互联网 qkzz.net
全刊杂志网:首页 > 女性 > 文章正文
刊社推荐

基于硬件虚拟化技术的隐藏进程检测技术.温 研 赵金晶 王怀民


   (1.国防科学技术大学 计算机学院, 长沙410073;2.北京系统工程研究所, 北京 100101)

  

  摘要:随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtual machine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list, TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra具有两个特色,即动态的操作系统迁移技术和不依赖于操作系统的隐式进程自省技术。测试结果证明了Libra检测隐藏进程的完整性,具有很好的实用性。

  关键词:虚拟机监视器;自隐藏恶意代码;硬件虚拟化技术;进程隐藏

  中图分类号:TP3095文献标志码:A

  文章编号:1001-3695(2008)11-3460-03

  

  Detecting hidden process with hardware-assisted virtual machine monitor

  

  WEN Yan1,ZHAO Jin-jing2,WANG Huai-min1 (1.School of Computer, National University of Defense Technology, Changsha 410073, China;2.Beijing Institute of System Engineering, Beijing 100101, China)Abstract:With more and more PC users were accustomed to download and execute programs from Internet, stealth malware had become a major threat to the PC computers. Process hiding was a powerful stealth technique commonly used by stealth malware to evade detection by computer users and anti-malware scanners. This paper proposed a new approach called Libra for detect hidden processes implicitly. Libra implemented a novel lightweight hardware-assisted VMM to obtain the true process list (TPL) from deep within the system. Compared to existing VMM-based approaches, Libra provides two unique advantages: dynamic OS migration and implicit introspection of TPL. The functionality evaluation shows the completeness and effectiveness of Libra.

......
很抱歉,暂无全文,若需要阅读全文或喜欢本刊物请联系《计算机应用研究》杂志社购买。
欢迎作者提供全文,请点击编辑
分享:
 

了解更多资讯,请关注“木兰百花园”
分享:
 
精彩图文


关键字
支持中国杂志产业发展,请购买、订阅纸质杂志,欢迎杂志社提供过刊、样刊及电子版。
关于我们 | 网站声明 | 刊社管理 | 网站地图 | 联系方式 | 中图分类法 | RSS 2.0订阅 | IP查询
全刊杂志赏析网 2017