CN101770551A - 一种基于硬件模拟器的处理隐藏进程的方法 - Google Patents

一种基于硬件模拟器的处理隐藏进程的方法 Download PDF

Info

Publication number
CN101770551A
CN101770551A CN200810241102A CN200810241102A CN101770551A CN 101770551 A CN101770551 A CN 101770551A CN 200810241102 A CN200810241102 A CN 200810241102A CN 200810241102 A CN200810241102 A CN 200810241102A CN 101770551 A CN101770551 A CN 101770551A
Authority
CN
China
Prior art keywords
hidden process
instruction
cpu
hidden
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200810241102A
Other languages
English (en)
Inventor
杨轶
苏璞睿
司端锋
冯登国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CN200810241102A priority Critical patent/CN101770551A/zh
Publication of CN101770551A publication Critical patent/CN101770551A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

本发明属于网络安全技术领域,具体涉及一种基于硬件模拟器的处理隐藏进程的方法。本发明通过在模拟硬件环境上构建隐藏代码中恶意代码的运行环境,操纵和控制模拟CPU指令和各种模拟内存的访问操作,以CR3寄存器中CR3值为标志,检测出隐藏进程,监控隐藏进程的运行过程,由数据采集模块记录隐藏进程中恶意代码的运行信息;本发明同时提供从虚拟内存中直接提取恶意代码镜像。本发明的模拟硬件设备的所有虚拟CPU的指令和各种硬件操作都在翻译之后模拟执行,而不是直接使用代码片段在真实机器上执行,可在指令运行过程中精确计算该条指令运行的时间,从而实现对隐藏进程中恶意代码完全透明的分析。

