硬件辅助虚拟化及Fuzzing工作研究

1. 分配VCPU标识：标识该VCPU所属的客户机。

2. 初始化虚拟寄存器组：主要就是指初始化VMCS的相关域。

3. 初始化VCPU的状态信息。

4. 初始化额外部件：包括未被VMCS覆盖的寄存器和虚拟LAPIC等部件的配置。

5. 初始化其他信息：根据VMM实现的不同，对VCPU的私有数据进行初始化。

1. 客户机状态域：根据物理CPU初始化的状态来设置。例如，物理CPU加电后跳转到BIOS，GUEST RIP字段会设置为虚拟机BIOS的起始地址。

2. 宿主机状态域：参考VMM运行时CPU的状态，用于描述VM-Exit时，CPU切换回根模式时的寄存器值。例如，HOST RIP通常设置为VMM中VM-Exit处理函数的入口地址。

3. VM-Execution控制域：设置哪些特权指令会触发VM-Exit。

4. VM-Exit控制域：通常由VMM设置，控制一些字段，如Acknowledge interrupt on exit，有助于快速响应外部中断。

1. VMM保存自己的上下文：VMM保存VMCS中未包含的寄存器内容。

2. 加载VCPU上下文：VMM将VCPU中由软件切换的上下文加载到物理CPU。

3. 执行VMLAUNCH/VMRESUME：VMM通过执行VMLAUNCH/VMRESUME指令触发VM-Entry，CPU自动将VCPU中的VMCS部分加载到物理CPU，并切换到非根模式。

2. VCPU运行+退出：

在do while 循环中，在kvm_vcpu_ioctl(cpu, KVM_RUN, 0)中调用KVM，运行客户机，并通过kvm_run结构体，监测是否发生VM-Exit。

• 简单I/O操作（比如执行IN, OUT指令）

• 字符串I/O操作（比如执行INS, OUTS指令）

为了让客户机能够拥有一块从0开始的内存地址空间，VMM引入了一层新的地址空间，即客户机物理地址空间，这个地址空间里面，存在客户机虚拟地址（Guest Virtual Address，GVA）到客户机物理地址（Guest Physical Address，GPA）的转换，由客户机操纵系统完成。但GPA不是真正的物理地址，它和真正的物理地址之间还有一层映射，需要由VMM负责，从GPA转换到宿主机物理地址（Host Physical Address，HPA），在纯软件实现的虚拟化中，引入了影子页表（Shadow Page Table）来实现由GVA直接翻译为HPA，这样就能够在MMU中装载影子页表，硬件通过多级页表进行地址翻译，进行内存访问。当客户机试图修改其维护的GVA到GPA的映射关系时，VMM也对影子页表做相应的修改，VMM通过VM-Exit来截获这样的操作，同时每个客户机进行的页表都要维护对应的影子页表，因此造成了比较大的性能开销。

DMA remapping技术

客户机在操作设备的时候，使用的是GPA，设备在进行DMA的时候，需要使用HPA，但是无法通过软件的方式截获设备的DMA操作，所以就需要用到DMA remapping技术。

首先，已知通过设备标识符（BDF)可以索引到任何总线上的任何设备。

图源：参考链接[4]

DMA的传输中也存在一个BDF，标识这次DMA是由哪个设备发起的，在vt-d中，还引入了Root Entry和Context Entry概念，每根总线对应一个Root Entry，每个设备对应一个Context Entry，通过Root Entry表和Context Entry表就可以获得设备和Domain之间的映射关系。

图片来源：参考链接[1]

这样，当DMA remapping硬件捕获一个DMA传输时，可以通过Root Entry和Context Entry索引到该设备对应的I/O页表，从而完成地址转换。VT-d中除了DMA remapping以外，还提供了I/O device assignment、Interrupt remapping等功能，具体内容可参考《Intel® Virtualization Technology for Directed I/O》。

上述硬件辅助虚拟化内容主要参考了《系统虚拟化：原理与实现》这本书，书中包含更多细节，感兴趣的同学可以看一下。

这类工作fuzzing的对象是VMM中实现的虚拟设备。具体来说，他们的实验部分都包括对QEMU虚拟设备的fuzzing。有的工作也对VMware的虚拟化产品、Bhyve等VMM进行了实验。

图片来源：参考链接[4]

主要包括以下工作：

最早对VMM进行fuzzing的工作VDF，只能对PIO和MMIO这两个接口进行测试，实验方面用了覆盖率、bug detection为指标。Hyper-Cube使用了黑盒fuzzing，已经可以对PIO、MMIO、DMA、Hypercall进行测试，虽然没有用覆盖率做反馈，但是较高的吞吐量也使实验结果在多个设备上优于VDF。后面NYX、V-Shuttle、MORPHUZZ、ViDeZZo、HYPERPILL等工作主要是在提升输入的质量，让fuzzing能产生有效的输入。VD-Guard引入了MMIO到DMA的执行路径作为反馈信息之一。

对虚拟CPU进行Fuzzing的工作只看到了Hyperfuzzer（CCS ’21），它的fuzzing输入是一个虚拟机的状态，包括寄存器和内存，虚拟机运行后，将会触发VCPU执行一些指令，直到第一次发生VM-Exit，Hyperfuzzer在此时停止虚拟机，通过Intel PT获得后续CPU中的指令执行作为覆盖率信息反馈给AFL，同时用符号执行求解分支条件，引导生成更“有趣”的输入。

Hyperfuzzer部署在搭载Intel芯片的机器上，并对Hyper-V进行了实验。测试的对象是hypercalls, hardware task switch emulation, advanced programmable interrupt controller (APIC) emulation, and model-specific register (MSR) emulation，发现了11个未知的Bug。

图片来源：参考链接[3]

在搭载Intel CPU的宿主机上，令KVM模块禁用EPT和VPID。并在启动的客户机中设置CR0.PG=0，即禁用分页机制。客户机在内核态运行一条INVPCID指令，INVPCID 指令用于清除与特定进程上下文标识符（PCID）相关的 TLB 条目。因为它是特权指令，所以会发生VM-Exit，进入物理机的hypervisor来执行，对应版本的KVM hypervisor在模拟这个指令时存在一个bug，需要用到invlpg的回调函数，该函数在上述设置下为空。指令模拟代码没有检查空指针就进行了解引用，造成内核crash。

此CVE的reporter公布了使用的PoC：

内核的调用链如下：

补丁：

修复之后变成，先检查是否为空指针，如果是空指针就不进行解引用。

本文介绍了硬件辅助虚拟化在CPU虚拟化、内存虚拟化和I/O设备虚拟化中的应用，并回顾了当前对VMM进行模糊测试的相关工作。最后，通过一个CPU虚拟化漏洞的实例，展示了此类场景下可能存在的攻击行为。希望本文能够为读者在虚拟化漏洞挖掘方面提供一些帮助。

1. Intel Corporation 2008英特尔开.系统虚拟化——原理与实现[M].北京:清华大学出版社,2009.

2. Intel 64 and IA-32 Architectures Software Developer’s Manual

3. HyperFuzzer: An Efficient Hybrid Fuzzer for Virtual CPUs

4. Intel Virtualization Technology for Directed I/O.

5. Hypervisor From Scratch – Part 4: Address Translation Using Extended Page Table (EPT)