一种基于KVM虚拟机的隐藏进程检测算法
针对虚拟机环境下木马隐藏自身进程的方式多样化和隐蔽化的问题,提出一种基于虚拟机的隐藏进程检测算法.算法依据客户机调度进程时会访问CR3寄存器而引起VCPU陷出到根模式执行原理,在虚拟机的陷出异常处理函数中插入多视图进程检测算法.提出一种优化的hash算法来减小对虚拟机的性能损失.对比内存搜索算法,实验证明本算法能准确地检测出隐藏原理未知的进程,且性能损失较小.
虚拟机、虚拟机内省、隐藏进程、多视图模型、哈希算法
37
TP309(计算技术、计算机技术)
2016-10-25(万方平台首次上网日期,不代表论文的发表时间)
共5页
231-235
