首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到19条相似文献,搜索用时 93 毫秒
1.
近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.  相似文献   

2.
针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。  相似文献   

3.
温研  赵金晶  王怀民 《计算机应用》2008,28(7):1769-1771
自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中(Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表(TVPL)获取技术,Gemini实现了在虚拟机监视器(VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。  相似文献   

4.
基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。  相似文献   

5.
Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.  相似文献   

6.
王雷  凌翔 《计算机工程》2010,36(5):140-142
进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。  相似文献   

7.
随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。  相似文献   

8.
基于VMM的Rootkit检测技术及模型分析   总被引:1,自引:0,他引:1  
随着计算机网络的发展,信息安全已逐渐成为当今社会的主要问题之一。内核态 Rootkit 以其良好的隐蔽特性被广泛应用于恶意代码中,严重影响操作系统内核的完整性。文章首先对基于LKM的Linux主流Rootkit技术进行了归纳整理,剖析了当前基于VMM的Rootkit检测技术及模型的原理和架构,对“In-VM”、“In-VMM”和“In-Host”检测模型的有效性、实用性、可靠性等方面进行了讨论和对比分析,其中“In-VM”模型在Rootkit检测在有效性方面效果突出,而“In-Host”模型在实用性和可靠性方面效果较好,“In-VMM”作为二者的折中方案,其各方面特性相对均衡。基于VMM的Rootkit检测技术及模型的分析,为明确该领域的研究方向及进一步研究提供参考依据。  相似文献   

9.
隐蔽性恶意程序Rootkit通过篡改系统内核代码与指令,导致操作系统返回虚假的关键系统信息,从而逃避管理员和主机型安全工具的检查.通过分析Rootkit技术的实现原理,包括进程、TCP端口、注册表和文件的隐藏技术,提出了基于差异分析的隐藏行为检测技术.该技术将可信任的系统信息与不可信任的系统信息进行比较,从而获得被隐藏的信息.最终实现了相应的原型系统.与特征码扫描法相比,该检测方法检测在未知和变形Rootkit方面具有明显优势.  相似文献   

10.
Windows Rootkit隐藏技术与综合检测方法   总被引:3,自引:0,他引:3       下载免费PDF全文
针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术(包括DKOM和各种钩子),指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。  相似文献   

11.
随着虚拟化技术的发展及其在云计算中的广泛应用, 传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击, 研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足, 分析了现有的HVMR检测方法, 包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法, 以及基于指令计数的监测方法等。总结了这些检测方法的优缺点, 并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法, 分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法, 同时也预测了未来虚拟化检测技术的发展方向。  相似文献   

12.
朱智强  赵志远  孙磊  杨杰 《计算机科学》2016,43(Z6):348-352
针对现有虚拟化环境下Rootkit检测技术易被绕过、性能开销大的问题,提出了虚拟化环境下基于职能分离的检测系统架构XenMatrix,其在保证检测系统透明性的同时提高了自身的安全性;设计了检测频率的自适应调整策略,实现了Rootkit检测频率的动态调整,有效降低了系统的性能开销。最后对实验结果的分析表明,相比现有检测技术,该原型系统能够有效检测Rookit,具有较高的检测率和较低的性能开销。  相似文献   

13.
黄啸  邓良  孙浩  曾庆凯 《软件学报》2016,27(2):481-494
传统的基于虚拟化内核监控模型存在两个方面的不足:(1) 虚拟机监控器(virtual machine monitor,简称VMM)过于复杂,且存在大量攻击面(attack surface),容易受到攻击;(2) VMM执行过多虚拟化功能,产生严重的性能损耗.为此,提出了一种基于硬件虚拟化的安全、高效的内核监控模型HyperNE.HyperNE舍弃VMM中与隔离保护无关的虚拟化功能,允许被监控系统直接执行特权操作,而无需与VMM交互;同时,HyperNE利用硬件虚拟化中的新机制,在保证安全监控软件与被监控系统隔离的前提下,两者之间的控制流切换也无需VMM干预.这样,HyperNE一方面消除了VMM的攻击面,有效地削减了监控模型TCB(trusted computing base);另一方面也避免了虚拟化开销,显著提高了系统运行效率和监控性能.  相似文献   

14.
基于LKM的RootKit技术   总被引:5,自引:0,他引:5  
后门技术是网络安全领域一个十分重要的研究对象。本文简要地介绍了传统后门技术和基于LKM的后门技术的区别,并详细分析了当前LKM rootkit广泛采用的一些技术手段。  相似文献   

15.
一种轻量级的Android内核保护监控器   总被引:1,自引:0,他引:1  
杨永  钱振江  黄皓 《计算机工程》2014,(4):48-52,56
为阻止针对Android系统内核的攻击,保护Android系统内核不被破坏,设计一种基于ARM平台轻量级的hypervisor监控器架构。该架构利用ARM硬件虚拟化扩展技术,对不信任模块进行隔离,阻止模块中恶意代码对内核的破坏,保护关键对象不被篡改,并基于hypervisor、利用交叉视图检测rootkit。实验结果表明,该架构能及时阻止对被监控对象的修改,快速检测出rootkit威胁,减少系统被攻击后带来的损失。  相似文献   

16.
Rootkit是攻击者入侵操作系统后,用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理,分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上,提出一种基于交叉视图的隐藏恶意代码自动检测方法,并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现,可还原被恶意修改的系统调用表的内容,终止隐藏的进程,移除隐藏的文件,阻止攻击网络流.实验数据表明提出的方法是有效可行的.  相似文献   

17.
Intel virtualization technology   总被引:3,自引:0,他引:3  
A virtualized system includes a new layer of software, the virtual machine monitor. The VMM's principal role is to arbitrate accesses to the underlying physical host platform's resources so that multiple operating systems (which are guests of the VMM) can share them. The VMM presents to each guest OS a set of virtual platform interfaces that constitute a virtual machine (VM). Once confined to specialized, proprietary, high-end server and mainframe systems, virtualization is now becoming more broadly available and is supported in off-the-shelf systems based on Intel architecture (IA) hardware. This development is due in part to the steady performance improvements of IA-based systems, which mitigates traditional virtualization performance overheads. Intel virtualization technology provides hardware support for processor virtualization, enabling simplifications of virtual machine monitor software. Resulting VMMs can support a wider range of legacy and future operating systems while maintaining high performance.  相似文献   

18.
针对当前系统虚拟化中设备模型难以通用、I/O执行效率低等问题,提出一种基于多核平台的设备虚拟化方案。将传统的消息式I/O处理转换成实时I/O处理,通过I/O传递协议消除I/O处理部件与虚拟机监控器(VMM)的紧耦合,在改善I/O处理效率的同时,提高设备虚拟化模型的通用性,结合协作型VMM完成对设备虚拟化的设计与实现。测试结果表明,该方案能提升I/O执行效率,适用于多种虚拟化系统。  相似文献   

19.
基于Xen的I/O准虚拟化驱动研究   总被引:3,自引:2,他引:1       下载免费PDF全文
胡冷非  李小勇 《计算机工程》2009,35(23):258-259
针对全虚拟化下客户端虚拟机无法“感知”虚拟机监视器的问题,对基于Xen的I/O准虚拟化驱动进行研究,通过实验可知,准虚拟化驱动能够消除全虚拟化方式下虚拟机监视器“黑箱”特性的限制,可以实现和虚拟机监视器的密切配合,从而提高I/O性能。在虚拟机Xen的全虚拟化环境中加入准虚拟化驱动,采用对比测试方法验证了该驱动能大幅提升网络性能。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号