首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到17条相似文献,搜索用时 140 毫秒
1.
恶意软件通过隐藏自身行为来逃避安全监控程序的检测.当前的安全监控程序通常位于操作系统内部,难以有效检测恶意软件,特别是内核级恶意软件的隐藏行为.针对现有方法中存在的不足,提出了基于虚拟机监控器(virtual machine monitor,简称VMM)的操作系统隐藏对象关联检测方法,并设计和实现了相应的检测系统vDetector.采用隐式和显式相结合的方式建立操作系统对象的多个视图,通过对比多视图间的差异性来识别隐藏对象,支持对进程、文件及网络连接这3种隐藏对象的检测,并基于操作系统语义建立隐藏对象间的关联关系以识别完整攻击路径.在KVM虚拟化平台上实现了vDetector的系统原型,并通过实验评测vDetector的有效性和性能.结果表明,vDetector能够有效检测出客户操作系统(guest OS)中的隐藏对象,且性能开销在合理范围内.  相似文献   

2.
利用虚拟机监视器检测及管理隐藏进程   总被引:3,自引:0,他引:3  
恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.  相似文献   

3.
陈兴蜀  蔡梦娟  王伟  王启旭  金鑫 《软件学报》2021,32(10):3293-3309
虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM(kernel-based virtual machine)虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明:VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.  相似文献   

4.
恶意进程利用Rootkit使自己具有极强的隐蔽性.传统的隐藏进程检测工具部署在被检测系统中,容易受到攻击.为提高检测系统的抗攻击性和准确性,提出了一种虚拟环境下特征匹配的隐藏进程检测系统.该系统部署在被监控虚拟机外部,自调整检测频率扫描计算机内存来获取进程相关信息,并通过与预先构建好的特征模板进行相似度匹配,达到检测隐藏进程的目的.实验结果表明,该检测系统可以有效地检测出典型的Rootkit代码,确定隐藏进程的存在.  相似文献   

5.
李保珲  徐克付  张鹏  郭莉  胡玥  方滨兴 《软件学报》2016,27(6):1384-1401
虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的一个核心难题是底层状态数据与所需高层语义之间的“语义鸿沟”,该难题限制了虚拟机自省技术的发展与广泛应用.为此,本文基于语义重构方式的不同将现有的虚拟机自省技术分为四类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这四类方法进行了比较分析,结果显示不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑四类方法的特点设计满足自身需求的虚拟机自省方案.最后,本文详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题.  相似文献   

6.
在深入研究Windows环境下文件访问系统内部操作机制的基础上,总结了现有常用的文件隐藏和检测技术,并对这些技术进行了查找分析,提出了一种在驱动层对文件隐藏和检测的方案。该方案不仅可以对系统中的隐藏文件进行检测并恢复被隐藏的文件,满足用户对任何可疑文件夹内隐藏文件的检测功能,还可以实现对重要的文件在内核驱动层的隐藏功能,以保证用户文件信息的安全性。  相似文献   

7.
IVirt:基于虚拟机自省的运行环境完整性度量机制   总被引:2,自引:0,他引:2  
完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价.  相似文献   

8.
吴为丹 《微计算机信息》2007,23(15):190-192
JNode是一个基于Java的开源操作系统。本文分析了JNode中实现ClassLoader的源代码,深入探讨了类动态装载的最底层实现,尤其是通常以dll方式提供的本地代码的内部机制。这有益于通过实例深入理解Java语言机制和虚拟机规范,也可为特定硬件上实现ClassLoader提供借鉴。  相似文献   

9.
虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.  相似文献   

10.
为保护闪存型存储设备上的敏感文件,提出基于闪存冗余块的文件隐藏方法.该方法在分析Nand型flash特点及FAT32文件系统管理机制的基础上,将闪存中冗余的物理块有机组合以存储敏感文件,并采用与文为保护闪存型存储设备上的敏感文件,提出基于闪存冗余块的文件隐藏方法.该方法在分析Nand型flash特点及FAT32文件系统管理机制的基础上,将闪存中冗余的物理块有机组合以存储敏感文件,并采用与文件隐藏相似的方法恢复原始文件.实验结果表明,基于闪存冗余块的文件隐藏方法不占用闪存有效空间,具有隐蔽性高、鲁棒性强且隐藏容量大的特点,能有效抵抗软件取证攻击.  相似文献   

