硬件虚拟化rootkit检测方法研究综述 被引量：6

1

作者 施江勇 王会梅 +2 位作者 鲜明 荣宏 金从军 《计算机应用研究》 CSCD 北大核心 2014年第1期1-5,12,共6页

随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括... 随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法,以及基于指令计数的监测方法等。总结了这些检测方法的优缺点,并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法,分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法,同时也预测了未来虚拟化检测技术的发展方向。 展开更多

关键词 硬件虚拟化 ROOTKIT检测 基于硬件虚拟化的rootkit Bluepill检测 恶意性检测 内存扫描

在线阅读 下载PDF 职称材料

基于硬件虚拟化实现多结点单一系统映像 被引量：3

2

作者 彭近兵 龙翔 肖利民 《计算机科学与探索》 CSCD 2008年第5期529-535,共7页

实现多结点单一系统映像SS(ISingle System Image)是并行计算机体系结构研究的一个重要方向。当前,国内、外关于SSI的大量研究工作是在中间件层(MiddlewareLevel)开展的,存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方... 实现多结点单一系统映像SS(ISingle System Image)是并行计算机体系结构研究的一个重要方向。当前,国内、外关于SSI的大量研究工作是在中间件层(MiddlewareLevel)开展的,存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方法,即利用硬件虚拟化技术,在操作系统OS(Operating System)之下构建分布式虚拟机监视器DVMM(Distributed Virtual Machine Monitor),DVMM由各结点之上的VMM(Virtual Machine Monitor)共同组成,各VMM完全对称;通过各结点的VMM之间协作,实现多结点系统资源的感知、整合、虚拟化和呈现,使多结点对OS呈现为SSI;通过DVMM与OS配合,实现在多结点系统上透明地运行并行应用软件。同现有方法相比,所述方法具有透明性好、性能较高、应用面广和实现难度适中等优势。 展开更多

关键词 单一系统映像 虚拟化 硬件虚拟化 虚拟机监视器 分布式虚拟机监视器

在线阅读 下载PDF 职称材料

基于硬件虚拟化技术的隐藏进程检测技术 被引量：2

3

作者 温研 赵金晶 王怀民 《计算机应用研究》 CSCD 北大核心 2008年第11期3460-3462,共3页

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏... 随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtualmachine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list,TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra具有两个特色,即动态的操作系统迁移技术和不依赖于操作系统的隐式进程自省技术。测试结果证明了Libra检测隐藏进程的完整性,具有很好的实用性。 展开更多

关键词 虚拟机监视器 自隐藏恶意代码 硬件虚拟化技术 进程隐藏

在线阅读 下载PDF 职称材料

一种采用硬件虚拟化的内核数据主动保护方法 被引量：1

4

作者 傅建明 沙乐天 +1 位作者 李鹏伟 彭国军 《四川大学学报（工程科学版）》 EI CAS CSCD 北大核心 2014年第1期8-13,共6页

为保护操作系统内核的完整性,提出了一种基于硬件虚拟化技术的保护方案。该方法对关键寄存器、代码指针表、函数代码等恶意代码攻击的关键点进行识别和放入保护区,利用硬件虚拟化的自动陷入机制检测对保护区的非法篡改。同时,利用单步... 为保护操作系统内核的完整性,提出了一种基于硬件虚拟化技术的保护方案。该方法对关键寄存器、代码指针表、函数代码等恶意代码攻击的关键点进行识别和放入保护区,利用硬件虚拟化的自动陷入机制检测对保护区的非法篡改。同时,利用单步执行技术和事件转发技术保障OS其它操作的兼容性。另外,通过保护页的合并减少保护区的长度以提高异常处理的效率。最后,实现了一个采用该技术的原型工具——HV_KDAP,该工具检测了主流的9款Rootkit样本,实验结果证实其增加的负载为12.7%。该工具还可以抑制内核本地权限提升的攻击,以及用于内核攻击的取证。 展开更多

