CN106934281A - 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 - Google Patents
一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 Download PDFInfo
- Publication number
- CN106934281A CN106934281A CN201710203448.7A CN201710203448A CN106934281A CN 106934281 A CN106934281 A CN 106934281A CN 201710203448 A CN201710203448 A CN 201710203448A CN 106934281 A CN106934281 A CN 106934281A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- instruction
- host
- hardware virtualization
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,步骤如下:1:在虚拟机里开启CPU硬件虚拟化特性支持;2:加载驱动程序进入Host模式;3:接管所有输入输出操作和特殊模块寄存器即MSR操作;并拦截所有的能够产生VM Exit的所有指令;4:针对指令进行环境设置;5:运行被监控程序;6:当出现产生VM Exit事件时,联合环境信息分析,判断是否存在反虚拟机行为;7:继续监控样本行为直到结束;8:输出最终的分析结果;通过以上步骤,完成对特权指令的监控,实现传统方法不能实现的针对恶意代码反虚拟机技术对抗办法,不破环样本本身的完整性,并且不会被恶意代码绕过,解决了恶意代码反虚拟机技术对抗的实际问题。
Description
一.技术领域
本发明提供一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,它涉及计算机安全中的虚拟机对抗技术,属于信息安全技术领域。
二.背景技术
随着电子设备的普及,计算机技术不断发展,整个社会对于互联网及计算机的依赖持续增长,此时信息安全已成为不容忽视的问题,然而现在主流的自动病毒漏洞分析程序,都是运行在虚拟机或沙盒中。恶意程序为了躲避虚拟机的检测,从而利用自身休眠技术,虚拟机检测技术,调用垃圾指令等技术来干扰检测引擎。当恶意程序一旦绕过检测引擎,那么这个程序的特征将会被保存在白名单中,然后就可以肆无忌惮的破坏了。目前国内外绝大部分软件安全厂商,在样本的沙盒分析过程中,是不能对抗反虚拟机的。所以样本一旦存在反虚拟机技术,此样本就会绕过APT引擎的检测。
故研究此项技术,来对抗反虚拟机行为。
三.发明内容
1.发明目的
本发明公开了一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,它涉及一种基于硬件虚拟化技术来实现的虚拟机检测于对抗,其实现为基于因特尔公司(Intel)硬件虚拟化技术(VT-x)来实现的虚拟机检测对抗技术。主要目的在于准确识别带有反虚拟机的恶意攻击,以及带有反虚拟机行为的恶意代码,从而快速进行相应的防御反应,保护虚拟机的计算机***安全。
2.技术方案
本发明的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其步骤如下:
步骤1:在虚拟机软件里面开启中央处理器(即CPU)硬件虚拟化特性支持;
步骤2:加载启动硬件虚拟化的驱动程序,然后进入虚拟机中的操作***宿主机模式(Host模式),虚拟机操作***将切换成操作***客户机模式(虚拟机操作***的Guest模式);从而是使得虚拟机的Host对虚拟机的Guest拥有绝对控制权;
步骤3:在初始化Host时,开启输入输出位图(即IO Bitmap),特殊模块寄存器位图(Model Specific Registers,即MSR Bitmap),接管所有输入输出(即IO)操作和特殊模块寄存器(即MSR)操作;并拦截所有的能够产生虚拟机退出事件(即VM Exit)的所有指令;
步骤4:针对不同的指令分别进行环境设置和处理;
步骤5:运行被监控程序;
步骤6:当出现产生VM Exit事件时,根据具体指令,联合当前堆栈,指令指针(即eip)等状态和条件进行联合分析,从而分析此样本是否存在反虚拟机行为;
步骤7:判断是否执行完成;如果完成则输出分析结果;否则继续执行被监控程序,发现更多的反虚拟机行为,使分析结果完整准确,减少误判;
步骤8:执行完成后输出最终的分析结果,并向用户展示。
其中,步骤1中所述“中央处理器(即CPU)硬件虚拟化特性支持”是指英特硬件虚拟化技术,即Intel VT-x和美国超微半导体公司硬件虚拟化技术,即AMD-V技术;所述“Host”是指虚拟机操作***的Host,即本发明开发的驱动程序,所述“Guest”是指虚拟机操作***。
其中,步骤3中所述的“拦截所有的能够产生虚拟机退出事件(即VM Exit)的所有指令”,它是指虚拟机在执行过程种所有可能产生暂停guest而进入Host执行的所有指令,包括但不限于:获取处理器详细信息,即CPUID,获取处理器自启动以后的运行周期,即RDSTC,获取处理器自启动以后的运行周期和处理器标识,即RDSTCP。