Description

一种基于硬件模拟器的处理隐藏进程的方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于硬件模拟器的处理隐藏进程的方法。
背景技术
随着社会的不断发展和进步,计算机在社会各个领域的应用越来越广泛。由于软件漏洞的广泛存在和用户安全意识的不足,木马的传播速度越来越快,感染范围不断扩大,造成的破坏日益严重。同时由于底层技术的研究不断深入,越来越多的隐藏进程手段为木马所利用。传统的安全防护手段由于受分析效率和实现环境的限制,响应周期难以缩短,响应速度已经逐渐不能适应这种新情况。因此,提高对隐藏进程的检测准确性和分析能力显得十分必要。
现有的隐藏进程检测工具,如Process Explorer、IceSword、GMER等,全部依赖于内存格式的分析和操作***底层数据的挖掘。在某些情况下,甚至必须对操作***进行修改,如Hook***函数,或者通过PsSetCreateProcessNotifyRoutine注册回调函数,才能实现相应的功能。而由于对操作***做修改,本身会引起完整性问题,因此被修改的数据补丁或者注册的函数很容易被木马发现,并产生相应的对抗手段。同时由于当前的隐藏进程检测和分析工具,都是在跟恶意代码同一平台运行,在对***的控制权上和恶意代码产生竞争关系,不利于准确而稳定的实现检测与分析。
当前的隐藏进程检测技术,通常使用如下的几种方法:
1.遍历EPROCESS表来查找隐藏进程
该方法仅限于检测Ring3级用户模式隐藏的进程,当前的木马一般都会使用断开EPROCESS链表的方法来隐藏自身。因此通过遍历EPROCESS表的方法在目前几乎等于无效。
2.遍历EPROCESS结构中包含的HandleTable双链表来实现隐藏进程检测。
恶意代码可以将自身的HandleTable从该链表上断开,对运行无影响。
3.遍历CSRSS中的句柄表。
因为CSRSS进程包含其他所有进程的句柄,故通过遍历句柄表的方式可以找到其他进程的对象结构。
恶意代码可以通过擦除CSRSS进程中指向自身的句柄来实现进程隐藏功能。
4.遍历操作***调度表。
在XP***上,存在两个调度表。KiReadyList和KiWaitList,通过遍历这两个链表,可以查到当前操作***中都有哪些进程处于执行状态和等待状态。恶意代码可以通过Hook API的方法将进程调度记录从这两个链表上摘下。
5.遍历PspCidTable内核句柄表。
该句柄表存放着***中所有的进程和线程的句柄。恶意代码可以将PspCidTable指向自身的指针清空,这种方法可以实现隐藏,但是会带来***的不稳定。
6.Hook SwapContext函数。
通过Hook SwapContext函数,反木马程序可以获得操作***调用的所有过程,并在这个过程中实现各种隐藏进程的检测。但是这样存在一个问题,即因为和木马程序同处在一个平台上。木马可以采用覆盖函数指令的方法来摘除钩子。
目前分析隐藏进程中恶意代码的虚拟机调试分析方法,应用VMware、VirtualPC等虚拟机***实现。虚拟机***将虚拟指令直接交给本地的真实CPU执行,同时自身存在后门。隐藏进程中的恶意代码可通过检查代码执行时间,或者调用虚拟机后门功能的方法判别自己在一个虚拟***上运行,采取操作隐藏真实功能。
综上,目前检测隐藏进程的主要缺陷在于:隐藏进程和恶意代码处于同一层次上,容易被恶意代码检测并产生相应的对抗手段;过度依赖操作***内核数据完整性,基于虚拟化的分析技术虚拟化程度不高,准确率不高。而分析隐藏进程中恶意代码的方法是使用Hook***API的方法监控进程,恶意代码通过读取硬盘上***文件对内存中的代码进行覆盖即可使之失效;虚拟机调适方法采用的虚拟机,依赖本地CPU,而不能模拟多种CPU。
发明内容
本发明提供一种基于硬件模拟器的处理隐藏进程的方法,通过构建恶意代码运行环境,操纵和控制模拟CPU指令和各种模拟硬件的访问操作,硬件模拟器中的数据采集模块收集***中所有进程的信息,以CR3为标志,检测隐藏进程;监控所有进程的运行过程,从虚拟内存中直接提取恶意代码镜像,分析监控数据,并以HTML或SQL格式输出。
一种基于硬件模拟器的处理隐藏进程的方法,其步骤如下:
1、按照目标文件在硬盘上的数据块排序,将数据块顺次添加到虚拟硬盘,转换为硬件模拟器识别的操作***镜像;
2、配置镜像路径、硬件模拟器的模拟内存大小及模拟CPU的类型;硬件模拟器加载步骤1)中的操作***镜像,并启动该操作***;
3、虚拟CPU执行指令时,查找CR3寄存器中是否出现新的CR3值,若出现新CR3值,则遍历操作***所有的EPROCESS结构是否包含有该CR3值;若不存在包含有该CR3值的EPROCESS结构,则将该CR3值对应的隐藏进程检测出来;
4、利用硬件模拟器读取所述隐藏进程的内存,获取隐藏进程加载的动态库;比较所述动态库的导出表中的名称与API表中的名称,获取所述导出表中所有API的地址,构建API表;
5、判断所述检测出的隐藏进程的EIP与API表每个函数的第一条指令是否匹配,若匹配,则读取堆栈和寄存器获取函数参数和返回值,在虚拟内存中监控并读取参数对应执行的指令,数据采集模块记录该指令及该指令执行的数据,并返回给用户。
进一步,在上述步骤3)前若存在提取代码镜像的请求,则在监控隐藏进程的执行指令时,读取物理内存中的代码,确定需要读取的文件在内存中的范围;并根据内存页表找到相应的内存页在虚拟物理内存的位置,依据偏移一次性读出代码镜像。
每个进程有自己4G地址空间,当进程切换时,就需要切换地址空间,也就是切换页目录页表,所以每个进程都需要保存自己页目录的地址。对于执行地址转换的CPU来说需要知道页目录所在物理页的物理地址就可以进行地址转换。对于维护进程的页目录和页表的***来说,需要把页目录和页表所在的物理页映射到地址空间中。当前x86系列CPU的地址翻译过程,依赖于进程的页表。操作***为了表示进程的地址空间,为进程创建单独了页表。当进程执行时,页表的物理地址存放在CPU的CR3寄存器中。由于x86系列CPU页表读取和使用架构的限制,任意两个进程的页表物理地址都不相同。
本发明的优点和积极效果如下:
1.本发明由于数据采集通过硬件模拟技术实现,而不是将恶意代码放在真实的CPU上执行,恶意代码无法感知自身是否运行在虚拟环境中,也无法分辨自身是否被跟踪,从而实现对恶意代码完全透明的分析。
