超级会员免费看
深入了解VBS基隔离区技术:原理、生命周期与应用
1. 虚拟化技术基础
WDM驱动程序支持特定模型,可借助KMDF的小型端口模式与特殊过滤驱动WdmCompanionFilter.sys交互。该过滤驱动位于设备堆栈的较低层级,使WDM驱动程序能利用任务队列对象向安全伙伴发送任务。
2. VBS基隔离区概述
早期的硬件技术如英特尔的软件防护扩展(SGX)虽能创建受保护的内存隔离区,但存在问题阻碍了广泛应用,且AMD的安全加密虚拟化技术与SGX不兼容。为解决这些问题,微软推出了基于VBS(Virtualization Based Security)的隔离区。
VBS基隔离区利用VSM(Virtual Secure Mode)基础设施提供隔离保障。隔离区内的代码和数据仅对隔离区自身及VSM安全内核可见,NT内核、VTL 0进程和系统中运行的安全信任小程序均无法访问。创建时,在普通进程内建立单个虚拟地址范围,加载代码和数据后,通过安全内核转移控制权进入隔离区。安全内核会验证代码和数据的真实性与授权,默认仅支持执行正确签名的隔离区,防止未签名恶意软件在反恶意软件软件无法检测的情况下运行。
运行时,控制权可在隔离区与其所在进程间来回转移。隔离区内的代码能访问其虚拟地址范围内的所有数据,还可读写所在非安全进程的地址空间,但所在进程无法访问隔离区虚拟地址范围内的内存。若单个宿主进程中有多个隔离区,每个隔离区只能访问自身内存和宿主进程可访问的内存。此外,代码在隔离区运行时可获取密封的隔离区报告,供第三方验证代码是否在VBS隔离区的隔离保障下运行及具体版本。
3. VBS基隔离区的DLL特性
VBS基隔离区以DL
订阅专栏 解锁全文
扫一扫
1374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
