基于影子内存的无代理虚拟机进程防护

为了提高虚拟机中进程的安全性,避免系统调用表SSDT和系统调用执行流被恶意挂钩,提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存,通过向影子内存透明注入SSDT和跳转函数,构建全新SSDT和系统调用执行流,保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT,利用硬件虚拟化的自动陷入机制检测进程的敏感行为,在VMM中过滤针对受保护进程的非法操作,实现无代理的进程防护。实验结果表明,该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击,对虚拟机性能的影响在3%以下。     

基于KVM的Windows客户机进程查杀技术

传统反病毒架构不能有效利用虚拟化优势解决云平台上的Windows系统所面临的恶意软件威胁,并且传统反病毒软件自身面临安全威胁,针对此问题,本文提出一种基于KVM的无代理Windows客户机进程在线杀毒技术。通过在KVM内核模块中添加读写内存的函数,以及为进程处理模块提供在其中注册钩子的接口等方法,解析客户机当前进程信息。将进程在内存中的PE（Portable Executable）镜像大致还原成运行前的磁盘文件后,调用开源杀毒引擎ClamAV（Clam AntiVirus）进行扫描查毒。查毒结果返回给决策模块后,由进程处理内核模块对可疑进程进行相应处理,实现对客户机当前进程的无代理查杀。分析及测试结果表明,该技术利用虚拟化优势较好的解决传统反病毒框架的资源耗费和自身安全性问题。     

基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究

针对现有虚拟机自省技术利用不可信被监控操作系统的内核数据结构在内存中的期望布局及内核函数构建被监控系统语义、无法抵抗直接内核数据结构操纵攻击的问题,对虚拟机自省机制的能力进行全面分析,并对利用虚拟机自省机制可应对的恶意攻击进行分类,提出更具健壮性的基于硬件体系架构和虚拟化扩展机制的虚拟机自省技术,通过硬件体系结构提供的虚拟机自省特性被动地观察与收集被监控系统信息,并利用虚拟硬件扩展机制主动地截获客户虚拟机内部的事件和指令,达到主动监控的目的.描述了基于硬件的虚拟机自省机制在系统调用序列收集与监控上的应用,并进行了效率测试分析.     

基于沙箱技术的恶意代码行为检测方法

通过分析不同恶意代码的行为,讨论沙箱的分类模型和实现机制,提出了一种基于虚拟化沙箱技术恶意代码行为检测方法。该方法采用对x86汇编指令、Windows系统特性、内存布局等进行全面模拟方式,通过模拟疑似为可执行代码的输入的数据流,在模拟执行过程中有尝试调用敏感系统函数行为而实现恶意代码行为检测。测试结果表明,所提方法能够有效地检测恶意代码行为,为电子数据取证提供支持。     

基于虚拟机的内核完整性保护技术

针对云计算中客户虚拟机内核完整性面临的威胁,该文提出了一种保护虚拟机内核完整性的技术-CTVM。该技术在KVM虚拟机环境中实现了虚拟化可信执行环境的创建,使多个客户虚拟机同时拥有可信计算功能,能对客户虚拟机提供启动完整性度量;在此基础上利用硬件辅助虚拟化技术,通过为客户虚拟机构造隔离的地址空间,使客户虚拟机中不可信模块与内核运行在逻辑隔离的地址空间。从这两个方面实现对客户虚拟机的启动和运行时的完整性保护。最后,以某国产服务器为实验平台实现了CTVM原型系统,系统测试与分析验证了技术的可用性,系统性能损耗在可接受的范围内。     

LINUX文件系统实时监控方法

为了保证LINUX操作系统的安全性,通过对其文件系统进行实时监控来阻止恶意程序的入侵.使用内核可加载模块修改LINUX内核,通过修改内核中的系统调用表拦截对文件系统的系统调用;使用PROC文件系统进行内核与用户进程的信息传递;使用用户进程对内核拦截到的文件信息进行处理,实现实时监控.讨论了PROC文件的注册方法,给出了在内核中通过文件句柄获取文件全路径的方法.为了实现对并行文件操作的实时监控,利用等待队列和信号机制给出了一个内核和守护进程进行同步与通信的解决方案.给出了对LINUX文件系统实时监控的一个完整的方法,并为实际编程提供了框架程序.     

基于内存监控的动态脱壳系统

恶意代码所采用的各式各样的“壳”给安全分析带来了很多困难,加壳代码的自动脱壳技术对提高安全分析工作的效率有很大作用。根据加壳程序在运行过程中的特点,设计并实现了基于内存监控的恶意代码动态自动脱壳系统。该系统动态的记录并分析加壳程序在运行过程中内存操作,并根据脱壳特点确定原程序的真正执行位置,完整的记录加壳程序脱壳过程。实验表明,该动态脱壳技术可以有效实现对恶意代码的自动脱壳。     

一种缓冲区溢出防御虚拟机的研究与实现

指出保护地址信息和状态信息的完整性是防御的重点,从为用户程序搭建运行时系统环境,以指令最终进入处理机执行为主线,运用虚拟机技术动态检测、控制关键指令和部分系统调用,给出一种基于进程虚拟机动态防御缓冲区溢出的防御方案.     