关键词 硬件虚拟化 内核数据完整性 ROOTKIT检测

在线阅读 下载PDF 职称材料

基于硬件虚拟化的单向隔离执行模型 被引量：6

5

作者 李小庆 赵晓东 曾庆凯 《软件学报》 EI CSCD 北大核心 2012年第8期2207-2222,共16页

提出了一种基于硬件虚拟化技术的单向隔离执行模型.在该模型中,安全相关的应用程序可以根据自身需求分离成宿主进程(host process)和安全敏感模块(security sensitive module,简称SSM)两部分.隔离执行器(SSMVisor)作为模型的核心部件,为... 提出了一种基于硬件虚拟化技术的单向隔离执行模型.在该模型中,安全相关的应用程序可以根据自身需求分离成宿主进程(host process)和安全敏感模块(security sensitive module,简称SSM)两部分.隔离执行器(SSMVisor)作为模型的核心部件,为SSM提供了一个单向隔离的执行环境.既保证了安全性,又允许SSM以函数调用的方式与外部进行交互.安全应用程序的可信计算基(trusted computing base,简称TCB)仅由安全敏感模块和隔离执行器构成,不再包括应用程序中的安全无关模块和操作系统,有效地削减了TCB的规模.原型系统既保持了与原有操作系统环境的兼容性,又保证了实现的轻量级.实验结果表明,系统性能开销轻微,约为6.5%. 展开更多

关键词 隔离执行 硬件虚拟化 安全敏感模块 可信计算基

在线阅读 下载PDF 职称材料

一种硬件虚拟化技术的Rootkit及其检测 被引量：4

6

作者 凌冲 孙乐昌 刘京菊 《西安科技大学学报》 CAS 北大核心 2010年第1期86-91,共6页

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了... 硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。 展开更多

关键词 硬件虚拟化 HVM ROOTKIT 键盘过滤 检测

在线阅读 下载PDF 职称材料

一个基于硬件虚拟化的内核完整性监控方法 被引量：7

7

作者 李珣 黄皓 《计算机科学》 CSCD 北大核心 2011年第12期68-72,共5页

对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分... 对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。 展开更多

关键词 监控 虚拟机监控器 硬件虚拟化 控制流完整性 数据完整性

在线阅读 下载PDF 职称材料

基于硬件虚拟化的内核同层多域隔离模型 被引量：3

8

作者 钟炳南 邓良 曾庆凯 《软件学报》 EI CSCD 北大核心 2022年第2期473-497,共25页

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一... 为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其他所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,提出了内核同层多域隔离模型,即在内核同一硬件特权水平构建多个保护域实现了不同安全机制的内部隔离,缓解了传统方法将所有安全机制绑定在唯一保护域带来的安全风险.实现了内核同层多域隔离模型的原型系统Decentralized-KPD,其利用硬件虚拟化技术和地址重映射技术,将不同安全机制部署在与内核同一特权水平的多个保护域中,并不会引起较大的性能开销.总体而言,实验结果展示了内核同层多域隔离模型的安全性和实用性. 展开更多

关键词 硬件虚拟化 内存隔离 多域隔离

在线阅读 下载PDF 职称材料

基于硬件虚拟化的虚拟机文件完整性监控

9

作者 赵成 陈兴蜀 金鑫 《计算机应用》 CSCD 北大核心 2017年第2期388-391,407,共5页

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件... 为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。 展开更多

关键词 敏感文件 完整性 系统调用 硬件虚拟化 基于内核的虚拟机

在线阅读 下载PDF 职称材料

基于硬件虚拟化的虚拟机内核完整性保护

10

作者 杨晓晖 许烨 《河北大学学报（自然科学版）》 CAS 北大核心 2018年第2期194-203,共10页

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器... 虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响. 展开更多

关键词 硬件虚拟化 虚拟机内核 完整性保护 IntelVT

在线阅读 下载PDF 职称材料

基于硬件辅助虚拟化技术的反键盘记录器模型 被引量：2

11

作者 马建坤 黄皓 《计算机科学》 CSCD 北大核心 2011年第11期104-108,共5页

结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器... 结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器,当获取用户输入时通过在虚拟机监控器中自主处理键盘中断并将读取到的键盘扫描码信息交由受保护的用户线程来保护用户键盘输入的安全。 展开更多

关键词 反键盘记录器 硬件辅助虚拟化 中断 虚拟机监控器

在线阅读 下载PDF 职称材料

图书馆服务器虚拟化技术可行性分析 被引量：44

12

作者 周彩阳 《图书馆论坛》 CSSCI 北大核心 2008年第3期65-67,27,共4页

服务器虚拟化技术作为目前最值得关注的十项IT技术之一,国外已被广泛应用,国内才刚刚起步。文章通过实例对图书馆服务器虚拟化前后进行比较和应用后取得的效果,指出在图书馆应用种类不断增加情况下,控制服务器数量增长是可行的。

