在现代操作系统中,应用程序与共享库属于同一个地址空间且在调用过程中无须权限切换。这种机制为库函数调用提供了便捷性的同时也为用户安全造成了潜在的威胁。在代码复用攻击中,共享库是攻击者查找恶意指令或者函数接口的首选目标。尽管对共享库进行内存隔离是一种有效的应对措施,但是现有的方法都需要对应用程序或共享库进行重新设计并破坏共享库的共享特性,因此它们大多数都不能高效的应用于现代系统中。共享库隔离保护系统Libsec为了解决这些弊端,提出了一种高效且透明的共享库隔离机制。借助于Intel硬件虚拟化技术可拓展页表以及相关拓展指令VMfunc,Libsec首先将共享库从原有的应用程序地址空间中隔离并创建出单独的共享库地址空间,避免了应用程序代码直接跳转到共享库中执行。然后Libsec提供了对应的地址空间切换接口来保证隔离后共享库与其他组件之间的正常交互。通过静态插装以及动态处理结合的方式,Libsec避免了对应用程序的修改并维护了共享库的共享特性。最后,由于攻击行为并未使用特定的地址空间切换接口,Libsec将通过虚拟机管理器截获的异常事件来判断共享库运行时行为的合法性。为了验证Libsec的有效性,Libsec被用于对Glibc标准库,OpenSSL库等共享库的保护中。实验结果表明攻击者无法通过应用程序漏洞直接执行共享库代码,因此有效的防止了上述攻击行为。同时性能测试结果表明将Libsec用于对底层共享库进行隔离保护时仅具有15%左右的性能开销和较小内存开销。