2.本发明的模拟硬件设备的所有虚拟CPU的指令和各种硬件操作都在翻译之后模拟执行,而不是直接使用代码片段在真实机器上执行,可在指令运行过程中精确计算该条指令运行的时间,从而保证了虚拟环境的透明性。
3.本发明在硬件模拟器的层次比较,不需要对操作***做任何修改,提高了***对于恶意代码的透明度,使监控难以被恶意代码检测。
附图说明
图1基于硬件模拟器的隐藏进程检测方法示意图。
图2基于硬件模拟器的隐藏进程检测和分析流程图。
具体实施方式
下面结合附图详细说明本发明的技术方案:
如图1所示,一种基于硬件模拟器的处理隐藏进程的方法,包括步骤:
1、创建目标文件运行所需的操作***镜像
本发明采用线性寻址的方法,读取怀疑有恶意代码的目标样本所在磁盘的所有内容。按照该硬盘分区上所有数据块的排序,分块从硬盘上读出来,然后根据其序号的先后顺序,将读取的数据顺次添加到一个文件中,该文件作为虚拟的硬盘使用,获得硬件模拟器识别的数据镜像文件。
2、配置并启动硬件模拟器
配置镜像路径,获取实际运行的操作***镜像所在位置;配置硬件模拟器的模拟内存大小、***启动时间及模拟CPU的类型。完成虚拟内存的初始化后,硬件模拟器加载上述操作***镜像,并启动该操作***。
其中,本发明的虚拟内存通过在真实机器上直接申请相应大小的内存进行模拟。配置模拟内存的大小是虚拟操作***运行的基础,模拟内存设置越大,则虚拟操作***运行越快。本实施例给出模拟内存的大小配置在216M~1G之间。
本发明定义当前模拟CPU的类型,是通过硬件模拟器的译码模块获得,使得模拟CPU的指令转化为本地CPU的指令再运行,在虚拟机上运转的操作***能够正确的执行指令,本发明可以模拟多种CPU。例如:若当前的镜像是从一台P4的机器上读取出来,则本发明需要将硬件模拟器模拟CPU的类型配置为P4,而不能是ARM或者MIPS等其他类型CPU,否则该操作***无法正确运行。若真实CPU是Intel P4,而本发明硬件模拟器模拟的CPU是ARM,则需利用译码模块将ARM的指令转化为一条或者多条Intel P4的指令。
对于某些恶意代码在不同的时间会有不同的表现,通过在虚拟的BIOS中写入数据定义***的启动时间,如黑色星期五病毒,只有在13号同时是星期五的时候才会发作。通过定义虚拟***时间的方法,使恶意代码表现出不同的行为,便于检测出隐藏进程中的恶意代码。
3、虚拟CPU执行指令,并检测隐藏进程
每个进程都由一个EPROCESS块来表示,EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。在实际的执行过程中,对CPU执行状态的CR3寄存器不断进行检查,若CR3寄存器中出现新的CR3值后,则通过EPROCESS结构中的ActiveProcessLink双向链表遍历***所有的EPROCESS结构,查找是否存在包含该CR3值的EPROCESS结构;若遍历后没有找到包含有该CR3值的EPROCESS结构,则该CR3值对应的当前进程是隐藏进程,对其进行监控。
4、监控具有上述CR3值的隐藏进程执行的所有指令和***调用
应用层的程序通过API来访问操作***。本实施例使用地址比较的方法获取***调用。在Windows操作***中,进程的加载包括如下步骤:
1)创建进程的内存地址。
2)映射进程可执行文件。
3)映射进程需要加载的动态库文件。
4)配置进程运行需要的其他操作***资源。
5)调度进程执行。
在进程被调度执行之前,此时进程的代码还没有执行,但是自身的可执行文件和进程需要的动态库都已经被映射进内存。故本发明在进程加载之后,代码执行之前,通过虚拟机,读取进程的内存,并分析进程加载的动态库中的导出表,导出表包括API名称和API地址,本发明通过采用字符比较的方法,比较导出表中API名称与API表中的名称,获取导出表中所有API的地址,将所有API地址加入到API表,所述API表包括API名称、API地址及API参数和返回值。隐藏进程执行中,将隐藏进程的EIP值与API表中函数地址的参数逐一做匹配比较。
若EIP值与API表中每个函数的第一条指令相匹配,则读取堆栈和寄存器,获取函数参数和返回值,并在虚拟内存中读取参数对应执行的指令;硬件模拟器中数据采集模块记录该指令及该指令执行的数据,其中,指令执行的数据包括该指令打开的文件、打开的端口、通过某端口发送的数据、访问的文件、创建的进程和线程、创建或终止的服务、创建或使用的操作***同步/互斥量、网络数据发送操作的内容,文件创建操作的文件名等信息。
5、在上述步骤3)之前,若存在提取代码镜像的请求,则需要提取代码镜像
在分析隐藏进程中恶意代码的过程中,恶意代码通常会使用代码混淆、自修改、加密、加壳等手段对抗静态分析,使其在磁盘上的存储内容呈现一种加密或混淆后无法分析的状态,无法对其进行反汇编,更不可能进行分析,无法在静态情况下获取真实代码。然而在恶意代码执行时,恶意代码会将真实的代码恢复出来。
本发明提供提取代码镜像的功能,在恶意代码执行时,直接读取物理内存中的代码,确定需要读取的文件在内存中的范围;根据内存页表找到相应的内存页在虚拟物理内存的位置,依据偏移一次性读出,获取恶意代码的真实内容。
在虚拟CPU执行指令之前,若有提取代码镜像的请求,如用户发现执行某条指令之后,在硬盘上以密文形式存在的恶意代码,将自身在内存中解密完成。这时候用户可能需要提取出恶意代码在内存中的镜像,将其保存为文件进行分析,并发送一个提取内存中代码镜像的请求给模拟环境。当前存在读取内存镜像的请求,硬件模拟器中的数据采集模块将用户请求转换为虚拟内存访问操作,读取模拟***内存并将内存中的代码转存为镜像文件。
6、采集并分析数据
若存在提取代码镜像的请求,数据采集模块中的数据包括执行隐藏进程的指令运行数据和内存镜像。数据分析模块接收并存储上述数据采集模块收集的数据,并返回给用户。用户可以观察恶意代码的动态行为,提取特定时刻虚拟内存中的恶意代码的二进制代码,并可以HTML或SQL数据库格式输出分析结果。
本发明提出的基于硬件模拟器的隐藏进程检测和分析方法,对于本领域的技术人员而言,可以根据需要自己配置各种环境信息,设计检测和分析方法,从而全面分析隐藏进程中的恶意代码。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (6)

