[发明专利]基于插桩的访问请求处理方法及系统

说明书

本发明公开了一种基于插桩的访问请求处理方法及系统。其中，该方法包括：宿主机检测模块将与待监控地址相对应的内存页确定为目标内存页，对该目标内存页进行复制，以得到镜像内存页；向所述目标内存页中插入与所述待监控地址相对应的预设插桩指令，并取消所述目标内存页的访问权限；宿主机检测模块根据由所述目标内存页的访问请求触发的虚拟机退出事件将所述目标内存页替换为所述镜像内存页，并恢复所述目标内存页的访问权限，以使所述针对所述目标内存页的访问请求根据所述镜像内存页进行处理。该方式能够避免已插桩的内存页中的插桩指令因虚拟机内部的其他进程或线程的访问行为而被读取或覆盖的问题。

技术领域

本发明涉及计算机技术领域，具体涉及一种基于插桩的访问请求处理方法及系统。

背景技术

虚拟机(Virtual Machine，简称VM)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在现有技术中，能够利用虚拟机实现恶意行为的检测，从而检测出威胁源。例如，可以通过虚拟机技术构建沙箱环境，以便在沙箱环境中进行安全检测。另外，在进行安全检测的过程中，通常需要针对特定的指令进行插桩操作，以监控该指令的执行过程。

但是，发明人在实现本发明的过程中发现，现有技术中的上述方式至少存在下述缺陷：在执行指令插桩之后，被插桩新指令的内存数据可能会由于虚拟机内部的其他进程或线程的访问行为而被读取或覆盖。当被插桩新指令的内存数据被虚拟机内部的其他进程或线程读取时，会导致插桩指令的泄露，从而为黑客的攻击带来便利；当被插桩新指令的内存数据被虚拟机内部的其他进程或线程覆盖时，将导致插桩指令的丢失，从而影响插桩操作的执行结果。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于插桩的访问请求处理方法及系统。

根据本发明的一个方面，提供了一种基于插桩的访问请求处理方法，包括：

宿主机检测模块将与待监控地址相对应的内存页确定为目标内存页，对该目标内存页进行复制，以得到镜像内存页；

向所述目标内存页中插入与所述待监控地址相对应的预设插桩指令，并取消所述目标内存页的访问权限；

宿主机检测模块根据由所述目标内存页的访问请求触发的虚拟机退出事件将所述目标内存页替换为所述镜像内存页，并恢复所述目标内存页的访问权限，以使所述针对所述目标内存页的访问请求根据所述镜像内存页进行处理。

根据本发明的另一个方面，提供了一种基于插桩的访问请求处理系统，包括：

宿主机检测模块以及虚拟机检测模块；其中，所述宿主机检测模块进一步包括：

镜像单元，适于将与待监控地址相对应的内存页确定为目标内存页，对该目标内存页进行复制，以得到镜像内存页；

插桩单元，适于向所述目标内存页中插入与所述待监控地址相对应的预设插桩指令，并取消所述目标内存页的访问权限；

处理单元，适于根据由所述目标内存页的访问请求触发的虚拟机退出事件将所述目标内存页替换为所述镜像内存页，并恢复所述目标内存页的访问权限，以使所述针对所述目标内存页的访问请求根据所述镜像内存页进行处理。

根据本发明的又一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；

存储器用于存放至少一可执行指令，可执行指令使处理器执行上述基于插桩的访问请求处理方法对应的操作。

根据本发明的再一方面，提供了一种计算机存储介质，存储介质中存储有至少一可执行指令，可执行指令使处理器执行如上述基于插桩的访问请求处理方法对应的操作。