CN111949362A - 一种基于虚拟化技术的主机信息采集方法 - Google Patents

一种基于虚拟化技术的主机信息采集方法 Download PDF

Info

Publication number
CN111949362A
CN111949362A CN201910398055.5A CN201910398055A CN111949362A CN 111949362 A CN111949362 A CN 111949362A CN 201910398055 A CN201910398055 A CN 201910398055A CN 111949362 A CN111949362 A CN 111949362A
Authority
CN
China
Prior art keywords
information
behavior
execution
host
register
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910398055.5A
Other languages
English (en)
Inventor
贾晓启
杜海超
白璐
黄庆佳
王笑语
解亚敏
武希耀
唐静
付玉霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910398055.5A priority Critical patent/CN111949362A/zh
Publication of CN111949362A publication Critical patent/CN111949362A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明提出一种基于虚拟化技术的主机信息采集方法,包括以下步骤:在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起行为的进程相关信息;对捕获的发起行为的进程相关信息进行语义重构,将底层信息翻译为操作系统级的语义信息;当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。本发明方法设置监控点位于虚拟机监控器中,无需在用户虚拟机中部署监控代理,同时,虚拟机内部的操作无法更改监控层代码,保证了透明性与安全性。

Description

一种基于虚拟化技术的主机信息采集方法
技术领域
本发明涉及虚拟化监控技术领域,提供了一种基于虚拟化技术的主机信息采集方法。
背景技术
当前许多高级恶意代码运行之前会检测运行环境,一旦发现自己在虚拟机环境中,会改变操作行为隐蔽恶意动作,逃避检测。为了不影响恶意代码的原有行为,可以利用虚拟化技术构建虚拟高仿真网络系统,使攻击者无法分辨真实网络目标和虚拟环境。构建虚拟高仿真网络系统,需要对构建的虚拟化系统进行监控,采集目标主机信息。
目前,大多数细粒度的监控系统都是从虚拟机的内部进行信息采集。内部监控是修改目标操作系统内核,通过Hook进行内部事件捕获,如文件读写、进程创建等事件。但是,由于需要修改操作系统内核,这种技术对被监控的操作系统不透明。并且,目标操作系统不可信,这种信息采集方法容易被攻击,内核中的Hook函数需要虚拟机监视器(VMM)添加内核保护模块进行额外保护,因此内部监控方式不具有通用性。
相反,外部监控从目标操作系统的外部进行监控,将监控点部署在虚拟机监控器当中,不需要在目标操作系统中植入任何模块,并且一定可以拦截到目标虚拟机的内部事件。但是,这种方法得到的信息是低级别语义,如内存信息、文件块访问等,需要进行语义重构,将内存的二进制01数据翻译为操作系统的数据结构信息,如当前进程列表、文件列表等。
发明内容
本发明的目的是提出一种基于虚拟化技术的主机信息采集方法,依据虚拟化平台的特点,通过外部监控及静态和动态的方式,采集并分析虚拟机中的关键信息和关键数据行为信息。
为达到上述目的,本发明采用以下技术方案:
一种基于虚拟化技术的主机信息采集方法,包括以下步骤:
在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起行为的进程相关信息;
对捕获的发起行为的进程相关信息进行语义重构,将底层信息翻译为操作系统级的语义信息;
当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;
根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。
进一步地,发起行为的进程相关信息包括:虚拟主机基本信息、虚拟主机文件操作信息、虚拟主机网络操作信息、虚拟主机注册表操作信息、虚拟主机进程操作信息、虚拟主机进程信息。
进一步地,捕获方法包括以下步骤:
设置捕获点,使int80/sysenter指令执行之后引发缺页中断;
