计代码。SMM带来的主要好处是提供了明确的并且使用简便的独立处理器环境，此环境对OS或者执行程序及软件应用都是透明的。当通过SMI调用SMM(SMI处理器)，处理器保存当前处理器的状态（处理器上下文context），然后转换到隔离的、存放在系统管理RAM（system management RAM ,SMRAM）中的操作环境。这个处理器状态被收集到SMI处理程序，并通过硬件接口传送到Intel ME。Intel ME中存放的处理器状态可以用来重新构建内存页表，以验证VMM的实现完整性。此外，Intel ME可以传送所有信息（处理器状态和内存页）到防病毒云服务。远程防病毒服务就能验证VMM的实时完整性，也就克服了Intel ME的计算能力限制。我们还建立了一个类似研究原型通过PCI DMA设备来度量主机OS驱动器的完整性，详见[12]。

威胁分析

我们假设攻击者已经完全能访问及控制OS，包括内核，并能插入、修改或者删除内核驱动程序；然而，我们假设攻击者不能修改Intel ME固件或者SMRAM。我们的假设意味着攻击范围十分广泛，从简单用户攻击到各种修改关键内核数据结构的攻击，其目的是破坏用户OS或者VMM本身。这种类型的攻击例子包括有在导入表、IDT或者系统调用参考表中挂钩、内核代码及静态数据修改，以及直接内核对象窜改。想大致了解内核匿踪攻击 (rootkit)技术请参考[18]。

下面是我们在原型1中解决的不同攻击方式的威胁：

主机代理的威胁。Intel ME中的内核匿踪攻击(rootkit)检测程序有效防止了内核代码修改、导入表、IDT以及系统调用参考表挂钩。Intel ME使用OOB接口通过其DMA接口只读访问内存，确保匿踪攻击(rootkit)检测程序能得到一个全面而且未经篡改的内存视图。

未知内核攻击。如果Intel ME中的内核匿踪攻击(rootkit)检测程序检测到任何可疑行为或者模式，它就会通知防病毒云服务器进行更加细致地扫描。

在原型2中，除了原型1所能解决的威胁以外，我们还解决了VMM攻击。

对主机代理的威胁。VMM保护主机代理不受恶意软件的攻击。

未知内核攻击。主机代理，经我们的内核匿踪攻击(rootkit)检测程序加强后，可以检测任何可疑行为或者模式。

VMM攻击。被破坏的VMM可以通过Intel ME中的直接内存访问以及实时内存匿踪攻击(rootkit)检测(Runtime Kernel Rootkit Detection ,RKRD)甄别出来。

总结

在这篇文章中，我们解释了学术界与工业界共同提议采用云计算对抗病毒的缘起。我们仔细研究了基于云的防病毒服务所面临的威胁，首要风险直指运行在客户端上的主机代理，它用于向防病毒云引擎输送数据。我们然后提供一些基于平台的功能特性，基于Intel架构，能用来减少恶意软件对主机代理的危害。我们研究了结合了Intel虚拟技术及Intel芯片组技术的原型，这些技术包括有Intel ME，能有效减少防病毒云环境中对主机代理的大部分威胁。因此，这些技术的新应用能为我们的终端用户提供更加有效的防病毒云服务。