11.
赵成  陈兴蜀  金鑫 《计算机应用》2017,37(2):388-391
为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。  相似文献   

12.
陈威  王晖 《计算机科学》2012,39(9):252-256
虚拟机监控器(VMM)具有强控制性、隔离性的特点。针对现有文件完整性监控系统中存在的缺陷,提出了一种新的基于VMM且与客户机相隔离的文件完整性保护方法,该方法能够保护用户的敏感文件,特别是文件完整性监控系统本身,使其免受恶意代码的攻击。这种基于虚拟机监控器的文件完整性保护解决方案,在虚拟机隔离层中通过设计和嵌入的"探测器"和"文件逆向定位器"两种关键技术,能够实时地探测到对被保护文件的所有访问企图,从而实现预置的保护策略。  相似文献   

13.
由于虚拟环境多次I/O操作模拟的存在,运行在宿主服务器中的各虚拟客户机之间使用传统代理进行文件访问效率不高。为此,提出了基于VirtFS的共享文件空间技术。构建了虚拟客户机共享文件空间的系统架构,设计了虚拟磁盘操作映射机制,使用VirtFS框架提供的系统层接口,在宿主服务器中的VirtFS服务端截取和映射文件操作,直接将虚拟机文件系统的操作映射为对宿主服务器文件系统的操作。为了保障安全,彻底隔离用户域,实现分组共享。实验结果表明,采用该方法比现有代理方法文件读写效率分别提高9.7和5.7倍。  相似文献   

14.
考虑到当前开展计算机网络安全实践教学存在的问题,提出采用VMware虚拟机构建实验环境进行网络安全实验。针对进行网络安全攻防实验时首要遇到的文件上载问题,给出了详细地行之有效地解决方法。实验表明,使用FTP服务器、搭建Web服务器、网络共享、net use命令、安装VMware tools这几种方法均能将本地文件成功上载至虚拟主机中,从而为后续实验的顺利完成奠定了基础。  相似文献   

15.
Journaling file systems, which are widely used in modern operating systems, guarantee file system consistency and data integrity by logging file system updates to a journal, which is a reserved space on the storage, before the updates are written to the data storage. Such journal writes increase the write traffic to the storage and thus degrade the file system performance, especially in full data journaling, which logs both metadata and data updates. In this paper, a new journaling approach is proposed to eliminate journal writes in server virtualization environments, which are gaining in popularity in server platforms. Based on reliable hardware subsystems and virtual machine monitor (VMM), the proposed approach eliminates journal writes by retaining journal data (i.e. logged file system updates) in the memory of each virtual machine and ensuring the integrity of these journal data through cooperation between the journaling file systems and the VMM. We implement the proposed approach in Linux ext3 in the Xen virtualization environment. According to the performance results, a performance improvement of up to 50.9journaling approach of ext3 due to journal write elimination. In metadata‐write dominated workloads, this approach could even outperform the metadata journaling approaches of ext3, which do not guarantee data integrity. These results demonstrate that, on virtual servers with reliable VMM and hardware subsystems, the proposed approach is an effective alternative to traditional journaling approaches. Copyright © 2011 John Wiley & Sons, Ltd.  相似文献   

16.
胡小兵  袁锐 《微机发展》2004,14(5):102-104
为了在Windows98/95中一次性设置某文件夹下的所有文件的属性(如只读、存档、系统和隐藏属性等),文中通过VB中的文件控件(DriveListBox,DirListBox和FileListBox)的协同工作,并利用递归算法来达到遍历该目录下所有文件的目的。在遍历文件的过程中,通过相应的WindowsAPI函数将所有文件设置成所需要的属性。在VB上编程实现了该算法,程序结果显示本算法的可行性且具有极高的灵活性。  相似文献   

17.
传统的文件相似性检测技术是基于源代码的,针对源代码难以获取的情况,二进制文件比对技术被提出并受到越来越多的关注。总结和分析了四种二进制文件相似性检测技术和主流的检测工具。在提出了二进制文件克隆比对的评价方法的基础上进行了实验测试。该方法针对二进制文件克隆的分类方式,设计了实验流程和相似度的计算标准。结果表明对于连续克隆,不影响调用关系的分割克隆,不影响基本块数量和调用关系的等价替换克隆,采用二进制文件相似性检测比采用基于token的源代码文件相似性检测能得到更准确的检测结果。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号