利用虚拟机监视器检测及管理隐藏进程

被引：26

作者：

王丽娜 ^{[1
,2
,3
]}

高汉军 ^{[2
,3
]}

刘炜 ^{[2
,3
]}

彭洋 ^{[2
,3
]}

机构：

[1] 武汉大学软件工程国家重点实验室

[2] 空天信息安全与可信计算教育部重点实验室(武汉大学)

[3] 武汉大学计算机学院

来源：

计算机研究与发展 | 2011年 / 08期

关键词：

隐藏进程检测; 虚拟机自省; 语义视图重构; 交叉视图; 进程终止和挂起;

D O I：

暂无

中图分类号：

TP309 [安全保密];

学科分类号：

081201 ; 0839 ; 1402 ;

摘要：

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.

引用

页码：1534 / 1541

页数：8