10.15918/j.tbit1001-0645.2018.03.014
高可靠In-VM隐藏进程对抗检测方法
通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中 In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠 In-VM隐藏进程对抗检测方法.该方法利用 In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的 Rootkit隐藏进程,结果表明,该方法可以检测各种 Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.
进程检测、虚拟化、In-VM模型、Rootkit、隐藏进程
38
TP399(计算技术、计算机技术)
北京理工大学科技创新计划重大项目2011CX01015;国家"二四二"计划项目2005C48
2018-05-14(万方平台首次上网日期,不代表论文的发表时间)
共8页
305-312
