CN101770551A - 一种基于硬件模拟器的处理隐藏进程的方法 - Google Patents

一种基于硬件模拟器的处理隐藏进程的方法 Download PDF

Info

Publication number
CN101770551A
CN101770551A CN200810241102A CN200810241102A CN101770551A CN 101770551 A CN101770551 A CN 101770551A CN 200810241102 A CN200810241102 A CN 200810241102A CN 200810241102 A CN200810241102 A CN 200810241102A CN 101770551 A CN101770551 A CN 101770551A
Authority
CN
China
Prior art keywords
hidden
instruction
cpu
api
memory
Prior art date
Application number
CN200810241102A
Other languages
English (en)
Inventor
杨轶
苏璞睿
司端锋
冯登国
Original Assignee
中国科学院软件研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中国科学院软件研究所 filed Critical 中国科学院软件研究所
Priority to CN200810241102A priority Critical patent/CN101770551A/zh
Publication of CN101770551A publication Critical patent/CN101770551A/zh

Links

Abstract

本发明属于网络安全技术领域,具体涉及一种基于硬件模拟器的处理隐藏进程的方法。本发明通过在模拟硬件环境上构建隐藏代码中恶意代码的运行环境,操纵和控制模拟CPU指令和各种模拟内存的访问操作,以CR3寄存器中CR3值为标志,检测出隐藏进程,监控隐藏进程的运行过程,由数据采集模块记录隐藏进程中恶意代码的运行信息;本发明同时提供从虚拟内存中直接提取恶意代码镜像。本发明的模拟硬件设备的所有虚拟CPU的指令和各种硬件操作都在翻译之后模拟执行,而不是直接使用代码片段在真实机器上执行,可在指令运行过程中精确计算该条指令运行的时间,从而实现对隐藏进程中恶意代码完全透明的分析。

Description

一种基于硬件模拟器的处理隐藏进程的方法

技术领域

[0001] 本发明属于网络安全技术领域,具体涉及一种基于硬件模拟器的处理隐藏进程的

方法。 背景技术

[0002] 随着社会的不断发展和进步,计算机在社会各个领域的应用越来越广泛。由于软 件漏洞的广泛存在和用户安全意识的不足,木马的传播速度越来越快,感染范围不断扩大, 造成的破坏日益严重。同时由于底层技术的研究不断深入,越来越多的隐藏进程手段为木 马所利用。传统的安全防护手段由于受分析效率和实现环境的限制,响应周期难以縮短,响 应速度已经逐渐不能适应这种新情况。因此,提高对隐藏进程的检测准确性和分析能力显 得十分必要。

[0003] 现有的隐藏进程检测工具,如Process Explorer、 IceSword、 GMER等,全部依赖于

内存格式的分析和操作系统底层数据的挖掘。在某些情况下,甚至必须对操作系统进行修 改,如Hook系统函数,或者通过PsSetCreateProcessNotifyRoutine注册回调函数,才能实 现相应的功能。而由于对操作系统做修改,本身会引起完整性问题,因此被修改的数据补丁 或者注册的函数很容易被木马发现,并产生相应的对抗手段。同时由于当前的隐藏进程检 测和分析工具,都是在跟恶意代码同一平台运行,在对系统的控制权上和恶意代码产生竞 争关系,不利于准确而稳定的实现检测与分析。 [0004] 当前的隐藏进程检测技术,通常使用如下的几种方法: [0005] 1.遍历EPROCESS表来查找隐藏进程

[0006] 该方法仅限于检测Ring3级用户模式隐藏的进程,当前的木马一般都会使用断开 EPROCESS链表的方法来隐藏自身。因此通过遍历EPROCESS表的方法在目前几乎等于无效。 [0007] 2.遍历EPROCESS结构中包含的HandleTable双链表来实现隐藏进程检测。 [0008] 恶意代码可以将自身的HandleTable从该链表上断开,对运行无影响。 [0009] 3.遍历CSRSS中的句柄表。

[0010] 因为CSRSS进程包含其他所有进程的句柄,故通过遍历句柄表的方式可以找到其 他进程的对象结构。

[0011] 恶意代码可以通过擦除CSRSS进程中指向自身的句柄来实现进程隐藏功能。 [0012] 4.遍历操作系统调度表。

[0013] 在XP系统上,存在两个调度表。KiReadyList和KiWaitList,通过遍历这两个链 表,可以查到当前操作系统中都有哪些进程处于执行状态和等待状态。恶意代码可以通过 Hook API的方法将进程调度记录从这两个链表上摘下。 [0014] 5.遍历PspCidTable内核句柄表。

