: : 趋势要拿钱出来做 ARM-to-ARM 虚拟机, 当然没人会有意见!
: : 这可是 NSC 的深耕计划, 不是防毒计划. 何况这还是个软件计划, 照要求,
: : 有没有一个 arm cpu 的 非X86服务器 可以用, 其整个架构与周边会是什么?
: : 然道执行此软件计划还要先去做一个 ARM 手机型大server 的硬件?
:
: ARM的server当然有 只要server上面插的是ARM-based的CPU这就完全可以靠软件实现
: 请随便google "arm blade" "arm cluster"
:
如果是刀锋主机板堆叠的 cluster, 外部用高速网络接在一起, 跟网络电脑
没有不同. 每个单板跟嵌入式 ARM cpu 做的单板也没有不同, 因为都没有
手机的触控显板, 要模拟出一台如假包换的手机, 没触控显示幕就不逼真.
要当真那就是一台放大的 手机. 那就不会只是一台号称省电的 arm server.
: ARM-to-ARM的virtualization其应用当然不只防毒 我只是举个例
: 事实上这项研究国外早就开始了 Linux kernel内也有ARM-KVM的module
: http://systems.cs.columbia.edu/projects/kvm-arm/
:
: 我认为这计画愿意去研究这一块 绝对有助于国内系统软件实力的提升
: 当然 前提是这计画有认真执行
:
什么东西都可以拿来研究, 但一个强调深耕产业发展的计划就不能乱枪打鸟.
资安是热门, 但防止危害只是一种期待, 不仅完全做不到, 同时也不该是
被反拿过来胁迫别人屈从的借口.
ARM cpu 要虚拟化, 第一件大事就是先探究出ARM cpu 对VM 最关键的敏感
指令有那些. 其次就是虚拟对象的 arm 机器及其组成的架构与周边装置的
虚拟化. XEN 可以帮上这个工作, 但 XEN 无法模拟出所有的实体 I/O.
写或追踪病毒程式, VM 能帮忙的是协助把造成危害的程式码给监测出来并
拦截到 VMM 或 hypervisor 来处理. 对有危害性质的程式码 找出其中不可
或缺的必要动作部份, 这就相当于是一种 VM 的敏感指令. 但病毒是一种故
意写错的程式码, 其性质远超过 VM 所关切的, 会影响或干扰到其他程序共
用硬件资源正确性的敏感指令范围.
如果这个 定义要拦截的范围 没法先解决, cpu 指令的虚拟化就很难快速实
现. 就除错与防毒言, VM 被用以侦毒防毒只是要利用其能 log 与 break
/trace 及快速再生 回原形的功能. 就 log break/trace 言, qemu 已是很
好的 "可程式化工具". 目前硬件支援的虚拟机根本就无法对任一位置资料的
存取或任意位置的指令 发出拦截插断作用. 要这样做还不如用早期的发展工
具-ICE 来得实效.