其中,步骤3中所述的“在初始化Host时,开启输入输出位图(即IO Bitmap),特殊模块寄存器位图(Model Specific Registers,即MSR Bitmap),接管所有IO操作和MSR操作;并拦截所有的能够产生虚拟机退出事件(即VM Exit)的所有指令”,其实现方法为虚拟化技术中的常规常用技术,不再赘述。
其中,步骤4中所述的“针对不同的指令分别进行环境设置和处理”,它是指以下2类指令:
(1)运行在物理主机和运行在虚拟机上处理速度相差很大的,如获取处理器信息指令,即CPUID指令,恶意代码在使用该指令时通常在指令前后都有一条获取***当前时间的GetTickCount函数或者获取处理器指令周期数的指令,即RDTSC指令,通过两次相减得到指令运行时间;如果时间大于某一设定值,则认为是在虚拟机中执行;本发明通过挂钩(即挂钩HOOK)GetTickCount函数或者模拟执行RDTSC指令,改变其返回值,使恶意代码认为是在真实的物理主机中执行;
(2)需要特定权限的指令,如读入指令(即IN指令)等;当该指令执行时,如果程序没有零环(即Ring0)权限,在真实的物理主机中就会产生超越权限异常,即产生EXCEPTION_PRIV_INSTRUCTION异常,而在虚拟机中则会正常执行;本发明挂钩(HOOK)该条指令,并判断如果程序没有Ring0权限,则注入该异常,达到欺骗程序的目的,使恶意代码认为是在真实的物理主机中执行;
上文中所述的“零环(Ring0)”是指CPU的0环权限(内核权限);相应有三环(Ring3)是指CPU的3环权限(普通应用程序权限);“挂钩(HOOK)”技术是一种用于改变指令的执行结果的技术。
其中,步骤5中所述的“运行被监控程序”,其实现方法是直接通过模拟双击打开运行被监控程序。
其中,步骤6中所述的“VM Exit事件”,它是指虚拟机退出事件,此时虚拟机执行过程暂停,进而转到Host主机执行。
其中,步骤6中所述的“当出现产生VM Exit事件时,根据具体指令,联合当前堆栈,指令指针(即eip)等状态和条件进行联合分析,从而分析此样本是否存在反虚拟机行为”,其做法为虚拟化技术领域中的常用技术,不予赘述。
通过以上步骤,完成对特权指令的监控,实现一些传统方法不能实现的针对恶意代码反虚拟机技术对抗办法,不破环样本本身的完整性,并且不会被恶意代码绕过,解决了恶意代码反虚拟机技术对抗的实际问题。
3.优点
本发明通过硬件虚拟化技术,来实现一些传统方法不能实现的针对恶意代码反虚拟机技术对抗办法,从而完成对特权指令的监控;传统技术对特权指令监控只能通过对文件或者内存的暴力搜索之后HOOK,但是这样处理不当容易破环样本本身的完整性,并且会存在很多被绕过的可能性;但是通过硬件虚拟化技术,可以完美做到这一点。
四.附图说明
图1是本发明所述方法的流程示意图。
图2是本发明方法针对在物理主机和运行在虚拟机上处理速度相差很大的指令的处理流程示意图。
图3是本发明方法针对需要特定权限的指令的处理流程示意图。
五.具体实施方式:
本发明利用硬件虚拟化技术,通过基于虚拟机的方式,实现对虚拟主机的关键指令进行监控、劫持和虚拟执行,达到对恶意代码的监控和欺骗,从而在虚拟机攻防对抗中获得主动权。
参见图1,为本发明所述的流程示意图。本发明一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其具体流程步骤如下:
步骤101:在虚拟机软件里面开启CPU硬件虚拟化特性支持。根据CPU的生成厂商,开启Intel VT-x或者AMD-V。本专利以Intel生成的CPU为例,保护权利为不仅为该CPU。
步骤102:加载启动硬件虚拟化的驱动,然后进入虚拟机中的宿主机模式(虚拟机操作***的Host模式),虚拟机操作***将切换成客户机模式(虚拟机操作***的Guest模式)。从而是使得虚拟机的Host对虚拟机的Guest拥有绝对控制权。
步骤103:在初始化Host时,开启输入输出位图(IO Bitmap),特殊模块寄存器位图(MSR Bitmap),接管所有IO操作和MSR操作。并拦截所有的能够产生虚拟机退出事件(VMExit)的所有指令。
步骤104:环境设置,针对不同指令分别进行运行前的环境设置和代码恶意行为的捕获,监控恶意代码对虚拟机***环境嗅探行为。具体执行过程分为两种:一是本发明对基于指令执行时间的虚拟机环境探测,即指令在虚拟机上和物理机上执行时间差别明显的执行指令分析监控,具体流程以CPUID指令为例,参考图2;另一种是对IN指令等检测虚拟机后门的指令分析监控流程,具体流程参考图3。
步骤105:在虚拟机中运行被监控程序。对普通代码的执行不进行任何干扰,仅捕捉能产生VM Exit事件的指令和行为。
步骤106:当出现产生VM Exit事件时,根据具体指令,联合当前堆栈,指令指针eip等状态和条件进行联合分析,从而分析此样本是否存在反虚拟机行为。
步骤107:判断程序是否执行完成。如果完成则跳转到步骤108输出分析结果。否则执行下一条指令,跳转到步骤105,收集该程序的所有反虚拟机行为。
步骤108:输出分析结果,用于展示。
其中,在步骤104中所述的“具体执行过程分为两种”,该两种情况的具体执行补充说明如下:
(一)参见图2,为本发明对CPUID指令分析监控流程示意图,具体流程包括:
步骤201:对普通代码执行不做任何干预,正常执行。
步骤202:等待GetTickCount函数或者RDTSC指令。这两条指令均为获取***时间指令,并且可以相互转换。恶意代码利用CPUID指令在虚拟机环境和非虚拟机环境执行速度不同这一特征,通过记录指令执行前后的***时间点,来获取CPUID指令的执行时间,因此一定会成对出现。
