一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及安全技術(shù)領(lǐng)域�,特別涉及一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法及裝 置�。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,各類應(yīng)用也越來越廣泛��,這些應(yīng)用遍布在整個(gè)社會(huì) 的各個(gè)行業(yè)��。目前��,各種惡意程序泛濫��,造成大量的數(shù)據(jù)泄露與網(wǎng)絡(luò)欺詐���,因此,數(shù)據(jù)安全問 題十分重要�����。
[0003] 目前�,可以采用沙盒系統(tǒng)保證操作系統(tǒng)中應(yīng)用進(jìn)程的安全運(yùn)行:確定惡意程序可 能對應(yīng)用進(jìn)程進(jìn)行攻擊的途徑,在操作系統(tǒng)的較高權(quán)限模式中對其途徑進(jìn)行攔截���。
[0004] 然而如今的部分惡意程序��,其技術(shù)已經(jīng)可以越過操作系統(tǒng)權(quán)限保護(hù)機(jī)制�����,得到較 高的執(zhí)行權(quán)限����,從而繞過沙盒系統(tǒng)所設(shè)置的攔截機(jī)制,從而影響操作系統(tǒng)的安全��。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明提供一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法及裝置�,以解決現(xiàn)有技術(shù)方案中 影響操作系統(tǒng)的安全的問題。
[0006] 本發(fā)明實(shí)施例提供了一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法�����,包括:
[0007] 宿主機(jī)的操作系統(tǒng)在宿主機(jī)中創(chuàng)建虛擬機(jī)��;
[0008] 將宿主機(jī)中操作系統(tǒng)的內(nèi)核拷貝到虛擬機(jī)中��;
[0009] 獲取目標(biāo)應(yīng)用進(jìn)程�����,將獲取的目標(biāo)應(yīng)用進(jìn)程裝載到虛擬機(jī)的內(nèi)核中,以使目標(biāo)應(yīng) 用進(jìn)程在虛擬機(jī)的內(nèi)核中運(yùn)行���。
[0010] 優(yōu)選地����,
[0011] 在所述在宿主機(jī)中創(chuàng)建虛擬機(jī)之后���,進(jìn)一步包括:在自身保存的系統(tǒng)服務(wù)描述表 中增加一項(xiàng)功能參數(shù)的棧:sysenter指令的調(diào)用函數(shù)及調(diào)用函數(shù)對應(yīng)的虛擬地址���;
[0012] 進(jìn)一步包括:在宿主機(jī)操作系統(tǒng)的內(nèi)核獲取到sysenter指令時(shí),對sysenter指令 進(jìn)行攔截�����,并根據(jù)sysenter指令查找自身保存的系統(tǒng)服務(wù)描述表中sysenter指令的調(diào)用 函數(shù)所對應(yīng)的虛擬地址�����,以將sysenter指令映射到虛擬機(jī)的內(nèi)核中��。
[0013] 優(yōu)選地���,進(jìn)一步包括:宿主機(jī)的操作系統(tǒng)將虛擬機(jī)的端口與中斷向量掛接,以通過 虛擬機(jī)的端口將攔截的sysenter指令發(fā)送給虛擬機(jī)的內(nèi)核。
[0014] 優(yōu)選地�����,在sysenter指令為寫操作指令時(shí)�����,所述根據(jù)sysenter指令查找自身保存 的系統(tǒng)服務(wù)描述表中sysenter指令的調(diào)用函數(shù)所對應(yīng)的虛擬地址���,以將sysenter指令映 射到虛擬機(jī)的內(nèi)核中��,包括:
[0015] 宿主機(jī)的操作系統(tǒng)根據(jù)系統(tǒng)服務(wù)描述表查找到所述寫操作指令的調(diào)用函數(shù)所對 應(yīng)的虛擬地址�,根據(jù)虛擬機(jī)的端口將所述寫操作指令攜帶的數(shù)據(jù)寫入到虛擬機(jī)的虛擬磁盤 中�����。
[0016] 優(yōu)選地�,
[0017] 進(jìn)一步包括:記錄寫入到虛擬磁盤的數(shù)據(jù)與虛擬磁盤扇區(qū)位置的對應(yīng)關(guān)系;
[0018] 在sysenter指令為讀操作指令時(shí)����,所述根據(jù)sysenter指令查找自身保存的系統(tǒng) 服務(wù)描述表中sysenter指令的調(diào)用函數(shù)所對應(yīng)的虛擬地址,以將sysenter指令映射到虛 擬機(jī)的內(nèi)核中�����,包括:宿主機(jī)的操作系統(tǒng)根據(jù)系統(tǒng)服務(wù)描述表查找到所述讀操作指令的調(diào) 用函數(shù)所對應(yīng)的虛擬地址,并根據(jù)記錄的所述對應(yīng)關(guān)系通過虛擬機(jī)的端口在所述讀操作指 令對應(yīng)的虛擬磁盤扇區(qū)位置��,讀取數(shù)據(jù)���。
[0019] 本發(fā)明實(shí)施例還提供了一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行裝置��,包括:
[0020] 創(chuàng)建單元����,用于宿主機(jī)的操作系統(tǒng)在宿主機(jī)中創(chuàng)建虛擬機(jī)�����;
[0021] 拷貝單元����,用于將宿主機(jī)中操作系統(tǒng)的內(nèi)核拷貝到虛擬機(jī)中����;
[0022] 獲取裝載單元,用于獲取目標(biāo)應(yīng)用進(jìn)程�,將獲取的目標(biāo)應(yīng)用進(jìn)程裝載到虛擬機(jī)的 內(nèi)核中�,以使目標(biāo)應(yīng)用進(jìn)程在虛擬機(jī)的內(nèi)核中運(yùn)行���。
[0023] 優(yōu)選地����,進(jìn)一步包括:
[0024] 更新單元�,用于在自身保存的系統(tǒng)服務(wù)描述表中增加一項(xiàng)功能參數(shù)的棧: sysenter指令的調(diào)用函數(shù)及調(diào)用函數(shù)對應(yīng)的虛擬地址;
[0025] 查找單元���,用于在宿主機(jī)操作系統(tǒng)的內(nèi)核獲取到sysenter指令時(shí)���,對sysenter指 令進(jìn)行攔截,并根據(jù)sysenter指令查找自身保存的系統(tǒng)服務(wù)描述表中sysenter指令的調(diào) 用函數(shù)所對應(yīng)的虛擬地址����,以將sysenter指令映射到虛擬機(jī)的內(nèi)核中。
[0026] 優(yōu)選地�,進(jìn)一步包括:
[0027] 掛接單元,用于將虛擬機(jī)的端口與中斷向量掛接�����,以通過虛擬機(jī)的端口將攔截的 sysenter指令發(fā)送給虛擬機(jī)的內(nèi)核�。
[0028] 優(yōu)選地���,進(jìn)一步包括:
[0029] 寫操作單元,用于在sysenter指令為寫操作指令時(shí)�����,根據(jù)系統(tǒng)服務(wù)描述表查找到 所述寫操作指令的調(diào)用函數(shù)所對應(yīng)的虛擬地址���,根據(jù)虛擬機(jī)的端口將所述寫操作指令攜帶 的數(shù)據(jù)寫入到虛擬機(jī)的虛擬磁盤中��。
[0030] 優(yōu)選地��,進(jìn)一步包括:
[0031] 記錄單元��,用于記錄寫入到虛擬磁盤的數(shù)據(jù)與虛擬磁盤扇區(qū)位置的對應(yīng)關(guān)系�����;
[0032] 讀操作單元�,用于在sysenter指令為讀操作指令時(shí)�����,根據(jù)系統(tǒng)服務(wù)描述表查找到 所述讀操作指令的調(diào)用函數(shù)所對應(yīng)的虛擬地址�,并根據(jù)記錄的所述對應(yīng)關(guān)系通過虛擬機(jī)的 端口在所述讀操作指令對應(yīng)的虛擬磁盤扇區(qū)位置,讀取數(shù)據(jù)����。
[0033] 本發(fā)明實(shí)施例提供了一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法及裝置,通過在宿主機(jī) 中創(chuàng)建虛擬機(jī)�����,將應(yīng)用進(jìn)程裝載到虛擬機(jī)的內(nèi)核環(huán)境中運(yùn)行����,保證了宿主機(jī)的操作系統(tǒng)的 安全。另外����,只將宿主機(jī)操作系統(tǒng)的內(nèi)核拷貝到虛擬機(jī)中,無需拷貝整個(gè)操作系統(tǒng)�,從而降 低了資源的消耗。
【附圖說明】
[0034] 圖1是本發(fā)明實(shí)施例提供的方法流程圖�;
[0035] 圖2是本發(fā)明另一實(shí)施例提供的方法流程圖;
[0036] 圖3是本發(fā)明實(shí)施例提供的裝置所在設(shè)備的硬件架構(gòu)圖�����;
[0037] 圖4是本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)示意圖���;
[0038] 圖5是本發(fā)明另一實(shí)施例提供的裝置結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0039] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完 整地描述�����。顯然�����,所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?��;诒?發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí) 施例���,都屬于本發(fā)明保護(hù)的范圍���。
[0040] 如圖1所示���,本發(fā)明實(shí)施例提供了一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法����,該方法 可以包括以下步驟:
[0041] 步驟101 :宿主機(jī)的操作系統(tǒng)在宿主機(jī)中創(chuàng)建虛擬機(jī)。
[0042] 步驟102 :將宿主機(jī)中操作系統(tǒng)的內(nèi)核拷貝到虛擬機(jī)中�。
[0043] 步驟103 :獲取目標(biāo)應(yīng)用進(jìn)程,將獲取的目標(biāo)應(yīng)用進(jìn)程裝載到虛擬機(jī)的內(nèi)核中��,以 使目標(biāo)應(yīng)用進(jìn)程在虛擬機(jī)的內(nèi)核中運(yùn)行��。
[0044] 根據(jù)上述方案�,通過在宿主機(jī)中創(chuàng)建虛擬機(jī),將待保護(hù)的目標(biāo)應(yīng)用進(jìn)程裝載到虛 擬機(jī)的內(nèi)核環(huán)境中運(yùn)行����,保證了宿主機(jī)的操作系統(tǒng)的安全。另外��,只將宿主機(jī)操作系統(tǒng)的內(nèi) 核拷貝到虛擬機(jī)中��,無需拷貝整個(gè)操作系統(tǒng),從而降低了資源的消耗�����。
[0045] 為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面結(jié)合附圖及具體實(shí)施例對本 發(fā)明作進(jìn)一步地詳細(xì)描述。
[0046] 如圖2所示�����,本發(fā)明實(shí)施例提供了一種基于虛擬機(jī)的應(yīng)用進(jìn)程運(yùn)行方法��,該方法 可以包括以下步驟:
[0047] 步驟201 :在宿主機(jī)中創(chuàng)建虛擬機(jī)��。
[0048] 其中�,宿主機(jī)是用于安裝各種虛擬軟件的物理機(jī)。虛擬機(jī)是獨(dú)立于宿主機(jī)的操作 系統(tǒng)���。在宿主機(jī)上可以創(chuàng)建一個(gè)以上的虛擬機(jī)�。
[0049] 在本實(shí)施例中����,采用CPU虛擬化技術(shù)���,將單CPU模擬多CPU并行,從而提高計(jì)算機(jī) 的工作效率���。另外�,允許一個(gè)平臺同時(shí)運(yùn)行多個(gè)操作系統(tǒng)���,例如,intel��、amd或arm64等�,并 且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響。
[0050] 步驟202 :將宿主機(jī)中操作系統(tǒng)的內(nèi)核拷貝到虛擬機(jī)中��。
[0051] 由于在宿主機(jī)上