虚拟机产生的缺页中断陷入到处于root模式下的VMM中进行处理;
VMM判断客户机陷入时刻是否为系统调用点,若是则进行入口点的信息捕获;
确定函数返回地址,从VMM在入口处为返回注入中断,设置回调函数并保存客户机上下文,将控制权交还给虚拟主机;
虚拟主机在执行到返回函数时中断发生陷入,在VMM中通过上下文匹配获取入口点信息,完成发起行为的进程相关信息捕获。
进一步地,对于windows操作系统,语义重构包括以下步骤:
访问GUEST_FS_BASE寄存器的值,获得虚拟主机操作系统中FS寄存器的值;
windows内核态下,FS寄存器指向当前处理器控制区KPCR;在KPCR数据结构中,偏移0x124处存放指向KTHREAD的指针,偏移0x44处存放EPROCESS结构的指针;在EPROCESS结构中,偏移0x18处存放CR3信息,偏移0x84处存放进程的pid信息,偏移0x174处存放进程的名字信息;
按照上述偏移值,采用硬编码的形式依次访问内存,获取当前的进程信息。
进一步地,在进行备份处理后,如果发现为误报,则恢复该进程相关的所有受控进程,不再对相关进程进行捕获和控制。
进一步地,备份包括以下步骤:
为已被修改过的进程注入fork系统调用,判断注入点处代码是否已被修改过,如果已被修改过,则保存eax寄存器并改为fork系统调用号;
如果代码没有被修改过,则保存eax寄存器并改为fork系统调用号外,以及从eip寄存器中获取下一条指令的线性地址并保存,修改此处开始的进程代码段的4个字节,将其值改为int3、int80、int3;
将客户机的int3中断陷入开启,使其在出现int3中断时主动陷入VMM;注入完成后,将虚拟主机的eip改为int80指令的地址,使其在恢复执行时跳过第一个int3中断直接进行系统调用创建子进程;
采用sched_yield系统调用让新创建的子进程睡眠,虚拟主机执行int80后创建出的子进程作为备份进程,修改eax寄存器为sched_yield系统调用号,并修改eip寄存器使其指向int80指令地址;如果检测到备份进程被调度,则注入sched_yield,直到需要恢复进程。
进一步地,主机行为控制包括:
对于mmap/shmget/msgget行为,允许执行;
对于write/read行为,通过修改参数控制执行;
对于fork/clone行为,不允许执行;
对于pipe系统调用,允许其执行。
一种基于虚拟化技术的主机信息采集系统,包括:
主机行为捕获模块,用于在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起的进程和行为信息;
语义重构模块,用于对捕获的进程和行为信息进行语义重构,将底层信息翻译为操作系统级的语义信息;
状态备份与释放模块,用于当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;
主机行为控制模块,用于根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。
与现有技术相比,本发明方法的优点是:本发明方法设置监控点位于虚拟机监控器中,无需在用户虚拟机中部署监控代理,同时,虚拟机内部的操作无法更改监控层代码,保证了透明性与安全性。
附图说明
图1是本发明一基于虚拟化的主机信息采集系统整体框架图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合和事例对本发明中技术核心作进一步详细的说明。
本实施例提出一种基于虚拟化技术的主机信息采集方法,如图1所示,具体说明如下。
1)基于虚拟化的主机行为的进程相关信息捕获
行为捕获以系统调用为粒度,由于捕获的时间点在系统调用行为发生之前并且需要具备普适性,因此将捕获点设置在int80/sysenter指令执行结束,下一条指令执行之前。
当主机成功陷入VMM的中断处理函数之后,通过主机行为捕获模块获取客户机中发起行为的进程相关信息,包括:对于文件相关行为获取操作文件路径,对于进程相关行为获取操作系统目标进程ID,还包括通用信息如系统调用号、产生该行为的进程ID。具体包括:虚拟主机基本信息、虚拟主机文件操作信息、虚拟主机网络操作信息、虚拟主机注册表操作信息、虚拟主机进程操作信息、虚拟主机进程信息。
为使虚拟主机用户无法感知采集环境的存在,对上述采集行为进行无感知处理,相对用户透明。
基于虚拟化的发起行为的进程相关信息捕获具体包括以下步骤:
步骤1:在int80/sysenter指令执行结束后,下一条指令执行之前设置捕获点,使int80和sysenter指令执行之后引发缺页中断;
步骤2:在硬件辅助虚拟化之下,虚拟机产生的缺页中断陷入到处于root模式下的VMM中进行处理;
步骤3:VMM首先判断陷入原因,然后进入缺页中断处理流程,此过程中判断客户机陷入时刻是否为系统调用点,若是则进行入口点的信息捕获;