[0015] 该句柄表存放着系统中所有的进程和线程的句柄。恶意代码可以将PspCidTable 指向自身的指针清空,这种方法可以实现隐藏,但是会带来系统的不稳定。 [0016] 6. Hook SwapContext函数。[0017] 通过Hook Sw即Context函数,反木马程序可以获得操作系统调用的所有过程,并 在这个过程中实现各种隐藏进程的检测。但是这样存在一个问题,即因为和木马程序同处 在一个平台上。木马可以采用覆盖函数指令的方法来摘除钩子。

[0018] 目前分析隐藏进程中恶意代码的虚拟机调试分析方法,应用VMware、 VirtualPC 等虚拟机系统实现。虚拟机系统将虚拟指令直接交给本地的真实CPU执行,同时自身存在 后门。隐藏进程中的恶意代码可通过检查代码执行时间,或者调用虚拟机后门功能的方法 判别自己在一个虚拟系统上运行,采取操作隐藏真实功能。

[0019] 综上,目前检测隐藏进程的主要缺陷在于:隐藏进程和恶意代码处于同一层次上, 容易被恶意代码检测并产生相应的对抗手段;过度依赖操作系统内核数据完整性,基于虚 拟化的分析技术虚拟化程度不高,准确率不高。而分析隐藏进程中恶意代码的方法是使用 Hook系统API的方法监控进程,恶意代码通过读取硬盘上系统文件对内存中的代码进行覆 盖即可使之失效;虚拟机调适方法采用的虚拟机,依赖本地CPU,而不能模拟多种CPU。

发明内容

[0020] 本发明提供一种基于硬件模拟器的处理隐藏进程的方法,通过构建恶意代码运行 环境,操纵和控制模拟CPU指令和各种模拟硬件的访问操作,硬件模拟器中的数据采集模 块收集系统中所有进程的信息,以CR3为标志,检测隐藏进程;监控所有进程的运行过程, 从虚拟内存中直接提取恶意代码镜像,分析监控数据,并以HTML或SQL格式输出。 [0021] —种基于硬件模拟器的处理隐藏进程的方法,其步骤如下:

[0022] 1、按照目标文件在硬盘上的数据块排序,将数据块顺次添加到虚拟硬盘,转换为 硬件模拟器识别的操作系统镜像;

[0023] 2、配置镜像路径、硬件模拟器的模拟内存大小及模拟CPU的类型;硬件模拟器加 载步骤l)中的操作系统镜像,并启动该操作系统;

[0024] 3、虚拟CPU执行指令时,查找CR3寄存器中是否出现新的CR3值,若出现新CR3值, 则遍历操作系统所有的EPROCESS结构是否包含有该CR3值;若不存在包含有该CR3值的 EPROCESS结构,则将该CR3值对应的隐藏进程检测出来;

[0025] 4、利用硬件模拟器读取所述隐藏进程的内存,获取隐藏进程加载的动态库;比较 所述动态库的导出表中的名称与API表中的名称,获取所述导出表中所有API的地址,构建 API表;

[0026] 5、判断所述检测出的隐藏进程的EIP与API表每个函数的第一条指令是否匹配,

若匹配,则读取堆栈和寄存器获取函数参数和返回值,在虚拟内存中监控并读取参数对应

执行的指令,数据采集模块记录该指令及该指令执行的数据,并返回给用户。

[0027] 进一步,在上述步骤3)前若存在提取代码镜像的请求,则在监控隐藏进程的执行

指令时,读取物理内存中的代码,确定需要读取的文件在内存中的范围;并根据内存页表找

到相应的内存页在虚拟物理内存的位置,依据偏移一次性读出代码镜像。

[0028] 每个进程有自己4G地址空间,当进程切换时,就需要切换地址空间,也就是切换

页目录页表,所以每个进程都需要保存自己页目录的地址。对于执行地址转换的CPU来说

需要知道页目录所在物理页的物理地址就可以进行地址转换。对于维护进程的页目录和页

表的系统来说,需要把页目录和页表所在的物理页映射到地址空间中。当前x86系列CPU的地址翻译过程,依赖于进程的页表。操作系统为了表示进程的地址空间,为进程创建单独了 页表。当进程执行时,页表的物理地址存放在CPU的CR3寄存器中。由于x86系列CPU页 表读取和使用架构的限制,任意两个进程的页表物理地址都不相同。 [0029] 本发明的优点和积极效果如下:

