(2)这个环境广播由新的安全模式扩展（SMX）提供的SENTER指令。这初始化硬件程序能够使芯片和处理器在一个受保护的状态。
    (3)AC模块被认证和启动。AC模块测试并且检查内存中的测试启动环境，如果它满足平台策略，则启动测试启动环境。
    (4)测试启动环境负责处理每一个VMExit操作，以保持测试环境。VMExit指令通常由虚拟用户传送给虚拟机软件。
    (5)执行指令GETSEC[SEXIT]撤销测试启动环境。指令GETSEC[SEXIT]正好与指令GETSEC[SENTER]相反。所有进程是同步的，剩余密文被加密，可信的内存被檫除，在执行完指令GETSEC[SEXIT]之后，平台继续进行正常的操作。
    以上执行步骤如图3所示。硬件扩展创造了特殊的保护环境，要求代码和策略验证在以后的阶段执行，系统能够决定环境是否满足预先定义的可信状态。
    安装一个可信环境并且防范基于hypervisor的rootkit还应该防止可信软件中的缺陷被利用，这说明了配置hypervisor的重要性。
    有硬件协助、基于签名的rootkit检测机制通过软件嵌入芯片的固件中，运行于虚拟机软件和潜在的rootkit里，能够扫描、检测和净化基于hypervisor的rootkit。还要防止恶意软件通过修改其签名适应它，同时深度扫描不能监管系统的管理模式，因而完整执行和保护机制需完善为一个平台。

四、展望
    尽管基于hypervisor的rootkit目前的危害程度还不是很大，但虚拟机必将融入未来的应用平台是当前的发展趋势，因此威胁依然是真实存在的。基于操作系统的经典检测机制，如基于内存的完整性扫描或者基于启发式的分析在较低的系统级上检测rootkit是不够的。因而，应用其他的保护机制如可信赖执行技术非常重要，而并非单独使用检测策略。
    恶意隐藏与防范不断深化，传统恶意软件的应用变得越来越容易。我们看到独立于操作系统的rootkit有不断增加的趋势，像系统管理级的rootkit或者基于hypervisor的rootkit，这表明了攻击者已经适应这些新技术的变化，这使得攻击机制和防范措施变得异常复杂。
    在hypervisor安全方面，平台以及芯片级是目前的新战场。可信赖执行技术的启动和策略执行过程能够证明hypervisor的完整性。因此，hypervisor的完整性监控是防范基于hypervisor的rootkit的关键步骤。
    未来的芯片可能在启动期间和运行期间将永久完整性监控和执行功能融合在一起，以保证hypervisor的完整性。虚拟机控制结构（VMCS）存储并且管理主机系统和虚拟机的状态，这个控制结构被固化在硬件中，这可能是放置基于硬件的综合监控器的最佳位置。

参考文献
    [1] Peter Ferrie, “Attacks on virtual machine emulators”.Tech. rep., Symantec Security Response, 2006.
    [2] 怀进鹏 .基于虚拟机的虚拟计算环境研究与设计.软件学报，北京：Vol.18, No.8, August 2007, pp.2016?2026
    [3] Tal Garfinkek, Ben Pfaff, Jim Chow, Mendel Rosenblum and Dan Boneh, “Terra: a virtual machine-based platform for trusted computing.” SOSP03: Proceedings of 19th ACM Symposium on Operating Systems Principles. New York, NY, USA: ACM, 2003, 193-206.
    [4] Rafal Wojtcauk, “Subverting the Xen hypervisor”, 2008. http://invisiblethingslab.com/bh08/papers/part1-subverting_xen.pdf
    [5] Intel,”Intel trusted execution technology measured launched environment developer’s guide”, 2008. http://download.intel.com/technology/security/downloads/315168.pdf
    [6] Yuriy Bulygin and David Samyde. ”Chipset based approach to detect virtualization malware a.k.a. DeepWatch”.Black Hat USA, 2008 http://www.mnm-team.org/pub/Fopras/frit08/PDF-Version/frit08.pdf

    作者简介
    1. 宋晓龙(1970—)，男，硕士学位，副研究员，主要研究方向为网络安全。
    2. 张立航(1977—)，男，硕士学位，助理研究员，主要研究方向为网络安全。
    3. 陈大勇(1984—)，男，在读硕士研究生，华中科技大学电子科学与工程学院，主要研究方向为水下激光探测与图像处理。

  

(责任编辑：adminadmin2008)