使用最小虚拟机监视器隐藏“真实”机器以防攻击者和恶意软件

随着安全研究人员在分析工作中依赖虚拟机（VM），恶意软件在检测虚拟机的存在以避免执行其恶意行为方面具有重大利害关系。但是，通过构建透明虚拟机监控器（VMM）来隐藏VM以防恶意软件从根本上来说是不可行的，而且从性能和工程角度来看也是不切实际的。本文从另一个角度提出了一个新想法：隐藏“真实”机器，使其免受VMM感知恶意软件的攻击。我们建议使用一个名为MiniVMM的最小VMM，它可以根据需要将引导操作系统（我们的保护问题）迁移到此VMM。在我们的保护模型中，所有不受信任的代码，尽管已经过基于VMM的恶意软件检测器的验证，但都应该在这个迁移的操作系统中执行。MiniVMM没有构建透明的VMM，而是故意公开VMM指纹，通过诱骗计算机自行停用其破坏性行为，防止计算机攻击支持VMM的恶意程序。MiniVMM有两个关键功能：动态操作系统迁移和商品VMM指纹仿真。与现有的VMM解决方案不同，MiniVMM可以动态地在VMM模式和本机模式之间进行受保护的操作系统传输。MiniVMM还可以模拟流行VMM的指纹，使受保护的计算机更像“真正的”VM。MiniVMM可以作为现有基于VMM的安全方法的重要补充进行部署，以使本机操作系统免受VMM感知恶意软件的影响。