[0030] 1.本发明由于数据采集通过硬件模拟技术实现,而不是将恶意代码放在真实的 CPU上执行,恶意代码无法感知自身是否运行在虚拟环境中,也无法分辨自身是否被跟踪, 从而实现对恶意代码完全透明的分析。

[0031] 2.本发明的模拟硬件设备的所有虚拟CPU的指令和各种硬件操作都在翻译之后 模拟执行,而不是直接使用代码片段在真实机器上执行,可在指令运行过程中精确计算该 条指令运行的时间,从而保证了虚拟环境的透明性。

[0032] 3.本发明在硬件模拟器的层次比较,不需要对操作系统做任何修改,提高了系统 对于恶意代码的透明度,使监控难以被恶意代码检测。

附图说明

[0033] 图1基于硬件模拟器的隐藏进程检测方法示意图。 [0034] 图2基于硬件模拟器的隐藏进程检测和分析流程图。

具体实施方式

[0035] 下面结合附图详细说明本发明的技术方案:

[0036] 如图1所示,一种基于硬件模拟器的处理隐藏进程的方法,包括步骤: [0037] 1、创建目标文件运行所需的操作系统镜像

[0038] 本发明采用线性寻址的方法,读取怀疑有恶意代码的目标样本所在磁盘的所有内

容。按照该硬盘分区上所有数据块的排序,分块从硬盘上读出来,然后根据其序号的先后顺

序,将读取的数据顺次添加到一个文件中,该文件作为虚拟的硬盘使用,获得硬件模拟器识

别的数据镜像文件。

[0039] 2 、配置并启动硬件模拟器

[0040] 配置镜像路径,获取实际运行的操作系统镜像所在位置;配置硬件模拟器的模拟 内存大小、系统启动时间及模拟CPU的类型。完成虚拟内存的初始化后,硬件模拟器加载上 述操作系统镜像,并启动该操作系统。

[0041] 其中,本发明的虚拟内存通过在真实机器上直接申请相应大小的内存进行模拟。 配置模拟内存的大小是虚拟操作系统运行的基础,模拟内存设置越大,则虚拟操作系统运 行越快。本实施例给出模拟内存的大小配置在216M〜1G之间。

[0042] 本发明定义当前模拟CPU的类型,是通过硬件模拟器的译码模块获得,使得模拟 CPU的指令转化为本地CPU的指令再运行,在虚拟机上运转的操作系统能够正确的执行指 令,本发明可以模拟多种CPU。例如:若当前的镜像是从一台P4的机器上读取出来,则本发 明需要将硬件模拟器模拟CPU的类型配置为P4,而不能是ARM或者MIPS等其他类型CPU, 否则该操作系统无法正确运行。若真实CPU是Intel P4,而本发明硬件模拟器模拟的CPU 是ARM,则需利用译码模块将ARM的指令转化为一条或者多条Intel P4的指令。 [0043] 对于某些恶意代码在不同的时间会有不同的表现,通过在虚拟的BIOS中写入数据定义系统的启动时间,如黑色星期五病毒,只有在13号同时是星期五的时候才会发作。 通过定义虚拟系统时间的方法,使恶意代码表现出不同的行为,便于检测出隐藏进程中的 恶意代码。

[0044] 3、虚拟CPU执行指令,并检测隐藏进程

[0045] 每个进程都由一个EPROCESS块来表示,EPROCESS块中不仅包含了进程相关了很 多信息,还有很多指向其他相关结构数据结构的指针。在实际的执行过程中,对CPU执行状 态的CR3寄存器不断进行检查,若CR3寄存器中出现新的CR3值后,则通过EPROCESS结构中 的ActiveProcessLink双向链表遍历系统所有的EPROCESS结构,查找是否存在包含该CR3 值的EPROCESS结构;若遍历后没有找到包含有该CR3值的EPROCESS结构,则该CR3值对应 的当前进程是隐藏进程,对其进行监控。

