Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера

Предлагаемое изобретение относится к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации.

В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 А1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является RU 2446447 C2 от 27.03.2012, в котором описан способ для управления доступом операционных систем с помощью гипервизора. Данный способ заключается в загрузке компьютером BIOS. В BIOS имеется набор инструкций, исполняемых на этапе загрузки, осуществляющих запуск гипервизора. Недостатком данного способа является недостаточная защита компьютера, т.к. гипервизор хранится в разделе на запоминающем устройстве, которое может быть подвержено изменению.

Предлагаемое техническое решение предлагает способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. В предлагаемом решении гипервизор располагается в области модуля памяти, не подверженного изменению при загруженной операционной системе, и поэтому такой компьютер обладает повышенной защищенностью операционной системы.

Задача, которую позволяет решить предлагаемое изобретение, - возможность гарантированного запуска гипервизора до старта любого кода, расположенного на доступных носителях/запоминающих устройств, подверженных вирусным атакам с целью предотвращения несанкционированного доступа к информации, и проверка всего трафика информации антивирусом, внутри самого модуля гипервизора.

Технический результат предлагаемого технического решения - повышение безопасности компьютера.

Технический результат достигается тем, что способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера включает загрузку компьютером UEFI, из своего модуля памяти, UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, который хранится в отдельном разделе модуля памяти, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы.

Модуль памяти компьютера, в котором хранится UEFI, по существу, представляет собой микросхему FLASH.

На фиг.1 показана схема способа запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера.

Рассмотрим работу предлагаемого способа на примере устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того, в микросхеме FLASH содержится раздел для хранения данных модуля гипервизора. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов – DXE - запускается модуль гипервизора. Модуль тонкого гипервизора является прослойкой между операционной системой (далее по тексту ОС) и интерфейсами, виртуализирует все интерфейсы устройства. Т.е., допустим, у устройства есть интерфейс беспроводного доступа к сети, интерфейсы монитора, принтера и CD дисковода. В обычном случае операционная система видит эти устройства и обращается к ним напрямую. И вредоносная программа или неавторизованный пользователь могут при определенных условиях получить доступ к этим интерфейсам. При включенном модуле тонкого гипервизора ОС видит только сам гипервизор, не видя интерфейсы устройств напрямую, а только те и в таком виде, как это отображает для нее гипервизор. Таким образом, определенные пользователи или программы (зависит от настройки гипервизора) просто не увидят, например принтер, или беспроводной доступ к сети, поскольку для них гипервизор не будет отображать эти интерфейсы, и система будет считать, что такого устройства на компьютере нет. Напротив, тонкий гипервизор может показывать системе какие-либо устройства, не существующие в действительности, например, виртуальный принтер или виртуальный жесткий диск. Кроме того, весь трафик, которым обменивается ОС с любыми интерфейсами, обрабатывается гипервизором и может независимо от ОС быть передан гипервизором для обработки антивирусным модулем, при этом сама операционная система, даже в случае, если она будет взята под контроль вредоносной программой, не будет иметь информации о том, что такая проверка проводится, что исключает воздействие вирусов на процесс проверки (и лечения). В нашем случае особенностью является то, что запуск этого тонкого гипервизора осуществляется на описанной выше предзагрузочной стадии до запуска любых программ (и до появления у пользователя возможности осуществления действий), которые потенциально могли бы повлиять на запуск тонкого гипервизора или предотвратить его.

Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода.

При этом в модуль тонкого гипервизора встроен модуль антивируса. В связи с чем гипервизор виртуализирует интерфейсы взаимодействия с сетевой и дисковой подсистемой компьютера с целью добавления дополнительных процедур антивирусной проверки передаваемого трафика. Модуль антивируса при обнаружении потенциальных опасностей блокирует данный трафик и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы. Помимо контроля трафика гипервизор предназначен для контроля памяти процессов с целью выявления несанкционированных изменений. При обнаружении изменений процесс блокируется и передается информация основному модулю антивируса. Смысл тонкого гипервизора в том, что он является прослойкой между операционной системой (ОС) и интерфейсами устройства, при включенном гипервизоре все обращения ОС к сети, дискам, устройствам ввода и вывода идут не напрямую, как в обычном случае, а обрабатываются гипервизором, который может эмулировать какие-либо интерфейсы, не существующие в реальности, или запрещать системе видеть реально существующие, или подменять их, что позволяет гарантированно контролировать трафик с целью выявления вирусной активности и угроз безопасности, а также определять политики доступа для различных пользователей.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации компьютера для запуска тонкого гипервизора в UEFI, например, сохраняя код модуля антивируса на отдельной микросхеме FLASH. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.