《表1 GEPT与IEPT权限设置Tab.1 GEPT and IEPT’s access permissions》
IEPT和GEPT的代码和数据读写权限设置如表1所示.权限设置遵循以下原则:1) 为了防止关键数据遭到恶意篡改,对所在页面进行写保护,将关键数据设置为只读.故IEPT页表对关键代码和数据具有可执行和只读权限.改写pte的R/W位并设置VMCS,可将对应的页面设置为只读.当恶意程序试图修改这些数据时,会出现访问权限错误,触发异常并下陷到VMM中.代码设置为只读保证了控制流完整性.2) 当Guest OS运行时,为了保障隔离域内数据的安全,Guest OS对IEPT内容没有读、写或执行权限.把关键的内核代码和数据放入隔离页面,只监控关键代码与数据,防止频繁下陷导致效率下降.
图表编号 | XD0023812400 严禁用于非法目的 |
---|---|
绘制时间 | 2018.03.25 |
作者 | 杨晓晖、许烨 |
绘制单位 | 河北大学网络空间安全与计算机学院、河北大学网络空间安全与计算机学院 |
更多格式 | 高清、无水印(增值服务) |