[0046] 4、监控具有上述CR3值的隐藏进程执行的所有指令和系统调用

[0047] 应用层的程序通过API来访问操作系统。本实施例使用地址比较的方法获取系统

调用。在Windows操作系统中,进程的加载包括如下步骤:

[0048] 1)创建进程的内存地址。

[0049] 2)映射进程可执行文件。

[0050] 3)映射进程需要加载的动态库文件。

[0051] 4)配置进程运行需要的其他操作系统资源。

[0052] 5)调度进程执行。

[0053] 在进程被调度执行之前,此时进程的代码还没有执行,但是自身的可执行文件和 进程需要的动态库都已经被映射进内存。故本发明在进程加载之后,代码执行之前,通过虚 拟机,读取进程的内存,并分析进程加载的动态库中的导出表,导出表包括API名称和API 地址,本发明通过采用字符比较的方法,比较导出表中API名称与API表中的名称,获取导 出表中所有API的地址,将所有API地址加入到API表,所述API表包括API名称、API地 址及API参数和返回值。隐藏进程执行中,将隐藏进程的EIP值与API表中函数地址的参 数逐一做匹配比较。

[0054] 若EIP值与API表中每个函数的第一条指令相匹配,则读取堆栈和寄存器,获取函

数参数和返回值,并在虚拟内存中读取参数对应执行的指令;硬件模拟器中数据采集模块

记录该指令及该指令执行的数据,其中,指令执行的数据包括该指令打开的文件、打开的端

口、通过某端口发送的数据、访问的文件、创建的进程和线程、创建或终止的服务、创建或使

用的操作系统同步/互斥量、网络数据发送操作的内容,文件创建操作的文件名等信息。

[0055] 5、在上述步骤3)之前,若存在提取代码镜像的请求,则需要提取代码镜像

[0056] 在分析隐藏进程中恶意代码的过程中,恶意代码通常会使用代码混淆、自修改、加

密、加壳等手段对抗静态分析,使其在磁盘上的存储内容呈现一种加密或混淆后无法分析

的状态,无法对其进行反汇编,更不可能进行分析,无法在静态情况下获取真实代码。然而

在恶意代码执行时,恶意代码会将真实的代码恢复出来。

[0057] 本发明提供提取代码镜像的功能,在恶意代码执行时,直接读取物理内存中的代 码,确定需要读取的文件在内存中的范围;根据内存页表找到相应的内存页在虚拟物理内 存的位置,依据偏移一次性读出,获取恶意代码的真实内容。

[0058] 在虚拟CPU执行指令之前,若有提取代码镜像的请求,如用户发现执行某条指令

6之后,在硬盘上以密文形式存在的恶意代码,将自身在内存中解密完成。这时候用户可能需 要提取出恶意代码在内存中的镜像,将其保存为文件进行分析,并发送一个提取内存中代 码镜像的请求给模拟环境。当前存在读取内存镜像的请求,硬件模拟器中的数据采集模块 将用户请求转换为虚拟内存访问操作,读取模拟系统内存并将内存中的代码转存为镜像文 件。

[0059] 6、采集并分析数据

[0060] 若存在提取代码镜像的请求,数据采集模块中的数据包括执行隐藏进程的指令运 行数据和内存镜像。数据分析模块接收并存储上述数据采集模块收集的数据,并返回给用 户。用户可以观察恶意代码的动态行为,提取特定时刻虚拟内存中的恶意代码的二进制代 码,并可以HTML或SQL数据库格式输出分析结果。

[0061] 本发明提出的基于硬件模拟器的隐藏进程检测和分析方法,对于本领域的技术人 员而言,可以根据需要自己配置各种环境信息,设计检测和分析方法,从而全面分析隐藏进 程中的恶意代码。

[0062] 尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明 的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求 的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例 和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (6)