步骤203:记录首次获取***时间行为。
步骤204:继续执行代码,等待下一条寻找CPUID指令的执行。通常情况下,这条指令与上一条获取***时间相隔不远。
步骤205:CPUID指令产生VM EXIT事件,进入HOST。HOST模拟执行该指令,并把模拟执行的结果返回给虚拟机。
步骤206:HOST执行完成,产生VM ENTRY事件,转入虚拟机中继续执行下一条指令。
步骤207:当再次发现GetTickCount函数或者RDTSC指令时,模拟执行该指令,并相应修改返回值。
步骤208:通过HOOK GetTickCount函数或者模拟执行RDTSC指令,返回虚假的***时间,使恶意代码误认为是在真实主机里执行。
步骤209:如果程序执行完成,则输出分析结果;否则跳转到下一条代码继续执行,收集该程序的所有反虚拟机行为。
(二)参见图3,为本发明对IN指令等检测虚拟机后门的指令分析监控流程示意图,具体流程包括:
步骤301:对普通代码执行不做任何干预,正常执行。
步骤302:当执行过程中遇到IN指令等检测虚拟机后门的行为时,暂停虚拟机的执行。该指令在真实主机上执行时,如果拥有Ring0权限,则会正常执行;如果没有Ring0权限,则会产生EXCEPTION_RPIV_INSTRUCTION异常。但是在虚拟机中执行时,无论有没有Ring0权限都不会产生任何异常。后续步骤就是通过模拟异常的产生来欺骗恶意代码,使它误认为是在真实主机上执行。
步骤303:IN指令等执行产生VM Exit事件,陷入Host中继续执行
步骤304:Host程序对虚拟机中暂停运行的程序进行分析,判断其是否拥有Ring0权限。
步骤305:如果有Ring0权限,则模拟执行该指令,并修改返回值。
步骤306:如果没有Ring0权限,则注入EXCEPTION_RPIV_INSTRUCTION异常。
步骤307:记录该程序的反虚拟机行为。
步骤308:返回到虚拟机中执行下一条指令
步骤309:判断程序是否执行完成。如果完成,则输出检测结果并结束;否则继续执行下一条指令,收集该程序的所有反虚拟机行为。
Claims (6)
1.一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:其步骤如下:
步骤1:在虚拟机软件里面开启中央处理器即CPU硬件虚拟化特性支持;
步骤2:加载启动硬件虚拟化的驱动程序,然后进入虚拟机中的操作***宿主机模式即Host模式,虚拟机操作***将切换成操作***客户机模式即虚拟机操作***的Guest模式;从而是使得虚拟机的Host对虚拟机的Guest拥有绝对控制权;
步骤3:在初始化Host时,开启输入输出位图,即IO Bitmap,特殊模块寄存器位图,即MSR Bitmap,接管所有输入输出即IO操作和特殊模块寄存器即MSR操作;并拦截所有的能够产生虚拟机退出事件即VM Exit的所有指令;
步骤4:针对不同的指令分别进行环境设置和处理;
步骤5:运行被监控程序;
步骤6:当出现产生VM Exit事件时,根据具体指令,联合当前堆栈,指令指针即eip状态和条件进行联合分析,从而分析此样本是否存在反虚拟机行为;
步骤7:判断程序是否执行完成;如果完成则输出分析结果;否则继续执行被监控程序,发现更多的反虚拟机行为,使分析结果完整准确,减少误判;
步骤8:执行完成后输出最终的分析结果,并向用户展示;
通过以上步骤,完成对特权指令的监控,实现传统方法不能实现的针对恶意代码反虚拟机技术对抗办法,不破环样本本身的完整性,并且不会被恶意代码绕过,解决了恶意代码反虚拟机技术对抗的实际问题。
2.根据权利要求1所述的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:在步骤1中所述“中央处理器即CPU硬件虚拟化特性支持”是指英特硬件虚拟化技术,即Intel VT-x和美国超微半导体公司硬件虚拟化技术,即AMD-V技术;所述“Host”是指虚拟机操作***的Host,即本发明开发的驱动程序,所述“Guest”是指虚拟机操作***。
3.根据权利要求1所述的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:在步骤3中所述的“拦截所有的能够产生虚拟机退出事件即VM Exit的所有指令”,它是指虚拟机在执行过程种所有能产生暂停guest而进入Host执行的所有指令,包括但不限于:获取处理器详细信息,即CPUID,获取处理器自启动以后的运行周期,即RDSTC,获取处理器自启动以后的运行周期和处理器标识,即RDSTCP。
4.根据权利要求1所述的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:在步骤4中所述的“针对不同的指令分别进行环境设置和处理”,它是指以下2类指令:
(1)运行在物理主机和运行在虚拟机上处理速度相差很大的,如获取处理器信息指令,即CPUID指令,恶意代码在使用该指令时通常在指令前后都有一条获取***当前时间的GetTickCount函数或者获取处理器指令周期数的指令,即RDTSC指令,通过两次相减得到指令运行时间;如果时间大于某一设定值,则认为是在虚拟机中执行;本发明通过挂钩即挂钩HOOK)GetTickCount函数及模拟执行RDTSC指令,改变其返回值,使恶意代码认为是在真实的物理主机中执行;