步骤4:为进行返回时的信息捕获,需要确定函数返回地址,从VMM在入口处为返回注入中断,设置回调函数并保存客户机上下文,然后将控制权交还给虚拟主机;
步骤5:虚拟主机在执行到返回函数时由于中断发生陷入,在VMM中通过上下文匹配获取入口点信息进而完成发起行为的进程相关信息捕获。
2)语义重构
由于VMM工作在虚拟主机的下一层,得到的是低级语义信息,如寄存器、内存等信息,为难以读懂的二进制信息。因此为了理解虚拟主机的发生的事件,需要弥补语义鸿沟,利用语义重构模块将底层信息翻译为操作系统级的语义信息。对于进程监控,语义重构包括两种情况,一种是对于当前进程的语义重构,另一种是当进程A结束进程B时,进程B的语义重构,此时进程A为当前进程。
语义重构具体包括以下步骤(以重构windows操作系统语义为例):
步骤1:访问GUEST_FS_BASE寄存器的值,获得虚拟主机操作系统中FS寄存器的值;
步骤2:windows内核态下,FS寄存器指向当前处理器控制区KPCR,根据KPCR数据结构,在偏移0x124的位置存放指向KTHREAD的指针,该结构中,偏移0x44处存放EPROCESS结构的指针,EPROCESS结构中,偏移0x18存放CR3信息,偏移0x84存放进程的pid信息,偏移0x174处存放进程的名字信息。
步骤3:按照上述偏移值,采用硬编码的形式,依次访问内存,即可获取当前的进程信息,如eprocess、CR3、pid、imagename等。
3)基于虚拟化的客户机状态备份与释放
当主机行为捕获模块将可疑进程的ID传递进来时,状态备份与释放模块对该进程进行备份处理。当发现报警为误报时,状态备份与释放模块将负责恢复所有受控进程,不再对相关进程进行行为捕获和控制。经过行为恢复,客户机系统将变为所有进程正常运行到此时的状态。备份处理的时间点是捕获进程通知状态备份与释放模块可疑进程的ID,或出现某一进程与受控进程存在依赖关系时。本步骤主动注入行为到虚拟主机中,让虚拟主机自动完成备份工作,无需修改虚拟主机代码,且不需要在VMM中添加大量代码。为进程注入一个fork系统调用,当虚拟主机将会执行此系统调用自动创建出一个子进程作为备份进程,父进程正常执行。
主机状态备份具备包括以下步骤:
步骤1:已被修改过的进程注入fork系统调用。首先,判断注入点处代码是否已经被修改过,如果已经被修改过,则只需要将此时的eax寄存器值保存下来,然后修改为fork的系统调用号;
步骤2:修改进程代码段。如果代码没有被修改过,则除了要保存eax寄存器并改为fork系统调用号外,还要从eip寄存器中获取下一条指令的线性地址并保存,然后修改此处开始的进程代码段的4个字节,将其值改为int3、int80、int3,其中int3指令的机器码为CC,int80的机器码为CD 80,三条指令占用四个字节。其中int80指令用于产生fork系统调用,int3指令用来产生客户机到VMM的主动陷入。由于之后还需要恢复这段代码的原本内容,因此修改之前要注意保存该位置原来的内容以便后续的恢复工作;
步骤3:将客户机的int3中断陷入开启,使其在出现int3中断时主动陷入VMM。注入完成之后,将虚拟主机的eip改为int80指令的地址,使其在恢复执行时跳过第一个int3中断直接进行系统调用创建子进程;
步骤4:采用sched_yield系统调用让新创建的子进程睡眠。虚拟主机执行int80后创建出的子进程作为备份进程,应该暂停在此状态而不是调度执行,因此可以修改eax寄存器为sched_yield系统调用号,并修改eip寄存器使其指向int80指令地址。如果检测到备份进程被调度,则注入sched_yield,直到需要恢复进程。
4)基于虚拟化的主机行为控制
行为控制包括根据捕获到的行为类型形成进程间的依赖关系(进程之间的直接或间接的交互关系),并对进程行为进行相应控制。主机行为捕获模块将捕获到的进程信息和行为信息最终传递给主机行为控制模块,主机行为控制模块首先判断行为是否来自受控进程,若不是则不做处理,若是则判断该行为是否需要被控制,若需要被控制,则通过相应的方式进行控制。
主机行为控制具体包括以下步骤:
步骤1:对于mmap/shmget/msgget行为,因为该行为未对系统产生实质性影响,所以采取允许其执行的控制方式;
步骤2:对于write/read行为,需要控制其执行,控制方式是修改参数;
步骤3:针对fork和clone行为,不允许执行。在系统调用执行修改之前修改其系统调用号使其执行另一个系统调用,选择无副作用的而系统调用,不改变客户寄存器、内存以及磁盘状态,并且与fork或clone调用的参数个数保持一致,如将fork系统调用改为getpid,这样返回客户机执行时将会执行getpid而不会创建子进程;
步骤4:对于pipe系统调用,允许其执行。因为pipe常与fork捆绑使用,当fork受控时,pipe也无法起到相应的效果。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (8)