1.一种基于模拟硬件环境的处理隐藏进程的方法,其步骤如下:
1)按照目标文件在硬盘上的数据块排序,将数据块顺次添加到虚拟硬盘,转换为硬件模拟器识别的操作***镜像;
2)配置镜像路径、硬件模拟器的模拟内存大小及模拟CPU的类型;硬件模拟器加载步骤1)中的操作***镜像,并启动该操作***;
3)虚拟CPU执行指令时,查找CR3寄存器中是否出现新的CR3值,若出现新CR3值,则遍历操作***所有的EPROCESS结构是否包含有该CR3值;若不存在包含有该CR3值的EPROCESS结构,则将该CR3值对应的隐藏进程检测出来;
4)利用硬件模拟器读取所述隐藏进程的内存,获取隐藏进程加载的动态库;比较所述动态库的导出表中的名称与API表中的名称,获取所述导出表中所有API的地址,构建API表;
5)判断所述检测出的隐藏进程的EIP与所述API表中每个函数的第一条指令是否匹配,若匹配,则读取堆栈和寄存器获取函数参数和返回值,在虚拟内存中监控并读取参数对应执行的指令,数据采集模块记录该指令及该指令执行的数据,并返回给用户。
2.如权利要求1所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于,在虚拟CPU执行指令之前,判断是否存在提取代码镜像的请求,若存在,则在监控隐藏进程的执行指令时,读取物理内存中的代码,找到内存页在虚拟物理内存的位置,依据偏移一次性读出代码镜像,并记录在数据采集模块中。
3.如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于,步骤2)中还配置硬件模拟器的***启动时间。
4.如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于,步骤2)中所述模拟CPU的类型通过硬件模拟器的译码模块获取,使模拟CPU的指令转化为本地CPU的指令。
5.如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于,步骤2)中所述模拟内存的大小为216M~1G之间。
6.如权利要求1或2所述的一种基于模拟硬件环境的处理隐藏进程的方法,其特征在于,所述步骤4)中采用字符比较的方法获得API地址。
CN200810241102A 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法 Pending CN101770551A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200810241102A CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810241102A CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Publications (1)

Publication Number Publication Date
CN101770551A true CN101770551A (zh) 2010-07-07

Family

ID=42503405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810241102A Pending CN101770551A (zh) 2008-12-30 2008-12-30 一种基于硬件模拟器的处理隐藏进程的方法

Country Status (1)

Country Link
CN (1) CN101770551A (zh)

Cited By (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622536A (zh) * 2011-01-26 2012-08-01 中国科学院软件研究所 一种恶意代码捕获方法
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102736969A (zh) * 2012-05-22 2012-10-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和***
CN102902575A (zh) * 2012-09-25 2013-01-30 北京奇虎科技有限公司 一种用于枚举***进程的方法及装置
CN102945346A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举***进程的方法及装置
CN102999719A (zh) * 2011-09-19 2013-03-27 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及***
CN103559446A (zh) * 2013-11-13 2014-02-05 厦门市美亚柏科信息股份有限公司 一种基于安卓***的设备的动态病毒检测方法和装置
CN104715201A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和***
CN105653937A (zh) * 2015-12-30 2016-06-08 北京神州绿盟信息安全科技股份有限公司 一种文件防护方法和装置
CN105786596A (zh) * 2016-03-21 2016-07-20 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作***的内存镜像文件中获取对象信息的方法
CN106407805A (zh) * 2015-07-30 2017-02-15 腾讯科技(深圳)有限公司 基于Linux***的木马检测方法及装置
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN107291423A (zh) * 2016-03-31 2017-10-24 龙芯中科技术有限公司 构建运行环境的方法和装置
CN107437028A (zh) * 2017-07-31 2017-12-05 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
US9935851B2 (en) 2015-06-05 2018-04-03 Cisco Technology, Inc. Technologies for determining sensor placement and topology
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
CN108227639A (zh) * 2016-12-22 2018-06-29 中国航天***工程有限公司 一种面向集散控制***的上位机异常状态监测方法
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10116559B2 (en) 2015-05-27 2018-10-30 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10177977B1 (en) 2013-02-13 2019-01-08 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
CN111027055A (zh) * 2019-03-19 2020-04-17 哈尔滨安天科技集团股份有限公司 一种隐藏安卓***进程的方法、装置及存储设备
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
CN111625813A (zh) * 2020-05-27 2020-09-04 重庆夏软科技有限公司 一种通过修改进程保护程序的方法
CN111625296A (zh) * 2020-05-27 2020-09-04 重庆夏软科技有限公司 一种通过构建代码副本保护程序的方法
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
CN112269713A (zh) * 2020-10-14 2021-01-26 苏州浪潮智能科技有限公司 一种程序运行状态的获取方法、装置、设备及存储介质
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
CN112860224A (zh) * 2019-11-28 2021-05-28 北京达佳互联信息技术有限公司 一种函数执行环境构建方法、装置、电子设备及存储介质
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN113704091A (zh) * 2021-07-30 2021-11-26 郑州云海信息技术有限公司 一种逻辑代码调试方法、装置、设备及存储介质
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052064A3 (en) * 2000-01-10 2002-04-18 Wind River Systems Inc Protection domains for a computer operating system
CN1476554A (zh) * 2000-10-24 2004-02-18 Vcis公司 分析型虚拟机
US7376970B2 (en) * 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052064A3 (en) * 2000-01-10 2002-04-18 Wind River Systems Inc Protection domains for a computer operating system
CN1476554A (zh) * 2000-10-24 2004-02-18 Vcis公司 分析型虚拟机
US7376970B2 (en) * 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
温研,赵金晶,王怀民: "基于本地虚拟化技术的隐藏进程检测", 《计算机应用》 *
温研,赵金晶,王怀民: "基于硬件虚拟化技术的隐藏进程检测技术", 《计算机应用研究》 *

Cited By (146)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622536A (zh) * 2011-01-26 2012-08-01 中国科学院软件研究所 一种恶意代码捕获方法
CN102622536B (zh) * 2011-01-26 2014-09-03 中国科学院软件研究所 一种恶意代码捕获方法
CN102999719A (zh) * 2011-09-19 2013-03-27 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及***
CN102999719B (zh) * 2011-09-19 2015-08-26 中国科学院软件研究所 一种基于硬件模拟器的恶意代码在线分析方法及***
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102736969B (zh) * 2012-05-22 2014-12-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和***
CN102736969A (zh) * 2012-05-22 2012-10-17 中国科学院计算技术研究所 一种针对硬件虚拟化的内存监控方法和***
CN102945346A (zh) * 2012-09-25 2013-02-27 北京奇虎科技有限公司 一种用于枚举***进程的方法及装置
CN102902575A (zh) * 2012-09-25 2013-01-30 北京奇虎科技有限公司 一种用于枚举***进程的方法及装置
CN102945346B (zh) * 2012-09-25 2016-03-30 北京奇虎科技有限公司 一种用于枚举***进程的方法及装置
US10177977B1 (en) 2013-02-13 2019-01-08 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
CN103559446A (zh) * 2013-11-13 2014-02-05 厦门市美亚柏科信息股份有限公司 一种基于安卓***的设备的动态病毒检测方法和装置
CN104715201B (zh) * 2015-03-31 2018-02-27 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和***
CN104715201A (zh) * 2015-03-31 2015-06-17 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和***
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US10116559B2 (en) 2015-05-27 2018-10-30 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10505827B2 (en) 2015-06-05 2019-12-10 Cisco Technology, Inc. Creating classifiers for servers and clients in a network
US11924073B2 (en) 2015-06-05 2024-03-05 Cisco Technology, Inc. System and method of assigning reputation scores to hosts
US11102093B2 (en) 2015-06-05 2021-08-24 Cisco Technology, Inc. System and method of assigning reputation scores to hosts
US9935851B2 (en) 2015-06-05 2018-04-03 Cisco Technology, Inc. Technologies for determining sensor placement and topology
US11128552B2 (en) 2015-06-05 2021-09-21 Cisco Technology, Inc. Round trip time (RTT) measurement based upon sequence number
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US9979615B2 (en) 2015-06-05 2018-05-22 Cisco Technology, Inc. Techniques for determining network topologies
US10009240B2 (en) 2015-06-05 2018-06-26 Cisco Technology, Inc. System and method of recommending policies that result in particular reputation scores for hosts
US11968102B2 (en) 2015-06-05 2024-04-23 Cisco Technology, Inc. System and method of detecting packet loss in a distributed sensor-collector architecture
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10116531B2 (en) 2015-06-05 2018-10-30 Cisco Technology, Inc Round trip time (RTT) measurement based upon sequence number
US11153184B2 (en) 2015-06-05 2021-10-19 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10116530B2 (en) 2015-06-05 2018-10-30 Cisco Technology, Inc. Technologies for determining sensor deployment characteristics
US10129117B2 (en) 2015-06-05 2018-11-13 Cisco Technology, Inc. Conditional policies
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US11252058B2 (en) 2015-06-05 2022-02-15 Cisco Technology, Inc. System and method for user optimized application dependency mapping
US10171319B2 (en) 2015-06-05 2019-01-01 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10177998B2 (en) 2015-06-05 2019-01-08 Cisco Technology, Inc. Augmenting flow data for improved network monitoring and management
US11252060B2 (en) 2015-06-05 2022-02-15 Cisco Technology, Inc. Data center traffic analytics synchronization
US10181987B2 (en) 2015-06-05 2019-01-15 Cisco Technology, Inc. High availability of collectors of traffic reported by network sensors
US10230597B2 (en) 2015-06-05 2019-03-12 Cisco Technology, Inc. Optimizations for application dependency mapping
US10243817B2 (en) 2015-06-05 2019-03-26 Cisco Technology, Inc. System and method of assigning reputation scores to hosts
US11968103B2 (en) 2015-06-05 2024-04-23 Cisco Technology, Inc. Policy utilization analysis
US10979322B2 (en) 2015-06-05 2021-04-13 Cisco Technology, Inc. Techniques for determining network anomalies in data center networks
US10305757B2 (en) 2015-06-05 2019-05-28 Cisco Technology, Inc. Determining a reputation of a network entity
US10320630B2 (en) 2015-06-05 2019-06-11 Cisco Technology, Inc. Hierarchichal sharding of flows from sensors to collectors
US10326673B2 (en) 2015-06-05 2019-06-18 Cisco Technology, Inc. Techniques for determining network topologies
US10326672B2 (en) 2015-06-05 2019-06-18 Cisco Technology, Inc. MDL-based clustering for application dependency mapping
US11368378B2 (en) 2015-06-05 2022-06-21 Cisco Technology, Inc. Identifying bogon address spaces
US11405291B2 (en) 2015-06-05 2022-08-02 Cisco Technology, Inc. Generate a communication graph using an application dependency mapping (ADM) pipeline
US10439904B2 (en) 2015-06-05 2019-10-08 Cisco Technology, Inc. System and method of determining malicious processes
US10454793B2 (en) 2015-06-05 2019-10-22 Cisco Technology, Inc. System and method of detecting whether a source of a packet flow transmits packets which bypass an operating system stack
US10505828B2 (en) 2015-06-05 2019-12-10 Cisco Technology, Inc. Technologies for managing compromised sensors in virtualized environments
US10917319B2 (en) 2015-06-05 2021-02-09 Cisco Technology, Inc. MDL-based clustering for dependency mapping
US11121948B2 (en) 2015-06-05 2021-09-14 Cisco Technology, Inc. Auto update of sensor configuration
US10516585B2 (en) 2015-06-05 2019-12-24 Cisco Technology, Inc. System and method for network information mapping and displaying
US10516586B2 (en) 2015-06-05 2019-12-24 Cisco Technology, Inc. Identifying bogon address spaces
US11936663B2 (en) 2015-06-05 2024-03-19 Cisco Technology, Inc. System for monitoring and managing datacenters
US11924072B2 (en) 2015-06-05 2024-03-05 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10904116B2 (en) 2015-06-05 2021-01-26 Cisco Technology, Inc. Policy utilization analysis
US10567247B2 (en) 2015-06-05 2020-02-18 Cisco Technology, Inc. Intra-datacenter attack detection
US11902122B2 (en) 2015-06-05 2024-02-13 Cisco Technology, Inc. Application monitoring prioritization
US11902120B2 (en) 2015-06-05 2024-02-13 Cisco Technology, Inc. Synthetic data for determining health of a network security system
US11902121B2 (en) 2015-06-05 2024-02-13 Cisco Technology, Inc. System and method of detecting whether a source of a packet flow transmits packets which bypass an operating system stack
US11894996B2 (en) 2015-06-05 2024-02-06 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10623283B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. Anomaly detection through header field entropy
US10623282B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. System and method of detecting hidden processes by analyzing packet flows
US10623284B2 (en) 2015-06-05 2020-04-14 Cisco Technology, Inc. Determining a reputation of a network entity
US11700190B2 (en) 2015-06-05 2023-07-11 Cisco Technology, Inc. Technologies for annotating process and user information for network flows
US10659324B2 (en) 2015-06-05 2020-05-19 Cisco Technology, Inc. Application monitoring prioritization
US11695659B2 (en) 2015-06-05 2023-07-04 Cisco Technology, Inc. Unique ID generation for sensors
US10686804B2 (en) 2015-06-05 2020-06-16 Cisco Technology, Inc. System for monitoring and managing datacenters
US10693749B2 (en) 2015-06-05 2020-06-23 Cisco Technology, Inc. Synthetic data for determining health of a network security system
US11431592B2 (en) 2015-06-05 2022-08-30 Cisco Technology, Inc. System and method of detecting whether a source of a packet flow transmits packets which bypass an operating system stack
US11637762B2 (en) 2015-06-05 2023-04-25 Cisco Technology, Inc. MDL-based clustering for dependency mapping
US10728119B2 (en) 2015-06-05 2020-07-28 Cisco Technology, Inc. Cluster discovery via multi-domain fusion for application dependency mapping
US10735283B2 (en) 2015-06-05 2020-08-04 Cisco Technology, Inc. Unique ID generation for sensors
US10742529B2 (en) 2015-06-05 2020-08-11 Cisco Technology, Inc. Hierarchichal sharding of flows from sensors to collectors
US11601349B2 (en) 2015-06-05 2023-03-07 Cisco Technology, Inc. System and method of detecting hidden processes by analyzing packet flows
US11477097B2 (en) 2015-06-05 2022-10-18 Cisco Technology, Inc. Hierarchichal sharding of flows from sensors to collectors
US11528283B2 (en) 2015-06-05 2022-12-13 Cisco Technology, Inc. System for monitoring and managing datacenters
US11496377B2 (en) 2015-06-05 2022-11-08 Cisco Technology, Inc. Anomaly detection through header field entropy
US11522775B2 (en) 2015-06-05 2022-12-06 Cisco Technology, Inc. Application monitoring prioritization
US10797973B2 (en) 2015-06-05 2020-10-06 Cisco Technology, Inc. Server-client determination
US10797970B2 (en) 2015-06-05 2020-10-06 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US11516098B2 (en) 2015-06-05 2022-11-29 Cisco Technology, Inc. Round trip time (RTT) measurement based upon sequence number
US10862776B2 (en) 2015-06-05 2020-12-08 Cisco Technology, Inc. System and method of spoof detection
US11502922B2 (en) 2015-06-05 2022-11-15 Cisco Technology, Inc. Technologies for managing compromised sensors in virtualized environments
CN106407805A (zh) * 2015-07-30 2017-02-15 腾讯科技(深圳)有限公司 基于Linux***的木马检测方法及装置
CN106407805B (zh) * 2015-07-30 2019-12-10 腾讯科技(深圳)有限公司 基于Linux***的木马检测方法及装置
CN106682493B (zh) * 2015-11-06 2019-08-27 珠海豹趣科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN106682493A (zh) * 2015-11-06 2017-05-17 珠海市君天电子科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN105653937A (zh) * 2015-12-30 2016-06-08 北京神州绿盟信息安全科技股份有限公司 一种文件防护方法和装置