  1. 一种基于模拟硬件环境的处理隐藏进程的方法,其步骤如下:1)按照目标文件在硬盘上的数据块排序,将数据块顺次添加到虚拟硬盘,转换为硬件模拟器识别的操作系统镜像;2)配置镜像路径、硬件模拟器的模拟内存大小及模拟CPU的类型;硬件模拟器加载步骤1)中的操作系统镜像,并启动该操作系统;3)虚拟CPU执行指令时,查找CR3寄存器中是否出现新的CR3值,若出现新CR3值,则遍历操作系统所有的EPROCESS结构是否包含有该CR3值;若不存在包含有该CR3值的EPROCESS结构,则将该CR3值对应的隐藏进程检测出来;4)利用硬件模拟器读取所述隐藏进程的内存,获取隐藏进程加载的动态库;比较所述动态库的导出表中的名称与API表中的名称,获取所述导出表中所有API的地址,构建API表;5)判断所述检测出的隐藏进程的EIP与所述API表中每个函数的第一条指令是否匹配,若匹配,则读取堆栈和寄存器获取函数参数和返回值,在虚拟内存中监控并读取参数对应执行的指令,数据采集模块记录该指令及该指令执行的数据,并返回给用户。
  2. 2. 如权利要求1所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于, 在虚拟CPU执行指令之前,判断是否存在提取代码镜像的请求,若存在,则在监控隐藏进程 的执行指令时,读取物理内存中的代码,找到内存页在虚拟物理内存的位置,依据偏移一次 性读出代码镜像,并记录在数据采集模块中。
  3. 3. 如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在 于,步骤2)中还配置硬件模拟器的系统启动时间。
  4. 4. 如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在 于,步骤2)中所述模拟CPU的类型通过硬件模拟器的译码模块获取,使模拟CPU的指令转 化为本地CPU的指令。
  5. 5. 如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在 于,步骤2)中所述模拟内存的大小为216M〜1G之间。
  6. 6. 如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在 于,所述步骤4)中采用字符比较的方法获得API地址。
CN200810241102A 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法 CN101770551A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200810241102A CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810241102A CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Publications (1)

Publication Number Publication Date
CN101770551A true CN101770551A (zh) 2010-07-07

Family

ID=42503405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810241102A CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Country Status (1)

Country Link
CN (1) CN101770551A (zh)

Cited By (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622536A (zh) * 2011-01-26 2012-08-01 中国科学院软件研究所 一种恶意代码捕获方法
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102736969A (zh) * 2012-05-22 2012-10-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和系统
CN102902575A (zh) * 2012-09-25 2013-01-30 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102945346A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102999719A (zh) * 2011-09-19 2013-03-27 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及系统
CN103559446A (zh) * 2013-11-13 2014-02-05 厦门市美亚柏科信息股份有限公司 一种基于安卓系统的设备的动态病毒检测方法和装置
CN104715201A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和系统
CN105653937A (zh) * 2015-12-30 2016-06-08 北京神州绿盟信息安全科技股份有限公司 一种文件防护方法和装置
CN105786596A (zh) * 2016-03-21 2016-07-20 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作系统的内存镜像文件中获取对象信息的方法
CN106407805A (zh) * 2015-07-30 2017-02-15 腾讯科技(深圳)有限公司 基于Linux系统的木马检测方法及装置
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN107291423A (zh) * 2016-03-31 2017-10-24 龙芯中科技术有限公司 构建运行环境的方法和装置
CN107437028A (zh) * 2017-07-31 2017-12-05 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
US9935851B2 (en) 2015-06-05 2018-04-03 Cisco Technology, Inc. Technologies for determining sensor placement and topology
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
CN108227639A (zh) * 2016-12-22 2018-06-29 中国航天系统工程有限公司 一种面向集散控制系统的上位机异常状态监测方法
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10116559B2 (en) 2015-05-27 2018-10-30 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10177977B1 (en) 2013-02-13 2019-01-08 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052064A3 (en) * 2000-01-10 2002-04-18 Wind River Systems Inc Protection domains for a computer operating system
CN1476554A (zh) * 2000-10-24 2004-02-18 Vcis公司 分析型虚拟机
US7376970B2 (en) * 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052064A3 (en) * 2000-01-10 2002-04-18 Wind River Systems Inc Protection domains for a computer operating system
CN1476554A (zh) * 2000-10-24 2004-02-18 Vcis公司 分析型虚拟机
US7376970B2 (en) * 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
温研,赵金晶,王怀民: "基于本地虚拟化技术的隐藏进程检测", 《计算机应用》 *
温研,赵金晶,王怀民: "基于硬件虚拟化技术的隐藏进程检测技术", 《计算机应用研究》 *