1.一种基于虚拟化技术的主机信息采集方法,包括以下步骤:
在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起行为的进程相关信息;
对捕获的发起行为的进程相关信息进行语义重构,将底层信息翻译为操作系统级的语义信息;
当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;
根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。
2.如权利要求1所述的方法,其特征在于,发起行为的进程相关信息包括:虚拟主机基本信息、虚拟主机文件操作信息、虚拟主机网络操作信息、虚拟主机注册表操作信息、虚拟主机进程操作信息、虚拟主机进程信息。
3.如权利要求1或2所述的方法,其特征在于,捕获方法包括以下步骤:
设置捕获点,使int80/sysenter指令执行之后引发缺页中断;
虚拟机产生的缺页中断陷入到处于root模式下的VMM中进行处理;
VMM判断客户机陷入时刻是否为系统调用点,若是则进行入口点的信息捕获;
确定函数返回地址,从VMM在入口处为返回注入中断,设置回调函数并保存客户机上下文,将控制权交还给虚拟主机;
虚拟主机在执行到返回函数时中断发生陷入,在VMM中通过上下文匹配获取入口点信息,完成发起行为的进程相关信息捕获。
4.如权利要求1所述的方法,其特征在于,对于windows操作系统,语义重构包括以下步骤:
访问GUEST_FS_BASE寄存器的值,获得虚拟主机操作系统中FS寄存器的值;
windows内核态下,FS寄存器指向当前处理器控制区KPCR;在KPCR数据结构中,偏移0x124处存放指向KTHREAD的指针,偏移0x44处存放EPROCESS结构的指针;在EPROCESS结构中,偏移0x18处存放CR3信息,偏移0x84处存放进程的pid信息,偏移0x174处存放进程的名字信息;
按照上述偏移值,采用硬编码的形式依次访问内存,获取当前的进程信息。
5.如权利要求1所述的方法,其特征在于,在进行备份处理后,如果发现为误报,则恢复该进程相关的所有受控进程,不再对相关进程进行捕获和控制。
6.如权利要求1所述的方法,其特征在于,备份包括以下步骤:
为已被修改过的进程注入fork系统调用,判断注入点处代码是否已被修改过,如果已被修改过,则保存eax寄存器并改为fork系统调用号;
如果代码没有被修改过,则保存eax寄存器并改为fork系统调用号外,以及从eip寄存器中获取下一条指令的线性地址并保存,修改此处开始的进程代码段的4个字节,将其值改为int3、int80、int3;
将客户机的int3中断陷入开启,使其在出现int3中断时主动陷入VMM;注入完成后,将虚拟主机的eip改为int80指令的地址,使其在恢复执行时跳过第一个int3中断直接进行系统调用创建子进程;
采用sched_yield系统调用让新创建的子进程睡眠,虚拟主机执行int80后创建出的子进程作为备份进程,修改eax寄存器为sched_yield系统调用号,并修改eip寄存器使其指向int80指令地址;如果检测到备份进程被调度,则注入sched_yield,直到需要恢复进程。
7.如权利要求1所述的方法,其特征在于,主机行为控制包括:允许mmap/shmget/msgget行为的执行,通过修改参数控制write/read行为的执行,不允许fork/clone行为的执行,允许pipe系统调用的执行。
8.一种基于虚拟化技术的主机信息采集系统,包括:
主机行为捕获模块,用于在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起的进程和行为信息;
语义重构模块,用于对捕获的进程和行为信息进行语义重构,将底层信息翻译为操作系统级的语义信息;
状态备份与释放模块,用于当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;
主机行为控制模块,用于根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。
CN201910398055.5A 2019-05-14 2019-05-14 一种基于虚拟化技术的主机信息采集方法 Pending CN111949362A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910398055.5A CN111949362A (zh) 2019-05-14 2019-05-14 一种基于虚拟化技术的主机信息采集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910398055.5A CN111949362A (zh) 2019-05-14 2019-05-14 一种基于虚拟化技术的主机信息采集方法