(2)需要特定权限的指令,如读入指令即IN指令;当该指令执行时,如果程序没有零环即Ring0权限,在真实的物理主机中就会产生超越权限异常,即产生EXCEPTION_PRIV_INSTRUCTION异常,而在虚拟机中则会正常执行;本发明挂钩(HOOK)该条指令,并判断如果程序没有Ring0权限,则注入该异常,达到欺骗程序的目的,使恶意代码认为是在真实的物理主机中执行;
上文中所述的“零环(Ring0)”是指CPU的0环权限即内核权限;相应有三环即Ring3是指CPU的3环权限即普通应用程序权限;“挂钩(HOOK)”技术是一种用于改变指令的执行结果的技术。
5.根据权利要求1所述的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:在步骤5中所述的“运行被监控程序”,其实现方法是直接通过模拟双击打开运行被监控程序。
6.根据权利要求1所述的一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法,其特征在于:在步骤6中所述的“VM Exit事件”,它是指虚拟机退出事件,此时虚拟机执行过程暂停,进而转到Host主机执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710203448.7A CN106934281A (zh) | 2017-03-30 | 2017-03-30 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710203448.7A CN106934281A (zh) | 2017-03-30 | 2017-03-30 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106934281A true CN106934281A (zh) | 2017-07-07 |
Family
ID=59425289
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710203448.7A Pending CN106934281A (zh) | 2017-03-30 | 2017-03-30 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106934281A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110866250A (zh) * | 2018-12-12 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种病毒防御方法、装置及电子设备 |
CN111191224A (zh) * | 2019-07-08 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 虚拟机检测的对抗方法、装置及计算机可读存储介质 |
CN111242150A (zh) * | 2018-11-29 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 数据训练的方法和装置 |
CN111428240A (zh) * | 2020-03-20 | 2020-07-17 | 安芯网盾(北京)科技有限公司 | 一种用于检测软件的内存违规访问的方法及装置 |
CN111444504A (zh) * | 2020-03-30 | 2020-07-24 | 安芯网盾(北京)科技有限公司 | 一种用于软件运行时自动识别恶意代码的方法及装置 |
CN112214277A (zh) * | 2020-09-04 | 2021-01-12 | 深圳航天科技创新研究院 | 基于虚拟机的操作***分区方法、装置及介质 |
CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
CN114265775A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 一种硬件辅助虚拟化环境核心检测方法及*** |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042681A (zh) * | 2006-03-23 | 2007-09-26 | 联想(北京)有限公司 | 一种数据透明保护的安全读写***和方法 |
CN101093449A (zh) * | 2007-06-22 | 2007-12-26 | 浙江大学 | 基于处理器虚拟化技术的虚拟机***及其实现方法 |
CN101465863A (zh) * | 2009-01-14 | 2009-06-24 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及*** |
CN102096786A (zh) * | 2011-03-04 | 2011-06-15 | 上海交通大学 | 基于硬件虚拟化的跨平台安全保护*** |
CN102523215A (zh) * | 2011-12-15 | 2012-06-27 | 北京海云捷迅科技有限公司 | 基于kvm虚拟化平台的虚拟机在线杀毒*** |
CN103020525A (zh) * | 2012-12-20 | 2013-04-03 | 北京奇虎科技有限公司 | 虚拟机***的反检测方法和装置 |