关键词 图书馆 服务器虚拟化 硬件虚拟化

在线阅读 下载PDF 职称材料

基于ARM虚拟化扩展的Android内核动态度量方法 被引量：2

13

作者 路子聪 徐开勇 +1 位作者 郭松 肖警续 《计算机应用》 CSCD 北大核心 2018年第9期2644-2649,共6页

针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法 DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时... 针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法 DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时影响内核完整性的因素从而得到静态和动态度量对象,其次在度量层对这些度量对象进行语义重构,最后对其进行完整性分析来判断Android内核是否受到攻击;同时通过基于硬件信任链的启动保护和基于内存隔离的运行时防护来保证DIMDroid自身安全。实验结果表明,DIMDroid能够及时发现破环Android内核完整性的rootkit,且该方法的性能损失在可接受范围内。 展开更多

关键词 ARM硬件虚拟化 Android内核 动态完整性度量 内核级攻击 HYPERVISOR

在线阅读 下载PDF 职称材料

基于系统虚拟化的安全技术研究 被引量：4

14

作者 赵晓东 曾庆凯 《计算机工程与设计》 CSCD 北大核心 2013年第1期18-22,共5页

为提高操作系统和应用程序的安全性,研究了系统虚拟化的相关技术,讨论典型的基于系统虚拟化技术的安全技术应用和系统。根据研究目标的软件层次,分别从应用程序安全、操作系统安全和虚拟机监控器自身安全性三方面,对当前的研究现状和未... 为提高操作系统和应用程序的安全性,研究了系统虚拟化的相关技术,讨论典型的基于系统虚拟化技术的安全技术应用和系统。根据研究目标的软件层次,分别从应用程序安全、操作系统安全和虚拟机监控器自身安全性三方面,对当前的研究现状和未来的发展趋势进行了分析和归纳。设计一种基于系统虚拟化技术实现对恶意软件透明安全的动态调试分析方案,通过在Intel-VT平台上实现系统原型,验证了该方法的可行性和有效性。 展开更多

关键词 系统虚拟化 安全 隔离 虚拟机监控器 硬件辅助虚拟化

在线阅读 下载PDF 职称材料

HybridHP:一种轻型的内核完整性监控方案及其形式化验证 被引量：2

15

作者 钱振江 刘苇 黄皓 《计算机学报》 EI CSCD 北大核心 2012年第7期1462-1474,共13页

虽然传统的虚拟化监控方法可以在一定程度上保障操作系统安全.然而,虚拟监控器VMM中管理域Domain0的存在以及操作系统级的切换所带来的性能损失是很多具有大型应用的操作系统所不能接受的.注重硬件虚拟化技术的监控能力而摒弃其不必要... 虽然传统的虚拟化监控方法可以在一定程度上保障操作系统安全.然而,虚拟监控器VMM中管理域Domain0的存在以及操作系统级的切换所带来的性能损失是很多具有大型应用的操作系统所不能接受的.注重硬件虚拟化技术的监控能力而摒弃其不必要的虚拟化能力,提出了一个新型的通用的虚拟化监控框架HybridHP,并实现其原型.HybridHP将管理域和虚拟机监控机制两者整合到被监控操作系统的地址空间,具有很好的获取被监控系统操作语义的能力.利用Isabelle/HOL形式化辅助证明工具验证HybridHP的隔离性、安全性和监控能力.最后对HybridHP进行了攻击实验和性能评估,结果显示HybridHP提供了和传统的虚拟化监控方案相同的安全保障,并具有很好的系统性能. 展开更多

关键词 硬件虚拟化 内核完整性 安全监控 安全攻击 Isabelle形式化验证

在线阅读 下载PDF 职称材料

Rootkit隐藏技术与检测方法研究 被引量：5

16

作者 姜辉 杨峰 段海新 《小型微型计算机系统》 CSCD 北大核心 2012年第5期1006-1011,共6页

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结... 近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势. 展开更多