Cited By (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622536B (zh) * 2011-01-26 2014-09-03 中国科学院软件研究所 一种恶意代码捕获方法
CN102622536A (zh) * 2011-01-26 2012-08-01 中国科学院软件研究所 一种恶意代码捕获方法
CN102999719B (zh) * 2011-09-19 2015-08-26 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及系统
CN102999719A (zh) * 2011-09-19 2013-03-27 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及系统
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102736969A (zh) * 2012-05-22 2012-10-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和系统
CN102736969B (zh) * 2012-05-22 2014-12-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和系统
CN102902575A (zh) * 2012-09-25 2013-01-30 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102945346A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
CN102945346B (zh) * 2012-09-25 2016-03-30 北京奇虎科技有限公司 一种用于枚举系统进程的方法及装置
US10177977B1 (en) 2013-02-13 2019-01-08 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
CN103559446A (zh) * 2013-11-13 2014-02-05 厦门市美亚柏科信息股份有限公司 一种基于安卓系统的设备的动态病毒检测方法和装置
CN104715201B (zh) * 2015-03-31 2018-02-27 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和系统
CN104715201A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和系统
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US10116559B2 (en) 2015-05-27 2018-10-30 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10516585B2 (en) 2015-06-05 2019-12-24 Cisco Technology, Inc. System and method for network information mapping and displaying
US10728119B2 (en) 2015-06-05 2020-07-28 Cisco Technology, Inc. Cluster discovery via multi-domain fusion for application dependency mapping
US10735283B2 (en) 2015-06-05 2020-08-04 Cisco Technology, Inc. Unique ID generation for sensors
US9935851B2 (en) 2015-06-05 2018-04-03 Cisco Technology, Inc. Technologies for determining sensor placement and topology
US10693749B2 (en) 2015-06-05 2020-06-23 Cisco Technology, Inc. Synthetic data for determining health of a network security system
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US9979615B2 (en) 2015-06-05 2018-05-22 Cisco Technology, Inc. Techniques for determining network topologies
US10009240B2 (en) 2015-06-05 2018-06-26 Cisco Technology, Inc. System and method of recommending policies that result in particular reputation scores for hosts
US10686804B2 (en) 2015-06-05 2020-06-16 Cisco Technology, Inc. System for monitoring and managing datacenters
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10116531B2 (en) 2015-06-05 2018-10-30 Cisco Technology, Inc Round trip time (RTT) measurement based upon sequence number
US10116530B2 (en) 2015-06-05 2018-10-30 Cisco Technology, Inc. Technologies for determining sensor deployment characteristics
US10742529B2 (en) 2015-06-05 2020-08-11 Cisco Technology, Inc. Hierarchichal sharding of flows from sensors to collectors
US10129117B2 (en) 2015-06-05 2018-11-13 Cisco Technology, Inc. Conditional policies
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10171319B2 (en) 2015-06-05 2019-01-01 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10659324B2 (en) 2015-06-05 2020-05-19 Cisco Technology, Inc. Application monitoring prioritization
US10797970B2 (en) 2015-06-05 2020-10-06 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10177998B2 (en) 2015-06-05 2019-01-08 Cisco Technology, Inc. Augmenting flow data for improved network monitoring and management
US10181987B2 (en) 2015-06-05 2019-01-15 Cisco Technology, Inc. High availability of collectors of traffic reported by network sensors
US10230597B2 (en) 2015-06-05 2019-03-12 Cisco Technology, Inc. Optimizations for application dependency mapping
US10243817B2 (en) 2015-06-05 2019-03-26 Cisco Technology, Inc. System and method of assigning reputation scores to hosts
US10623282B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. System and method of detecting hidden processes by analyzing packet flows
US10623284B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. Determining a reputation of a network entity
US10305757B2 (en) 2015-06-05 2019-05-28 Cisco Technology, Inc. Determining a reputation of a network entity
US10797973B2 (en) 2015-06-05 2020-10-06 Cisco Technology, Inc. Server-client determination
US10326673B2 (en) 2015-06-05 2019-06-18 Cisco Technology, Inc. Techniques for determining network topologies
US10326672B2 (en) 2015-06-05 2019-06-18 Cisco Technology, Inc. MDL-based clustering for application dependency mapping
US10862776B2 (en) 2015-06-05 2020-12-08 Cisco Technology, Inc. System and method of spoof detection
US10567247B2 (en) 2015-06-05 2020-02-18 Cisco Technology, Inc. Intra-datacenter attack detection
US10439904B2 (en) 2015-06-05 2019-10-08 Cisco Technology, Inc. System and method of determining malicious processes
US10454793B2 (en) 2015-06-05 2019-10-22 Cisco Technology, Inc. System and method of detecting whether a source of a packet flow transmits packets which bypass an operating system stack
US10505828B2 (en) 2015-06-05 2019-12-10 Cisco Technology, Inc. Technologies for managing compromised sensors in virtualized environments
US10505827B2 (en) 2015-06-05 2019-12-10 Cisco Technology, Inc. Creating classifiers for servers and clients in a network
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10516586B2 (en) 2015-06-05 2019-12-24 Cisco Technology, Inc. Identifying bogon address spaces
US10320630B2 (en) 2015-06-05 2019-06-11 Cisco Technology, Inc. Hierarchichal sharding of flows from sensors to collectors
US10623283B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. Anomaly detection through header field entropy
CN106407805B (zh) * 2015-07-30 2019-12-10 腾讯科技(深圳)有限公司 基于Linux系统的木马检测方法及装置
CN106407805A (zh) * 2015-07-30 2017-02-15 腾讯科技(深圳)有限公司 基于Linux系统的木马检测方法及装置
CN106682493B (zh) * 2015-11-06 2019-08-27 珠海豹趣科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN105653937A (zh) * 2015-12-30 2016-06-08 北京神州绿盟信息安全科技股份有限公司 一种文件防护方法和装置
CN105786596A (zh) * 2016-03-21 2016-07-20 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作系统的内存镜像文件中获取对象信息的方法
CN105786596B (zh) * 2016-03-21 2018-04-13 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作系统的内存镜像文件中获取对象信息的方法
CN107291423B (zh) * 2016-03-31 2020-09-29 龙芯中科技术有限公司 构建运行环境的方法和装置
CN107291423A (zh) * 2016-03-31 2017-10-24 龙芯中科技术有限公司 构建运行环境的方法和装置
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
CN108227639A (zh) * 2016-12-22 2018-06-29 中国航天系统工程有限公司 一种面向集散控制系统的上位机异常状态监测方法
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
CN107437028A (zh) * 2017-07-31 2017-12-05 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
CN107437028B (zh) * 2017-07-31 2020-03-31 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10873593B2 (en) 2018-05-29 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots

Similar Documents

Publication Publication Date Title
CN106575243B (zh) 管理程序托管的虚拟机取证
US10108446B1 (en) Late load technique for deploying a virtualization layer underneath a running operating system
Jin et al. A VMM-based intrusion prevention system in cloud computing environment
Kirat et al. Barecloud: bare-metal analysis-based evasive malware detection
US9881157B1 (en) Anti-malware systems and methods using hardware-assisted code injection
Sharif et al. Automatic reverse engineering of malware emulators
Cheng et al. A lightweight live memory forensic approach based on hardware virtualization
KR101574403B1 (ko) 결합된 가상 그래픽 장치
Dall et al. KVM/ARM: the design and implementation of the linux ARM hypervisor
Wang et al. Countering persistent kernel rootkits through systematic hook discovery
RU2664413C2 (ru) Конфигурация архитектурного режима в вычислительной системе
TWI254861B (en) Data processing system, method, and computer readable medium for sharing input/output facilities of a logical partition with another logical partition
TWI547874B (zh) 虛擬機器影像分析
Dike User mode linux
TWI438690B (zh) 用於執行多個資訊處理系統間的虛擬機器遷移之方法及裝置,以及資訊技術系統
CN100514297C (zh) 为与虚拟机监控程序相关联的定时器提供支持
EP2237181B1 (en) Virtual machine snapshotting and damage containment
Luo et al. Envirosuite: An environmentally immersive programming framework for sensor networks
CN102521537B (zh) 基于虚拟机监控器的隐藏进程检测方法和装置
Srinivasan et al. Process out-grafting: an efficient" out-of-VM" approach for fine-grained process execution monitoring
CN102609296B (zh) 虚拟机分支和并行执行
Fu et al. Space traveling across vm: Automatically bridging the semantic gap in virtual machine introspection via online kernel data redirection
US8732824B2 (en) Method and system for monitoring integrity of running computer system
CN102207886B (zh) 虚拟机快速仿真辅助
Yan et al. V2e: combining hardware virtualization and softwareemulation for transparent and extensible malware analysis

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20100707