基于VMCS结构体的虚拟机恶意对象关联检测方法

虚拟机的安全运行是云计算运行环境可信性的重要保证。针对基于虚拟机自省的安全检测方法在云环境规模化、多样化虚拟机场景下面临通用性监控与深度检测间题,提岀基于VMCS结构体的虚拟机恶意对象关联检测方法,实现异构虚拟机内存无痕地、通用地获取,以及对虛拟机内、虛拟机间恶意行为的深度检测。最后,通过实验验证了所提方法对主流的Iinx和 Windows操作系统皆可有效处理,通用性较强。     

一种基于OpenvSwitch的虚拟机安全防护方案

针对虚拟网络安全边界不清晰,传统的网络设备无法监控虚拟机间的数据流量等问题,提出了一种虚拟网络安全防护方案.该方案基于OpenvSwitch技术,实现了虚拟机之间的访问控制、安全域划分策略、安全域间访问控制、虚拟机准入控制以及网络功能划分功能,有效地加强了虚拟网络边界,检测和控制网络访问.经部署和测试,说明方案的可行性与合理性.     

Method of Preventing Buffer Overflow Attacks by Intercepting DLL Functions

The way of intercepting Windows DLL functions against buffer overflow attacks is evaluated. It＇s produced at the expense of hooking vulnerable DLL functions by addition of check code. If the return address in the stack belongs to a heap or stack page, the call is from illicit code and the program is terminated. The signature of malicious code is recorded, so it is possible for the next attack to be filtered out. The return-into-libc attacks are detected by comparing the entry address of DLL functions with the overwritten return address in the stack. The presented method interrupts the execution of malicious code and prevents the system from being hijacked when these intercepted DLL functions are invoked in the context of buffer overflow.     

虚拟内存进程重构与恶意行为扩展识别模型

为了解决现有虚拟机的恶意行为分析技术检测点单一、抗干扰能力弱、检测结果可信度不高等问题,提出了一种基于虚拟内存进程重构和进程关系识别的虚拟检测技术.通过分析VMware虚拟内存特点,重构进程生命周期中的启动、隐藏、可疑操作、网络通信等序列化行为,并形式化描述为名称关系、父子关系、时间关系、文件关系、通信关系、用户关系六元组.进一步地,将六元组扩展为证据链并提出一种基于改进k-means算法的恶意行为识别模型,通过计算不同进程六元组之间的相似度,结合先验知识,使用恶意进程集初始聚类中心,进而辨识出虚拟内存中的恶意进程及其关联性和依赖关系.测试结果表明:1 000个样本中恶意进程的检出率高达91.98%,相比传统内存取证技术该方法重构出的虚拟内存进程信息更加充分,恶意行为判定结果的准确性、可靠性更高.     

动态检测进程与特定程序封杀的研究

本文以Windows平台为例,从净化本地机器的角度出发,论述了利用WindowsAPI函数对系统进程进行依次检查,然后杀死恶意进程的方法。     

基于内存自省技术的虚拟化安全防护模型

提出了一种基于内存自省技术的虚拟化安全防护模型,能够在无任何先验知识的前提下,通过实时分析物理主机物理内存重构物理主机状态信息、发现正在运行的虚拟机以及重构虚拟机高级语义信息,及时发现虚拟机中存在的恶意行为,并对恶意行为做出智能响应.实验结果表明,该模型具有透明、抗攻击、通用和高效等特性.     

一种抗语义攻击的虚拟化软件保护方法

随着计算机和网络的发展,软件核心算法面临着被逆向的威胁越来越大。虚拟机软件保护方法作为一种新型的软件保护方法,利用虚拟化技术保护软件的核心算法。因虚拟指令很难被理解,故其保护强度较高。但是,该方法仍无法抵御基于语义的攻击方法对虚拟机保护后的软件攻击,由此给软件安全带来了严重的威胁。针对现有的各类虚拟机软件保护方法无法应对目前恶意攻击者基于语义攻击的问题,提出了一种抗语义攻击的虚拟机软件保护方法即DAS-VMP。该方法分析了基于语义攻击的关键技术,依此研究出抵抗语义攻击的方法。从程序内部的数据流和执行流出发,通过设计数据流混淆引擎对虚拟机中虚拟解释器（Handlers）进行数据流混淆,使程序内部的数据流结构变得复杂多样,从而攻击者无法进行数据流的分析。隐藏虚拟机中的谓词信息,以抵抗攻击者的符号执行技术,同时将单一进程虚拟机设计为双进程虚拟机,控制软件运行过程中的执行流,使软件的执行过程更加难以被追踪,最终使经过保护后的软件呈现出一种复杂的数据流和执行流,从而阻止攻击者通过基于语义的攻击方法进行逆向分析。理论分析表明,DAS-VMP能够有效抵抗基于语义的攻击,与两款商业虚拟机保护系统的比较表明DAS-VMP对系统的性能开销较小。     

基于关键点复用的恶意行为检测方法

针对恶意程序使用反虚拟执行技术,分析人员在虚拟环境中不能检测到恶意行为的问题,提出了基于关键点复用的恶意行为检测方法.首先通过静态分析,检测程序中的反虚拟执行关键点;提取程序动态运行时调用的API函数,并在程序运行至关键点时创建当前快照;最后,当运行至路径结束点时通过关键点复用运行另一路径.实验结果表明,该方法能有效对抗恶意程序采用的反虚拟执行技术,从而检测恶意行为.