CN104021063A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种基于硬件虚拟化的模块化计算机取证***及其方法 |
CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | ***通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN105718793A (zh) * | 2015-09-25 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于修改沙箱环境防止恶意代码识别沙箱的方法及*** |
CN106096455A (zh) * | 2016-08-08 | 2016-11-09 | 王波 | 一种主机内核数据还原保护方法 |
-
2017
- 2017-03-30 CN CN201710203448.7A patent/CN106934281A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042681A (zh) * | 2006-03-23 | 2007-09-26 | 联想(北京)有限公司 | 一种数据透明保护的安全读写***和方法 |
CN101093449A (zh) * | 2007-06-22 | 2007-12-26 | 浙江大学 | 基于处理器虚拟化技术的虚拟机***及其实现方法 |
CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及*** |
CN101465863A (zh) * | 2009-01-14 | 2009-06-24 | 北京航空航天大学 | 一种内核虚拟机环境下高效网络i/o的实现方法 |
CN102096786A (zh) * | 2011-03-04 | 2011-06-15 | 上海交通大学 | 基于硬件虚拟化的跨平台安全保护*** |
CN102523215A (zh) * | 2011-12-15 | 2012-06-27 | 北京海云捷迅科技有限公司 | 基于kvm虚拟化平台的虚拟机在线杀毒*** |
CN103020525A (zh) * | 2012-12-20 | 2013-04-03 | 北京奇虎科技有限公司 | 虚拟机***的反检测方法和装置 |
CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
CN105024976A (zh) * | 2014-04-24 | 2015-11-04 | ***通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN104021063A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种基于硬件虚拟化的模块化计算机取证***及其方法 |
CN105718793A (zh) * | 2015-09-25 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于修改沙箱环境防止恶意代码识别沙箱的方法及*** |
CN106096455A (zh) * | 2016-08-08 | 2016-11-09 | 王波 | 一种主机内核数据还原保护方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111242150A (zh) * | 2018-11-29 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 数据训练的方法和装置 |
CN111242150B (zh) * | 2018-11-29 | 2024-05-17 | 阿里巴巴集团控股有限公司 | 数据训练的方法和装置 |
CN110866250A (zh) * | 2018-12-12 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种病毒防御方法、装置及电子设备 |
CN111191224B (zh) * | 2019-07-08 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 虚拟机检测的对抗方法、装置及计算机可读存储介质 |
CN111191224A (zh) * | 2019-07-08 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 虚拟机检测的对抗方法、装置及计算机可读存储介质 |
CN111428240A (zh) * | 2020-03-20 | 2020-07-17 | 安芯网盾(北京)科技有限公司 | 一种用于检测软件的内存违规访问的方法及装置 |
CN111428240B (zh) * | 2020-03-20 | 2021-10-15 | 安芯网盾(北京)科技有限公司 | 一种用于检测软件的内存违规访问的方法及装置 |
CN111444504A (zh) * | 2020-03-30 | 2020-07-24 | 安芯网盾(北京)科技有限公司 | 一种用于软件运行时自动识别恶意代码的方法及装置 |
CN112214277A (zh) * | 2020-09-04 | 2021-01-12 | 深圳航天科技创新研究院 | 基于虚拟机的操作***分区方法、装置及介质 |
CN112214277B (zh) * | 2020-09-04 | 2024-03-19 | 深圳航天科技创新研究院 | 基于虚拟机的操作***分区方法、装置及介质 |
CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
CN114265775A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 一种硬件辅助虚拟化环境核心检测方法及*** |
CN114265775B (zh) * | 2021-12-21 | 2024-05-24 | 中国科学院信息工程研究所 | 一种硬件辅助虚拟化环境核心检测方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106934281A (zh) | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 | |
CN108469984B (zh) | 一种基于虚拟机自省函数级虚拟机内核动态检测***与方法 | |
Wilhelm et al. | A forced sampled execution approach to kernel rootkit identification | |
US8910286B2 (en) | System and method for countering detection of emulation by malware | |
CN102034050A (zh) | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 | |
CN103761481A (zh) | 一种恶意代码样本自动处理的方法及装置 | |
Shi et al. | Hiding debuggers from malware with apate | |
Shi et al. | Handling anti-virtual machine techniques in malicious software | |
CN108762888A (zh) | 一种基于虚拟机自省的病毒检测***及方法 | |
CN103310152A (zh) | 基于***虚拟化技术的内核态Rootkit检测方法 | |
Jadhav et al. | Evolution of evasive malwares: A survey | |
Shosha et al. | Evasion-resistant malware signature based on profiling kernel data structure objects | |
Spisak | {Hardware-Assisted} Rootkits: Abusing Performance Counters on the {ARM} and x86 Architectures | |
Zheng et al. | CBA-detector: A self-feedback detector against cache-based attacks | |
CN111444504A (zh) | 一种用于软件运行时自动识别恶意代码的方法及装置 | |
Musavi et al. | HPCgnature: a hardware‐based application‐level intrusion detection system | |
Pendergrass et al. | Lkim: The linux kernel integrity measurer | |
CN107688481A (zh) | 一种支持多节点的kvm虚拟机隐藏进程检测*** | |
Sharma | Windows malware detection using machine learning and TF-IDF enriched API calls information | |
Albalawi et al. | Protecting Shared Virtualized Environments against Cache Side-channel Attacks. | |
Kim et al. | Defeating anti-debugging techniques for malware analysis using a debugger | |
Thomas et al. | Multi-task support for security-enabled embedded processors | |
Xiao et al. | TrustZone-based mobile terminal security system | |
Nep et al. | A research on countering virtual machine evasion techniques of malware in dynamic analysis | |
CN103914650A (zh) | 病毒检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170707 |
|
WD01 | Invention patent application deemed withdrawn after publication |