深度決議殺毒軟體內核3-有解無憂

深度決議殺毒軟體內核3 虛擬機的實作
svm內核的核心部件，也就是scs(sws vm scaner)是通過虛擬機實作的，虛擬機簡而言之就是模擬出一臺電腦，在那臺電腦上運行通過前一張介紹的sbj引擎識別出的疑似病毒，然后檢測電腦是否遭到破壞來檢測檔案是否為病毒。目前由于實力限制，著作權糾紛等原因，中國沒有中資公司真正有實力在殺毒軟體中廣泛使用此技術(svm引擎盡管是中國人主導開發但還有一位主導開發者是外國人)，因此這是一項非常尖端的科技。下面我們先來介紹一下什么是虛擬機(大佬請跳過)
CPU的虛擬化：背景知識：x86 CPU有一項權限機制，把CPU的狀態置于RING 0到RING 3分別使CPU具有最高的權限到最低的權限。以Linux為例，內核運行于RING 0上，而其余全部用戶行程運行于RING 3上（Xen比較奇葩，Linux在Xen下面會運行于RING 1）。在用戶權限下，所有的IO設備是不可操作的，另外，有些控制寄存寄是無法訪問的，一些privilege的指令是不能運行的。因此一個用戶行程要想讀寫檔案，進行一些操作，就要依賴于內核。系統呼叫能夠使CPU運行于RING 0，并執行內核代碼（具體方法見一些作業系統教程）。背景說完。一個CPU的全部狀態其實就是所有暫存器的值，只要保證任何操作之后寄存寄的值在OS看來是正確的，guest OS就可以正常執行。hypervisor會為每個虛擬的CPU創建一個資料結構，模擬CPU的全部暫存器的值，在適當的時候跟蹤并修改這些值。那么考慮虛擬化一個CPU，在虛擬化的guest OS里面，CPU無論如何也不可能運行于RING 0，因為這樣的話，host OS必然會crash掉。因此，當一個guest OS想要進入到RING 0執行內核代碼時，hypervisor會向guest OS說謊，并告訴它，你已經在RING 0上了，而實際上，所有的指令還是在RING 3上。當guest OS訪問到任何privilege的東西時，hypervisor會接到fault，此時hypervisor會判斷這個指令是什么，并修改相應的虛擬暫存器的狀態，然后回傳。這樣guest OS就可以正常的運行。需要指出的是，在大多數的指令下代碼是直接跑在硬體上的，而不需要軟體介入。只有在一些權限高的請求下，軟體會介入，并維護虛擬的CPU狀態。記憶體的虛擬化：背景知識：虛擬記憶體，頁表結構等。OS的基礎內容，不表。hypervisor虛擬化記憶體的方法是創建一個shadow page table。正常的情況下，一個page table可以用來實作從虛擬記憶體到物理記憶體的翻譯。在虛擬化的情況下，由于所謂的物理記憶體仍然是虛擬的，因此shadow page table就要做到：虛擬記憶體->虛擬的物理記憶體->真正的物理記憶體。以下是細節，如果看著鬧心，請忽略。hypervisor會維護一個從虛擬記憶體到物理記憶體的映射，當guest OS更換自己的page table，也就是改變CR3暫存器的值，hypervisor會因為用戶態的權限不足而接到一個general exception，hypervisor會記錄用戶想要更換的新的頁表，并放上一個空的shadow page table，然后回傳。這個空的shadow page table會在接下來的執行中造成CPU無法進行地址翻譯，而產生page fault。在fault發生后，hypervisor會得到一個虛擬地址，然后根據之前記錄的用戶的頁表結構，翻譯出一個虛擬機器地址，然后再把這個虛擬的機器地址，由hypervisor維護的映射翻譯為實際的機器地址，然后裝入shadow page table，并回傳執行。如此，就實作了：虛擬記憶體->虛擬的物理記憶體->真正的物理記憶體。I/O虛擬化：背景知識：memory mapped I/O device。大多數的PCI設備都是直接將自己的某些控制暫存器映射到物理記憶體空間上，CPU訪問這些控制暫存器的方法和訪問記憶體相同。CPU通過修改和讀取這些暫存器來操作I/O設備。虛擬化的方法很簡單，沒當hypervisor接到page fault，并發現實際上虛擬的物理記憶體地址對應的是一個I/O設備，hypervisor就用軟體模擬這個設備的作業情況，并回傳。比如當CPU想要寫磁盤時，hypervisor就把相應的東西寫到一個host OS的檔案上，這個檔案實際上就模擬了虛擬的磁盤。
(虛擬機的描述在一篇論文的基礎上修改而來)。
好了，由于字數限制，這一章就到這里結束了，下一章我們將會講svm引擎是怎么利用虛擬機完成殺毒的。

uj5u.com熱心網友回復：

svm內核，這是軟體還是硬體的？

uj5u.com熱心網友回復：

參考 1 樓 aabbabababaa 的回復: