CN106201872A - 一种Android系统的运行环境检测方法 - Google Patents
一种Android系统的运行环境检测方法 Download PDFInfo
- Publication number
- CN106201872A CN106201872A CN201610523168.XA CN201610523168A CN106201872A CN 106201872 A CN106201872 A CN 106201872A CN 201610523168 A CN201610523168 A CN 201610523168A CN 106201872 A CN106201872 A CN 106201872A
- Authority
- CN
- China
- Prior art keywords
- instruction
- address
- android
- running environment
- android system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3664—Environments for testing or debugging software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公布了一种Android系统的运行环境检测方法,利用高速缓冲存储器cache的特性来检测当前Android系统的运行环境是Android模拟器还是Android真机;包括步骤:在任意一个地址$address上执行一个指令,设为旧指令;向$address写入一个新指令,新指令与旧指令不同;再次执行$address的指令;根据步骤3)指令执行结果,得到所执行的指令是新指令还是旧指令,由此来检测当前Android系统的运行环境是Android模拟器还是Android真机。本发明提供的技术方案能够有效且简便地达到检测Android系统运行环境的目的。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种Android系统的运行环境检测方法。
背景技术
伴随着移动互联网的到来,移动应用开发已如火如荼。因为Android平台具有开源免费的特点,使得Android平台的市场占有率大大提高,但是这给厂商及用户带来方便的同时也带来了安全隐患。当前手机用户量增长越来越快,尤其是中国,手机用户量已超10亿,即大约75%的中国人拥有自己的手机。正因为手机越来越智能化,携带也方便,因此许多人将隐私信息存储在手机上,且在多处场景下无形地公开化,而这些信息正是许多病毒作者所热衷的。恶意攻击者通过在模拟器运行Android软件,然后再对软件进行一些操作以触发尽可能多的恶意行为,接着输出到log中,再通过脚本对日志进行恶意分析,为了进一步减少这类事件发生,针对Android移动终端上的安全研究越来越重要。
Android系统分为四层,每一层对其上一层提供服务。最底层为Linux内核,上一层为Android类库和Android运行环境,其上一层为应用程序框架,最上层为应用程序。其中,Android运行环境包括了Dalvik VM以及Java类库。虽然Android核心是Linux内核,但是其大多数程序是Java开发的,通过DalvikVM运行。所有的.class文件和.jar文件通过SDK中的DX工具转化成.dex格式,DX工具对.class文件编译时,会去除里面的冗余信息,并把所有.class文件整合到一个文件中,提高了性能,同时DX工具还会对.dex文件进行性能优化,再由Dalvik虚拟机运行.dex文件。
Android的开放性吸引众多攻击者的同时也吸引了广泛的安全研究人员对其安全性增强工作展开了多方面的研究,并已有很多现实成果。研究人员提出了基于虚拟化技术的安全增强方案。通过虚拟化技术,实现公私分离与平台整合,并且由于虚拟机监视器具有比操作系统更高的权限,所以可以利用它完成平台行为的监测和管控,从而提高整个系统的安全性。
Android模拟器为开发调试应用软件带来了极大便利,但攻击者却可用其来用恶意分析软件。如何判断Android应用软件当前的运行环境,成为保护已经发布的应用软件的一种方式。
对Android应用软件当前运行环境进行检测,目前已有的主流判方法包括:(一)检测判断IMEI的方法;Android真机都有唯一的IMEI号,而Android模拟器取出来的是一串0,但是,现在模拟器的IMEI是可以修改的;(二)检测判断mac地址的方法;模拟器一般都只有固定的几个mac地址,但是,现在也可以通过一些软件对模拟器的mac地址进行修改。因此,现有的上述两种方法,均难以真正对Android应用软件当前运行环境的安全性进行精确的检测,难以实现对已经发布的Android应用软件进行安全保护。
发明内容
为了克服上述现有技术的不足,本发明提供一种Android系统的运行环境检测方法,该方法基于高速缓冲存储器cache的特性来检测Android模拟器,判断当前的Android系统的运行环境是Android真机还是Android模拟器,以此来防止恶意攻击者利用模拟器来恶意分析软件。
本发明的原理是:
CPU和内存之间可存在多级高速缓冲存储器cache以便加速,把指令缓存起来,避免到低速的内存中再去取指令。现在Android手机大多是ARM架构的(Advanced RISCMachine,高级精简指令集机器),ARM架构是一个32位精简指令集处理器架构,其广泛地使用在许多嵌入式系统设计,在ARM架构中,有两级cache,但是ARM把其中一级的cache分成了平行的两块,分别是专门储存程序指令的高速缓冲存储器cache和储存数据的高速缓冲存储器cache,这种将程序指令储存和数据储存分开的存储器结构被称为哈佛架构(Harvardarchitecture),而把程序指令存储器和数据存储器合并在一起的叫冯·诺伊曼结构(vonNeumann architecture)。目前Android SDK(Software Development Kit,软件开发工具包)提供的模拟器是基于QEMU的,QEMU是一套由法布里斯·贝拉(Fabrice Bellard)所命名编写的以GPL许可证分发源码的模拟处理器,在GNU/Linux平台上使用广泛,QEMU是一个开源的模拟处理器的软件,且模拟器是没有分开的cache,即模拟器只有一个整块的高速缓冲存储器cache。在哈佛架构中,这两个cache不是同步的,因此一个特定地址的数据值在一个高速缓冲存储器cache中更新了,但是在另一个高速缓冲存储器cache却不会进行更新。例如往存储数据的高速缓冲存储器cache中写了数据,存储指令的高速缓冲存储器cache中是不会写入这个数据的。本发明即利用Android模拟器和Android真机在高速缓冲存储器cache结构的不同,通过执行一些指令,根据最后的执行结果来对高速缓冲存储器cache结构进行判断,实现对二者进行检测并达到区分的目的。
本发明提供的技术方案是:
一种Android系统的运行环境检测方法,利用高速缓冲存储器cache的特性来检测当前运行环境是Android模拟器还是Android真机;包括如下步骤:
1)在任意一个地址$address上执行一个指令,设为旧指令;
2)向上述地址$address写入一个新指令,所述新指令与步骤1)所述旧指令不同;
3)再次执行上述地址$address的指令;
4)根据步骤3)所述指令执行结果,得到步骤3)所执行的指令是所述新指令还是所述旧指令;当步骤3)所执行的指令是所述旧指令,当前Android系统的运行环境是真机;当步骤3)所执行的指令是所述新指令,当前Android系统的运行环境是Android模拟机。
与现有技术相比,本发明的有益效果是:
针对Android系统的运行环境进行检测,现有Android模拟器检测方法主要是从特定的系统值来进行区分,例如,采用getDeviceId()、getLine1Number()这类函数等等;而本方法提供的方法则从高速缓冲存储器cache的结构特性来区分Android真机与Android模拟器,有效且简便地达到了Android系统的运行环境检测的目的,具有创新性。
附图说明
图1是本发明提供的Android系统的运行环境检测方法的流程框图。
图2是Android真机指令执行流程框图。
图3是Android模拟器指令执行流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种Android系统的运行环境检测方法,利用高速缓冲存储器cache的特性来检测当前运行环境是Android模拟器还是Android真机。现在大部分的Android手机都是哈佛架构(Harvard architecture),把两级cache其中一级的cache分成了平行的两块,分别是专门储存程序指令的高速缓冲存储器cache和储存数据的高速缓冲存储器cache。这平行的两块cache不是同步的,因此一个特定地址的数据值在一个高速缓冲存储器cache中更新了,但是在另一个高速缓冲存储器cache却不会进行更新。图2是Android真机指令执行流程框图。图3是Android模拟器指令执行流程框图。
本发明提供的Android系统的运行环境检测方法具体包括如下步骤:
A.在任意一个地址上执行计算类的指令,在此为了方便叙述,故将该地址命名为$address。
A1.在真机上,该指令会写到专门储存指令的高速缓冲存储器cache上;
A2.而在模拟器中,该计算类指令将会直接写到高速缓冲存储器cache上;
因为模拟器就一个整块的高速缓冲存储器cache,故直接称为高速缓冲存储器cache,不需要区分存储数据和指令。
B.向上述地址$address再写入一个新指令;
B1.真机上的新指令会写入专门储存数据的高速缓冲存储器cache;
B2.模拟器则直接写到高速缓冲存储器cache上;
C.执行上述地址$address的指令。
那么此时,在真机上,会从专门储存指令的高速缓冲存储器cache读指令,也就是会执行第一步的指令即旧指令。而模拟器直接从高速缓冲存储器cache上读指令,会执行第二步的指令即新指令。故此,我们根据执行的指令结果是新指令还是旧指令就可以判断当前运行的环境是模拟器还是真机了。
因为真机和模拟器的高速缓冲存储器cache的结构不同,因此,本发明提供的Android系统的运行环境检测方法,通过高速缓冲存储器cache的结构特性来检测运行环境是否是模拟器。具体地,在任意一个地址上执行计算类的指令,向上述地址再写入一个新指令,执行上述地址的指令,根据执行的是第一个指令还是后来的新指令来判断运行环境是真机还是模拟器。若是执行的是第一个指令即旧指令,则为真机,若是执行的是第二个指令即新指令,则为模拟器。
下面通过实例对本发明做进一步说明。
以下实施例首先是设计一段代码,会向一个特定的地址重新写一个指令。然后由于要重新回到原来的地址再执行一遍,因此本实施例用一个循环来实现,向一个特定的地址重新写一个指令的代码如下:
__asm__volatile(
1"stmfd sp!,{r4-r8,lr}\n"
2"mov r6,#0\n" 用来统计循环次数,debug用的
3"mov r7,#0\n" 为r7赋初值
4"mov r8,pc\n" 4、7行用来获得覆盖$address“新指令”的地址
5"mov r4,#0\n" 为r4赋初值
6"add r7,#1\n" 用来覆盖$address的“新指令”
7"ldr r5,[r8]\n"
8"code:\n"
9"add r4,#1\n" 这就是$address,是对r4加1
10"mov r8,pc\n" 10,11,12行的作用就是把第6行的指令写到第9行
11"sub r8,#12\n"
12"str r5,[r8]\n"
13"add r6,#1\n" r6用来计数
14"cmp r4,#10\n" 控制循环次数
15"bge out\n"
16"cmp r7,#10\n" 控制循环次数
17"bge out\n"
18"b code\n" 10次内的循环调回去
19"out:\n"
20"mov r0,r4\n" 把r4的值作为返回值
21"ldmfd sp!,{r4-r8,pc}\n"
);
根据上面的代码,我们可以得出,r4如果是10,那么就是执行的是旧指令,是在真机上。如果r4等于1,那就是执行了新指令,是在模拟器上。
但是,这里会遇到一个问题,有些内存并没有权限进行读写执行,需要开辟一段新的内存空间来运行上面我们自己写的代码。解决方案是C语言里的mmap函数,这个函数的功能是可以用来开辟一段新的内存,并赋予新内存空间可读可写可执行的权限,把上面编译好的机器代码复制到这个mmap函数里,再调用call函数来跳到开辟的新内存的起始地址来执行上面的代码;可采用如下代码段:
void(*call)(void);//函数指针call
#define PROT PROT_EXEC|PROT_WRITE|PROT_READ//可读可写可执行权限
#define FLAGS MAP_ANONYMOUS|MAP_FIXED|MAP_SHARED
char code[]=//我们上面设计代码的机器码
"\xF0\x41\x2D\xE9\x00\x60\xA0\xE3\x00\x70\xA0\xE3\x0F\x80\xA0\xE1"
"\x00\x40\xA0\xE3\x01\x70\x87\xE2\x00\x50\x98\xE5\x01\x40\x84\xE2"
"\x0F\x80\xA0\xE1\x0C\x80\x48\xE2\x00\x50\x88\xE5\x01\x60\x86\xE2"
"\x0A\x00\x54\xE3\x02\x00\x00\xAA\x0A\x00\x57\xE3\x00\x00\x00\xAA"
"\xF5\xFF\xFF\xEA\x04\x00\xA0\xE1\xF0\x81\xBD\xE8";
void*exec=mmap((void*)0x10000000,(size_t)4096,PROT,FLAGS,-1,(off_t)0);//申请空间
memcpy(exec,code,sizeof(code)+1);
call=(void*)exec;//将申请空间的起始地址赋给函数指针call
call();//调用call执行代码
在上面这段函数中,我们申请了一段可读可写可执行的新内存,然后把汇编代码的机器码复制到内存中,接着调用函数指针call跳到这块内存的起始地址来执行复制的机器码。然后我们在后面取r4的值即可。
__asm__volatile(
"mov%0,r0\n"
:"=r"(a)
:
:
);
把r0,也就是r4的值放到a变量中。然后根据a的值返回不同的值就可以了。方便在应用里判断结果。在真机上测试的结果可以看到r4的值是10,在模拟器执行的结果可以看到r4的值是1,所以执行的是新指令。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (2)
1.一种Android系统的运行环境检测方法,利用高速缓冲存储器cache的特性来检测当前Android系统的运行环境是Android模拟器还是Android真机;包括如下步骤:
1)在任意一个地址$address上执行一个指令,设为旧指令;
2)向上述地址$address写入一个新指令,所述新指令与步骤1)所述旧指令不同;
3)再次执行上述地址$address的指令;
4)根据步骤3)所述指令执行结果,获得步骤3)所执行的指令是所述新指令还是所述旧指令;当步骤3)所执行的指令是所述旧指令,当前Android系统的运行环境是真机;当步骤3)所执行的指令是所述新指令,当前Android系统的运行环境是Android模拟机。
2.如权利要求1所述Android系统的运行环境检测方法,其特征是,当对所述地址$address没有没有权限进行读写执行时,采用C语言mmap方法并调用call函数来实现向所述地址$address写入新指令的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610523168.XA CN106201872A (zh) | 2016-07-05 | 2016-07-05 | 一种Android系统的运行环境检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610523168.XA CN106201872A (zh) | 2016-07-05 | 2016-07-05 | 一种Android系统的运行环境检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106201872A true CN106201872A (zh) | 2016-12-07 |
Family
ID=57464842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610523168.XA Pending CN106201872A (zh) | 2016-07-05 | 2016-07-05 | 一种Android系统的运行环境检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106201872A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106648835A (zh) * | 2016-12-26 | 2017-05-10 | 武汉斗鱼网络科技有限公司 | 检测Android应用程序在安卓模拟器中运行的方法及系统 |
CN107102886A (zh) * | 2017-04-14 | 2017-08-29 | 北京洋浦伟业科技发展有限公司 | 安卓模拟器的检测方法及装置 |
CN107526628A (zh) * | 2017-09-30 | 2017-12-29 | 北京梆梆安全科技有限公司 | 结合底层指令和配置信息的模拟器检测方法及装置 |
CN107633170A (zh) * | 2017-09-30 | 2018-01-26 | 北京梆梆安全科技有限公司 | 一种结合硬件特性与传感器的安卓模拟器检测方法及装置 |
CN107678834A (zh) * | 2017-09-30 | 2018-02-09 | 北京梆梆安全科技有限公司 | 一种基于硬件配置的安卓模拟器检测方法及装置 |
CN107678833A (zh) * | 2017-09-30 | 2018-02-09 | 北京梆梆安全科技有限公司 | 基于操作系统信息的模拟器检测方法及装置 |
CN107729121A (zh) * | 2017-09-30 | 2018-02-23 | 北京梆梆安全科技有限公司 | 模拟器检测方法及装置 |
CN107741907A (zh) * | 2017-09-30 | 2018-02-27 | 北京梆梆安全科技有限公司 | 结合底层指令和系统信息的模拟器检测方法及装置 |
CN107908952A (zh) * | 2017-10-25 | 2018-04-13 | 广州优视网络科技有限公司 | 识别真机和模拟器的方法、装置和终端 |
CN110196795A (zh) * | 2018-06-21 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 检测移动终端应用运行状态的方法及相关装置 |
CN110245467A (zh) * | 2019-05-13 | 2019-09-17 | 西北大学 | 基于Dex2C与LLVM的Android应用程序保护方法 |
CN111367752A (zh) * | 2018-12-26 | 2020-07-03 | 卓望数码技术(深圳)有限公司 | 识别Android真机和模拟器的方法、装置及存储介质 |
CN111382416A (zh) * | 2018-12-27 | 2020-07-07 | 北京右划网络科技有限公司 | 应用程序的运行识别方法、装置,终端设备及存储介质 |
CN111736900A (zh) * | 2020-08-17 | 2020-10-02 | 广东省新一代通信与网络创新研究院 | 一种并行双通道的cache设计方法和装置 |
CN112100615A (zh) * | 2020-09-11 | 2020-12-18 | 北京明略昭辉科技有限公司 | 设备的识别方法及装置、存储介质、电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6681321B1 (en) * | 2000-04-20 | 2004-01-20 | International Business Machines Corporation | Method system and apparatus for instruction execution tracing with out of order processors |
CN104461663A (zh) * | 2014-12-30 | 2015-03-25 | 北京奇虎科技有限公司 | 一种加载其它移动端应用的方法、装置和移动终端 |
-
2016
- 2016-07-05 CN CN201610523168.XA patent/CN106201872A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6681321B1 (en) * | 2000-04-20 | 2004-01-20 | International Business Machines Corporation | Method system and apparatus for instruction execution tracing with out of order processors |
CN104461663A (zh) * | 2014-12-30 | 2015-03-25 | 北京奇虎科技有限公司 | 一种加载其它移动端应用的方法、装置和移动终端 |
Non-Patent Citations (2)
Title |
---|
LEONNEWTON: "利用cache特性检测Android模拟器", 《HTTP://WOOYUN.JOZXING.CC/STATIC/DROPS/TIPS-13245.HTML》 * |
OMNISPACE: "利用cache特性检测Android模拟器", 《HTTP://BLOG.CSDN.NET/OMNISPACE/ARTICLE/DETAILS/50999165》 * |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106648835A (zh) * | 2016-12-26 | 2017-05-10 | 武汉斗鱼网络科技有限公司 | 检测Android应用程序在安卓模拟器中运行的方法及系统 |
CN107102886A (zh) * | 2017-04-14 | 2017-08-29 | 北京洋浦伟业科技发展有限公司 | 安卓模拟器的检测方法及装置 |
CN107526628A (zh) * | 2017-09-30 | 2017-12-29 | 北京梆梆安全科技有限公司 | 结合底层指令和配置信息的模拟器检测方法及装置 |
CN107633170A (zh) * | 2017-09-30 | 2018-01-26 | 北京梆梆安全科技有限公司 | 一种结合硬件特性与传感器的安卓模拟器检测方法及装置 |
CN107678834A (zh) * | 2017-09-30 | 2018-02-09 | 北京梆梆安全科技有限公司 | 一种基于硬件配置的安卓模拟器检测方法及装置 |
CN107678833A (zh) * | 2017-09-30 | 2018-02-09 | 北京梆梆安全科技有限公司 | 基于操作系统信息的模拟器检测方法及装置 |
CN107729121A (zh) * | 2017-09-30 | 2018-02-23 | 北京梆梆安全科技有限公司 | 模拟器检测方法及装置 |
CN107741907A (zh) * | 2017-09-30 | 2018-02-27 | 北京梆梆安全科技有限公司 | 结合底层指令和系统信息的模拟器检测方法及装置 |
CN107908952B (zh) * | 2017-10-25 | 2021-04-02 | 阿里巴巴(中国)有限公司 | 识别真机和模拟器的方法、装置和终端 |
CN107908952A (zh) * | 2017-10-25 | 2018-04-13 | 广州优视网络科技有限公司 | 识别真机和模拟器的方法、装置和终端 |
CN110196795A (zh) * | 2018-06-21 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 检测移动终端应用运行状态的方法及相关装置 |
CN110196795B (zh) * | 2018-06-21 | 2022-03-04 | 腾讯科技(深圳)有限公司 | 检测移动终端应用运行状态的方法及相关装置 |
CN111367752A (zh) * | 2018-12-26 | 2020-07-03 | 卓望数码技术(深圳)有限公司 | 识别Android真机和模拟器的方法、装置及存储介质 |
CN111367752B (zh) * | 2018-12-26 | 2023-08-01 | 卓望数码技术(深圳)有限公司 | 识别Android真机和模拟器的方法、装置及存储介质 |
CN111382416A (zh) * | 2018-12-27 | 2020-07-07 | 北京右划网络科技有限公司 | 应用程序的运行识别方法、装置,终端设备及存储介质 |
CN111382416B (zh) * | 2018-12-27 | 2022-09-30 | 北京右划网络科技有限公司 | 应用程序的运行识别方法、装置,终端设备及存储介质 |
CN110245467A (zh) * | 2019-05-13 | 2019-09-17 | 西北大学 | 基于Dex2C与LLVM的Android应用程序保护方法 |
CN110245467B (zh) * | 2019-05-13 | 2023-02-07 | 西北大学 | 基于Dex2C与LLVM的Android应用程序保护方法 |
CN111736900A (zh) * | 2020-08-17 | 2020-10-02 | 广东省新一代通信与网络创新研究院 | 一种并行双通道的cache设计方法和装置 |
CN112100615A (zh) * | 2020-09-11 | 2020-12-18 | 北京明略昭辉科技有限公司 | 设备的识别方法及装置、存储介质、电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106201872A (zh) | 一种Android系统的运行环境检测方法 | |
Cheng et al. | ROPecker: A generic and practical approach for defending against ROP attack | |
Hebbal et al. | Virtual machine introspection: Techniques and applications | |
Wang et al. | Numchecker: Detecting kernel control-flow modifying rootkits by using hardware performance counters | |
CN102622536B (zh) | 一种恶意代码捕获方法 | |
CN103064784B (zh) | 面向Xen环境的运行时内存泄漏检测方法及其实现系统 | |
Jang et al. | Atra: Address translation redirection attack against hardware-based external monitors | |
JP2004517390A (ja) | 解析仮想マシン | |
CN103310152B (zh) | 基于系统虚拟化技术的内核态Rootkit检测方法 | |
CN103793651B (zh) | 基于Xen虚拟化的内核完整性检测方法 | |
CN104715202A (zh) | 一种虚拟机中的隐藏进程检测方法和装置 | |
Shi et al. | ShadowMonitor: An effective in-VM monitoring framework with hardware-enforced isolation | |
CN106096455A (zh) | 一种主机内核数据还原保护方法 | |
Wang et al. | Making information hiding effective again | |
Yehuda et al. | Hypervisor memory acquisition for ARM | |
Wang et al. | Exploring efficient and robust virtual machine introspection techniques | |
Zhan et al. | A low-overhead kernel object monitoring approach for virtual machine introspection | |
Tian et al. | A policy‐centric approach to protecting OS kernel from vulnerable LKMs | |
Mao et al. | HVSM: An In-Out-VM security monitoring architecture in IAAS cloud | |
Zhan et al. | Protecting critical files using target-based virtual machine introspection approach | |
Joy et al. | A host based kernel level rootkit detection mechanism using clustering technique | |
Tian et al. | KEcruiser: A novel control flow protection for kernel extensions | |
CN109388948A (zh) | 一种基于虚拟化技术的潜在恶意软件分析方法及相关装置 | |
Zhan et al. | SAVM: A practical secure external approach for automated in‐VM management | |
Wang et al. | Hprove: A hypervisor level provenance system to reconstruct attack story caused by kernel malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |
|
RJ01 | Rejection of invention patent application after publication |