Publications (1)

Publication Number Publication Date
CN111949362A true CN111949362A (zh) 2020-11-17

Family

ID=73335905

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910398055.5A Pending CN111949362A (zh) 2019-05-14 2019-05-14 一种基于虚拟化技术的主机信息采集方法

Country Status (1)

Country Link
CN (1) CN111949362A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116149800A (zh) * 2023-04-18 2023-05-23 成都云祺科技有限公司 Kvm虚拟机应用层无代理cdp方法、系统及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521537A (zh) * 2011-12-06 2012-06-27 北京航空航天大学 基于虚拟机监控器的隐藏进程检测方法和装置
US20160085568A1 (en) * 2014-09-18 2016-03-24 Electronics And Telecommunications Research Institute Hybrid virtualization method for interrupt controller in nested virtualization environment
CN106844002A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于虚拟化技术的云平台客户机系统可用性提升方法
CN107239320A (zh) * 2017-04-11 2017-10-10 中国科学院信息工程研究所 基于虚拟化技术的实时保存客户机中进程状态的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521537A (zh) * 2011-12-06 2012-06-27 北京航空航天大学 基于虚拟机监控器的隐藏进程检测方法和装置
US20160085568A1 (en) * 2014-09-18 2016-03-24 Electronics And Telecommunications Research Institute Hybrid virtualization method for interrupt controller in nested virtualization environment
CN106844002A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于虚拟化技术的云平台客户机系统可用性提升方法
CN107239320A (zh) * 2017-04-11 2017-10-10 中国科学院信息工程研究所 基于虚拟化技术的实时保存客户机中进程状态的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
崔竞松;田昌友;郭迟;尹雪;: "CloudStack恶意隐藏进程监测框架设计", 计算机工程, no. 02, 15 February 2016 (2016-02-15) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116149800A (zh) * 2023-04-18 2023-05-23 成都云祺科技有限公司 Kvm虚拟机应用层无代理cdp方法、系统及存储介质
CN116149800B (zh) * 2023-04-18 2023-06-23 成都云祺科技有限公司 Kvm虚拟机应用层无代理cdp方法、系统及存储介质

Similar Documents

Publication Publication Date Title
CN108133139B (zh) 一种基于多运行环境行为比对的安卓恶意应用检测系统
CN106991324B (zh) 一种基于内存保护类型监控的恶意代码跟踪识别方法
EP3039608B1 (en) Hardware and software execution profiling
CA2856268C (en) Methods of detection of software exploitation
JP4518564B2 (ja) 不正コード実行の防止方法、不正コード実行の防止用プログラム、及び不正コード実行の防止用プログラムの記録媒体
WO2013082437A1 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
JP7144642B2 (ja) フォレンジクスのための動作ベースのvmリソースキャプチャ
CN113946825B (zh) 一种内存马处理方法及系统
EP3652667B1 (en) System and method for detecting malware injected into memory of a computing device
CN116502220B (zh) 一种对抗性Java内存马的检测方法及处理方法
KR101974989B1 (ko) 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
CN113467981A (zh) 异常处理的方法和装置
Tang et al. Towards dynamically monitoring android applications on non-rooted devices in the wild
CN105205398A (zh) 一种基于apk加壳软件动态行为的查壳方法
JP2004303114A (ja) インタープリタおよびネイティブコード実行方法
CN113176926B (zh) 一种基于虚拟机自省技术的api动态监控方法及系统
CN110737888A (zh) 虚拟化平台操作系统内核数据攻击行为检测方法
CN108228319B (zh) 一种基于多桥的语义重构方法
CN111949362A (zh) 一种基于虚拟化技术的主机信息采集方法
CN111177716B (zh) 一种内存中可执行文件获取方法、装置、设备及存储介质
Ruan et al. Analyzing android application in real-time at kernel level
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
CN109344028B (zh) 一种免超级用户权限的进程行为监控装置与方法
EP2819055B1 (en) System and method for detecting malicious software using malware trigger scenarios
CN106844002B (zh) 一种基于虚拟化技术的云平台客户机系统可用性提升方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination