[发明专利]一种用于防止用户模式指令的管理员模式执行的处理器及其方法

说明书

在此公开了用于管理员模式执行保护的装置及方法。在一个实施例中，处理器包括用于访问存储器、执行硬件和控制逻辑的接口。该存储器中的区域是用户存储器。该执行硬件用于执行指令。该控制逻辑用于当该指令存储在用户存储器中并且该处理器处于管理员模式时防止该执行硬件执行该指令。

本申请是国际申请日为2011年12月29日、中国国家阶段申请号为201180076153.9、题为“管理员模式执行保护”的发明专利申请的分案申请。

技术领域

本公开涉及信息处理领域，并且更具体地涉及信息处理系统安全领域。

背景技术

基于存储器的攻击对信息处理系统的安全造成很大的威胁。某些这种攻击涉及在计算机系统的存储器中存储恶意代码(诸如病毒或蠕虫)或恶意数据，然后在运行合法程序时利用错误和/或缓冲区溢出来将控制转移到恶意代码或使用恶意数据。经常使用的攻击(称为权限提升攻击)涉及在应用存储器中存储攻击代码，然后利用内核代码中的漏洞来跳到攻击代码。

附图说明

通过举例而非限制在附图中示出本发明。

图1示出本发明实施例可在其中存在和/或运行的系统和处理器。

图2示出根据本发明实施例的用于管理员模式执行保护的方法。

具体实施方式

以下说明描述了用于管理员模式执行保护的技术的实施例。在以下描述中，可列出特定细节(诸如处理器和系统配置)，以便提供对本发明的更透彻理解。然而，本领域普通技术人员将认识到本发明可在没有这些特定细节的情况下实践。附加地，未详细示出某些公知的结构、电路等等，以便避免不必要地混淆本发明。

本发明实施例提供使用分配给存储器页的属性来提供管理员模式执行保护。根据本发明实施例的技术可在任何用于存储器管理的方法中实现，包括基于页的存储器管理数据结构、虚拟化技术所使用的基于嵌套页的存储器管理数据结构、以及平行访问数据结构。

图1示出本发明实施例可在其中存在和/或运行的系统100，信息处理系统。系统100可表示任意类型的信息处理系统，诸如服务器、台式计算机、便携式计算机、机顶盒、手持式设备、或嵌入式控制系统。系统100包括处理器110、存储器120、以及存储器控制器130。实现本发明的系统可包括任意其他组件或其他元件，包括任意数量的附加处理器核/或存储器。任意系统实施例中的任意或全部组件或其他元件可通过任意数量的总线、点到点、或其他有线或无线连接而彼此连接、耦合、或以其他方式彼此通信。

处理器110可表示任意类型的处理器，包括通用微处理器，诸如来自英特尔公司的处理器族或其他处理器族中的处理器、或来自另一公司的另一个处理器、或用于根据本发明实施例处理信息的任意其他处理器。处理器110可包括任意数量的执行核和/或支持任意数量的执行线程，并且因此可表示任意数量的物理或逻辑处理器、和/或可表示多处理器组件或单元。

处理器110支持根据任意已知方法的不同权限等级下的软件执行。例如，处理器110可识别四个权限等级，其可被标号为零到四，其中更高的数字意味着更少的权限。这四个权限等级可被图形化为保护环，其中，位于中心的权限等级零旨在执行操作系统(“OS”)内核级代码，等级一和二旨在执行OS服务代码，而最外环的等级四旨在执行应用代码。

存储器120可表示任意静态或动态随机存取存储器、基于半导体的只读存储器或闪存、磁或光盘存储器、可由处理器110和/或系统100的其他元件读取的任意其他类型的介质、或这些介质的任意组合。存储器控制器130可表示用于控制对存储器120的访问并且维护其内容的控制器。在实施例中，存储器控制器130可被集成到与处理器110相同的集成电路上。