关键词 网络安全 ROOTKIT 恶意代码 硬件虚拟化

在线阅读 下载PDF 职称材料

KCapISO:一种基于HybridHP的宏内核操作系统载入模块权能隔离方案 被引量：1

17

作者 钱振江 刘永俊 +2 位作者 汤力 姚宇峰 黄皓 《计算机学报》 EI CSCD 北大核心 2016年第3期552-561,共10页

宏内核操作系统提供对第3方模块和驱动程序等载入模块的支持,允许载入模块运行在内核态特权级.由于运行在最高特权级,载入模块对内核的核心服务的关键对象的访问难以得到系统的有效控制.考虑对被监控系统的性能影响控制在很小的范围,基... 宏内核操作系统提供对第3方模块和驱动程序等载入模块的支持,允许载入模块运行在内核态特权级.由于运行在最高特权级,载入模块对内核的核心服务的关键对象的访问难以得到系统的有效控制.考虑对被监控系统的性能影响控制在很小的范围,基于内嵌式的监控机制HybridHP,提出了一种宏内核架构下的载入模块权能隔离方案KCapISO,为内核和载入模块维护各自的页表,从权能上将两者隔离,确保载入模块无法修改内核的数据,并且无法以任何方式直接调用或跳转到内核中执行,这些动作都需经过KCapISO的监控和检查.实验结果表明,KCapISO能有效地将内核与载入模块在权能上相互隔离,同时获得较好的系统性能. 展开更多

关键词 宏内核操作系统 载入模块 硬件虚拟化 权能隔离 安全监控

在线阅读 下载PDF 职称材料

新型云计算服务器的设计与实现 被引量：27

18

作者 游小明 《计算机工程》 CAS CSCD 北大核心 2011年第11期40-42,共3页

采用传统服务器组成云计算数据中心存在体积大、功耗高、效能低等问题。为此,设计并实现一种新型云计算服务器。对该服务器的关键技术进行阐述,包括云处理器、3D-torus网络拓扑结构、负载均衡策略、硬件虚拟化等技术。与传统服务器相比... 采用传统服务器组成云计算数据中心存在体积大、功耗高、效能低等问题。为此,设计并实现一种新型云计算服务器。对该服务器的关键技术进行阐述,包括云处理器、3D-torus网络拓扑结构、负载均衡策略、硬件虚拟化等技术。与传统服务器相比,该新型云计算服务器具有体积较小、功耗低等特点。 展开更多

关键词 云计算 新型云计算服务器 3D-torus网络 硬件虚拟化

在线阅读 下载PDF 职称材料

Kernel-based virtual machine事件跟踪机制的设计与实现 被引量：1

19

作者 刘锋 雷航 李晓瑜 《计算机应用》 CSCD 北大核心 2008年第S2期285-287,共3页

分析了基于处理器硬件虚拟化技术实现的KVM子系统的架构。针对KVM跟踪独立事件信息的局限性,提出一种新的KVM事件跟踪机制(kvmtrace)来达到性能调节的目的,并使用relayfs接口进行了设计与实现。同时探讨了Linux kernel Markers实现机制... 分析了基于处理器硬件虚拟化技术实现的KVM子系统的架构。针对KVM跟踪独立事件信息的局限性,提出一种新的KVM事件跟踪机制(kvmtrace)来达到性能调节的目的,并使用relayfs接口进行了设计与实现。同时探讨了Linux kernel Markers实现机制及其在kvmtrace的实际应用。 展开更多

关键词 处理器硬件虚拟化 KVM kvmtrace

在线阅读 下载PDF 职称材料

基于内存保护技术的内存马检测方法研究 被引量：2

20

作者 赵宇博 林嘉兴 姚贤哲 《信息网络安全》 CSCD 北大核心 2021年第S01期212-217,共6页

内存马攻击的特点是没有文件落地,只在内存中运行。在不同层面如操作系统、Java容器和Web服务程序中,内存马攻击发展出了多种攻击方式。随着内存马攻击渐渐流行,现有的检测手段存在普适性差和误报多等问题。文章提出了一种基于内存保护... 内存马攻击的特点是没有文件落地,只在内存中运行。在不同层面如操作系统、Java容器和Web服务程序中,内存马攻击发展出了多种攻击方式。随着内存马攻击渐渐流行,现有的检测手段存在普适性差和误报多等问题。文章提出了一种基于内存保护技术检测内存马的方法。该方法依托硬件虚拟化技术,构建出一层独立于操作系统的虚拟化管理层来建立防护能力,通过虚拟化监控技术,监控虚拟机的内存相关信息,截获关键的特征事件,并通过截获的内存马特征事件构建该特征信息的有限状态自动机,再结合应用层Hook技术截获的内存马应用层特征信息,综合检测识别内存马。实验表明,该方法相对已有检测手段具有更好的普适性及更高的准确性。 展开更多

关键词 内存马 内存保护技术 硬件虚拟化

在线阅读 下载PDF 职称材料