基于硬件虛擬化反調(diào)試的軟件保護設計.pdf

1、調(diào)試技術在軟件開發(fā)過程中常用來做動態(tài)實時分析,但它也常被惡意代碼所利用。如今,隨著對軟件保護的要求越來越高,反調(diào)試技術作為軟件保護技術的重要組成部分,也越來越重要,先后出現(xiàn)了基于內(nèi)存差異的反調(diào)試技術、基于系統(tǒng)差異的反調(diào)試技術和基于CPU的反調(diào)試技術,等等。盡管這些反調(diào)試技術采用的原理不同,但他們有一個共同的弊端,那就是運行在Ring 0或以上層,惡意代碼仍然根據(jù)不同的反調(diào)式技術進行相對應的操作,從而達到阻止反調(diào)試的目的。針對傳統(tǒng)反調(diào)試技

2、術的限制,硬件虛擬化技術的誕生,使得創(chuàng)建一個高于傳統(tǒng)操作系統(tǒng)級別的虛擬機管理層(VMM)成為可能,為人們進行軟件保護方面的研究和開發(fā)提供了廣闊的前景。本文設計了一套輕量級且基于硬件虛擬化技術進行反調(diào)試軟件保護的框架LAHF(Light-Weight and Anti-debugging Framework Based on Hardware Virtualization Technology)。硬件虛擬化技術是基于芯片處理器的虛擬化技術

3、,它直接運行在硬件,使VMM成為系統(tǒng)級的虛擬機,不但可以有效地提供安全性和隔離性,而且可以對于Ring 0及以上級別的代碼實行監(jiān)控。為了提高框架的可擴展性和通用性,本文對其做了簡明的分層設計和接口包裝,并以驅(qū)動的形式直接應用于X86架構和32位Windows XP的環(huán)境中,做到了動態(tài)安裝和卸載。本課題重點研究的是如何利用硬件虛擬技術對調(diào)試器進行監(jiān)測和識別,也就是本文所說的硬件虛擬化反調(diào)試技術。該技術的重點在于如何識別一種行為是調(diào)試行為,

4、且技術應用后不影響原程序的繼續(xù)執(zhí)行。本文通過分析Windows調(diào)試機理,充分利用硬件虛擬技術帶來的便利,成功找到了一條令人滿意的反調(diào)試思路并加以實現(xiàn)。另外,針對目前各種反調(diào)試手段應用范圍比較單一的現(xiàn)實,本文開發(fā)的反調(diào)試框架可在Windows平臺上針對多種調(diào)試器進行監(jiān)控。接著,為了防止惡意代碼發(fā)現(xiàn)和攻擊,本文利用硬件虛擬技術為LAHF設計了自隱藏模塊。自隱藏技術主要包括頁表復制和頁表欺騙兩個部分。頁表復制指的是LAHF將操作系統(tǒng)內(nèi)核態(tài)頁表

5、的內(nèi)容復制到自己建立的一套私有頁表中。頁表欺騙是通過修改操作系統(tǒng)內(nèi)核態(tài)頁表的方法使操作系統(tǒng)以為找到了實際的物理地址,實際上該地址不是真正的物理地址。最后,本文針對LAHF的反調(diào)試能力、自隱藏能力和對系統(tǒng)的影響做了大量的原型系統(tǒng)實驗。實驗結(jié)果表明,LAHF的實際地址空間無法被操作系統(tǒng)和常見調(diào)試器檢測,并且能反調(diào)試多種常見的調(diào)試器。另外,性能測試的結(jié)果顯示了LAHF對系統(tǒng)性能的影響控制在5%以內(nèi)。最終,本文成功提供了一個高效安全的基于硬件虛