CPU的分级保护域:为了保护计算机,一些危险的指令只能由操作系统执行,以防止一些恶意软件随意地调动硬件资源。
CPU被分为四个环——ring0,ring1,ring2,ring3,其中ring0的权限最高,ring1次之,ring2再次之,ring3最低。
ring0的权限可以直接操作硬件,一般只有操作系统和驱动会允许拥有此权限。比如某个程序需要开启摄像头就必须向ring0的驱动程序请求开启,否则会被拒绝。
ring3的权限最低,所有程序都可以拥有此权限。
在虚拟化环境中,还有一种特殊指令称为敏感指令。敏感指令是指修改虚拟机的运行模式或宿主机状态的指令,也就是说将GuestOS中原本需要在ring0