[00061817]一种基于虚拟化技术的无代理客户机进程防护方法
技术详细介绍
本发明公开了一种基于虚拟化技术的无代理客户机进程防护方法,包括步骤在KVM中透明获取windows非换页内存页,记录内存页的起始地址到虚拟机对应的KVM结构体中;注入虚拟机信息;设置IA32‑SYSENTER_EIP寄存器为新注入的KiFastCallEntry函数地址,对KiSystemService函数执行挂钩;对原有的SSDT内容执行清除;设置VMCS结构相关字段,设置IA32‑SYSENTER_EIP寄存器的读写陷入和取指令型的pagefault异常陷入;虚拟机监视器拦截客户机的取指令pagefault异常,对当前操作进行分析,返回结果到客户机,完成一次访问的处理。本发明保证了系统功能的安全执行,且不需要在客户机内部安装代理驱动,就不需要考虑代理驱动的安全,对虚拟机的性能影响也降到最低。
