《表1 GEPT与IEPT权限设置Tab.1 GEPT and IEPT’s access permissions》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于硬件虚拟化的虚拟机内核完整性保护》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

IEPT和GEPT的代码和数据读写权限设置如表1所示.权限设置遵循以下原则:1) 为了防止关键数据遭到恶意篡改，对所在页面进行写保护，将关键数据设置为只读.故IEPT页表对关键代码和数据具有可执行和只读权限.改写pte的R/W位并设置VMCS，可将对应的页面设置为只读.当恶意程序试图修改这些数据时，会出现访问权限错误，触发异常并下陷到VMM中.代码设置为只读保证了控制流完整性.2) 当Guest OS运行时，为了保障隔离域内数据的安全，Guest OS对IEPT内容没有读、写或执行权限.把关键的内核代码和数据放入隔离页面，只监控关键代码与数据，防止频繁下陷导致效率下降.