CN105786596B (zh) * 2016-03-21 2018-04-13 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作***的内存镜像文件中获取对象信息的方法
CN105786596A (zh) * 2016-03-21 2016-07-20 山东省计算中心(国家超级计算济南中心) 一种从64位Windows10操作***的内存镜像文件中获取对象信息的方法
CN107291423A (zh) * 2016-03-31 2017-10-24 龙芯中科技术有限公司 构建运行环境的方法和装置
CN107291423B (zh) * 2016-03-31 2020-09-29 龙芯中科技术有限公司 构建运行环境的方法和装置
US12021826B2 (en) 2016-05-27 2024-06-25 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US11546288B2 (en) 2016-05-27 2023-01-03 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US11283712B2 (en) 2016-07-21 2022-03-22 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
CN108227639A (zh) * 2016-12-22 2018-06-29 中国航天***工程有限公司 一种面向集散控制***的上位机异常状态监测方法
US11088929B2 (en) 2017-03-23 2021-08-10 Cisco Technology, Inc. Predicting application and network performance
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US11252038B2 (en) 2017-03-24 2022-02-15 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US11509535B2 (en) 2017-03-27 2022-11-22 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US11146454B2 (en) 2017-03-27 2021-10-12 Cisco Technology, Inc. Intent driven network policy platform
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US11202132B2 (en) 2017-03-28 2021-12-14 Cisco Technology, Inc. Application performance monitoring and management platform with anomalous flowlet resolution
US11863921B2 (en) 2017-03-28 2024-01-02 Cisco Technology, Inc. Application performance monitoring and management platform with anomalous flowlet resolution
US11683618B2 (en) 2017-03-28 2023-06-20 Cisco Technology, Inc. Application performance monitoring and management platform with anomalous flowlet resolution
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
CN107437028B (zh) * 2017-07-31 2020-03-31 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
CN107437028A (zh) * 2017-07-31 2017-12-05 中孚信息股份有限公司 一种基于内存读取的病毒检测装置及方法
US11044170B2 (en) 2017-10-23 2021-06-22 Cisco Technology, Inc. Network migration assistant
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10904071B2 (en) 2017-10-27 2021-01-26 Cisco Technology, Inc. System and method for network root cause analysis
US11750653B2 (en) 2018-01-04 2023-09-05 Cisco Technology, Inc. Network intrusion counter-intelligence
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US11924240B2 (en) 2018-01-25 2024-03-05 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN111027055A (zh) * 2019-03-19 2020-04-17 哈尔滨安天科技集团股份有限公司 一种隐藏安卓***进程的方法、装置及存储设备
CN112860224B (zh) * 2019-11-28 2023-12-12 北京达佳互联信息技术有限公司 一种函数执行环境构建方法、装置、电子设备及存储介质
CN112860224A (zh) * 2019-11-28 2021-05-28 北京达佳互联信息技术有限公司 一种函数执行环境构建方法、装置、电子设备及存储介质
CN111625296B (zh) * 2020-05-27 2023-03-14 重庆夏软科技有限公司 一种通过构建代码副本保护程序的方法
CN111625813B (zh) * 2020-05-27 2023-02-28 重庆夏软科技有限公司 一种通过修改进程保护程序的方法
CN111625813A (zh) * 2020-05-27 2020-09-04 重庆夏软科技有限公司 一种通过修改进程保护程序的方法
CN111625296A (zh) * 2020-05-27 2020-09-04 重庆夏软科技有限公司 一种通过构建代码副本保护程序的方法
CN112269713A (zh) * 2020-10-14 2021-01-26 苏州浪潮智能科技有限公司 一种程序运行状态的获取方法、装置、设备及存储介质
CN113704091A (zh) * 2021-07-30 2021-11-26 郑州云海信息技术有限公司 一种逻辑代码调试方法、装置、设备及存储介质
CN113704091B (zh) * 2021-07-30 2024-02-09 郑州云海信息技术有限公司 一种逻辑代码调试方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN101770551A (zh) 一种基于硬件模拟器的处理隐藏进程的方法
CN102622536B (zh) 一种恶意代码捕获方法
CN105393255B (zh) 用于虚拟机中的恶意软件检测的过程评估
US9529614B2 (en) Automatically bridging the semantic gap in machine introspection
Zhou et al. A bare-metal and asymmetric partitioning approach to client virtualization
CN105393229B (zh) 虚拟机中的页面错误注入
CN101339518B (zh) 在分层虚拟化体系结构中***虚拟化事件的装置和方法
US20140053272A1 (en) Multilevel Introspection of Nested Virtual Machines
US11221868B2 (en) Security enhanced hypervisor userspace notifications
CN102651062B (zh) 基于虚拟机架构的恶意行为跟踪***和方法
JP6791134B2 (ja) 分析システム、分析方法、分析装置及び、コンピュータ・プログラム
CN103065084B (zh) 在虚拟机外部机进行的windows隐藏进程检测方法
CN103902885A (zh) 面向多安全等级虚拟桌面***虚拟机安全隔离***及方法
US10102373B2 (en) Method and apparatus for capturing operation in a container-based virtualization system
CN102034050A (zh) 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法
CN106020932B (zh) 一种用于kvm虚拟机***的安全防护方法及***
CN101876954B (zh) 一种虚拟机控制***及其工作方法
JP2008542928A (ja) 仮想化検出
CN109857520B (zh) 一种虚拟机自省中的语义重构改进方法及***
Hsiao et al. Hardware-assisted MMU redirection for in-guest monitoring and API profiling
CN114490273A (zh) 数据处理方法以及***
CN108228319B (zh) 一种基于多桥的语义重构方法
Lamps et al. WinWizard: Expanding Xen with a LibVMI intrusion detection tool
Liu et al. Exploring sensor usage behaviors of android applications based on data flow analysis
US10929164B2 (en) Enhancing ability of a hypervisor to detect an instruction that causes execution to transition from a virtual machine to the hypervisor

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20100707