Digtool:一种基于虚拟化的内核漏洞检测框架

发现操作系统（OS）内核中的漏洞并对其进行修补对于OS安全至关重要。然而，缺乏有效的内核漏洞检测工具，尤其是对于Microsoft Windows等闭源操作系统。在本文中，我们提出了Digtool，这是一个有效的、只支持二进制代码的内核漏洞检测框架。Digtoor构建在我们设计的虚拟化监控器之上，成功捕获了内核执行的各种动态行为，如内核对象分配、内核内存访问、线程调度和函数调用。通过这些行为，Digtool已经在最新版本的MicrosoftWindows（包括Windows 7和Windows 10）的内核代码和设备驱动程序中发现了45个零日漏洞，如越界访问、无需使用后以及使用时间。