使用HBSP保护软件.DOC

于淼,俞培杰,高尚,林芊,朱旻,戚正伟,管海兵:HBSP:商用操作系统硬件虚拟化透明保护框架 PAGE 3 HBSP:商用操作系统硬件虚拟化透明保护框架 本文受到中国国家自然科学基金（批准以及上海基础研究项目（批准号09JC1407900）、微软亚洲研究院青年教师基金资助。 于淼, 俞培杰, 高尚 , 林芊, 朱旻, 戚正伟, 管海兵 上海交通大学软件学院, 上海市 200240 摘 要: 现代商用操作系统代码量大且很复杂，这就使得基于主机的安全工具不能在恶意软件的威胁之下提供足够的安全保障。当前软件保护的要点在于如何有效保护软件，同时又可以从不可信的操作系统中隐藏保护器。本文将描述一个可用于软件保护的轻量级高可配置透明框架HBSP（Hypervisor Based Software Protector）。它基于硬件虚拟化技术和内存隐藏策略，HBSP完全生存于操作系统管理空间之外。一系列性能分析及实验表明，HBSP可以在未修改的Windows XP上保护应用程序，对已有应用程序的总体性能开销仅为0.25%。 关键词: 硬件虚拟化;轻量级透明软件保护;商用操作系统;内存隐藏;HBSP 简介 当前，商用操作系统广泛应用于家庭休闲、学校教育、政府办公等各个场合，并负责运行各种各样的软件。然而由于设计与硬件的限制，大多数商用操作系统不能提供充足的访问安全和软件保护，于是几乎所有的商业软件都需要自己实现自我保护模块，从而增加了软件设计复杂度以及开发成本。 常用的软件保护方法可以归为两类[1]：一种是通过往二进制映像中插入代码实现静态或动态代码验证，利用程序的固有特性来识别程序，比如水印技术和软件胎记技术[2,3]；另一种更为实用的方法则需要硬件的支持[18]。在这种方法中，目标程序被分成不同的部分并在不同的协处理器上以加密的方式运行。 然而，目标应用程序受攻击的风险依旧存在，原因如下：首先，硬件架构决定了系统的保护能力是有限的。硬件架构中定义了特权级代码拥有访问全系统资源的能力，而用户模式代码只能访问这些资源中的一部分[19]。因此，当恶意代码或者分析工具运行于特权级时，就没有更高级别的运行模式可以阻止其活动。其次，商用操作系统中或多或少地提供调试函数接口和存在系统缺陷。在一个典型的商用操作系统中，内核和第三方驱动包含了数百万行代码[7]，并提供了用于查看其他进程地址空间、或者依线程进行调试的API。倘若攻击者恶意破解商业软件，系统将没能力对其进行阻止。 硬件虚拟化技术的流行为新的软件保护方案提供了可能。已有的研究包括：通过分离恶意代码和操作系统，使之运行于不同虚拟机（也称客户机）上的方法来构建可信执行环境[12,13,14]，或者使用活动监视器来处理安全敏感（Security Sensitive）的行为[15,17]，等等。然而，这些方法并不易于在实际中采用，一方面由于它们性能较低，另一方面是它们要求修改已有应用程序和操作系统的源代码。 本文展示了一个用于软件保护的透明、外部的方法。与先前方法不同，该方案无需修改已有操作系统或者添加额外硬件，甚至已有应用程序和操作系统之间的控制流也维持不变。HBSP使用Intel VT技术搭建了一个居于操作系统之外的透明的执行环境，并利用内存隐藏策略（Memory-Hiding Strategy）使得Hypervisor隐藏于私有内存区域。Hypervisor可以透明地运行于商业操作系统之下，同时亦可监控目标应用程序的状态。 本文的主要贡献如下： 一个轻量级框架，以微乎其微的系统开销实现对软件的保护。 利用Intel VT和内存隐藏技术的实现内存隐藏策略，通过修改该内存映射关系保护Hypervisor。 对HBSP框架高可配置性的描述，介绍HBSP所提供的丰富接口，并介绍如何配置使之兼容于其它硬件虚拟化技术平台。 本文其余部分作如下安排。第二部分介绍HBSP的设计目标。第三部分阐述框架的实现机理以及引入内存隐藏策略时所遇到的挑战。第四部分详细描述了利用HBSP开发的软件保护器示例。关于如何将其应用于默认配置的Windows XP系统和性能评价在第五部分中讨论。第六部分展示相关工作，最后总结全文。 设计目标 硬件虚拟化技术（Hardware Enabled Virtualization，HEV）可被用于作为软件保护的一种手段[10,11,17]。HBSP用于在不可信的执行环境下提供软件保护方法。 我们旨在引入一种新的软件保护手段，它能够存在于操作系统外部，透明的监管操作系统和应用程序的行为，同时又易于采用。因此我们建造了轻量级的HBSP，它包含如下优点： 动态安装/卸载Hypervisor 硬件虚拟化技术建议在构建和开启每个虚拟机前启动Hy