| 基于KVM的Windows客户机进程查杀技术 |
| |
| 引用本文: | 崔竞松,向浩,郭迟,张雅娜,何松. 基于KVM的Windows客户机进程查杀技术[J]. 四川大学学报(工程科学版), 2014, 46(6): 7-13 |
| |
| 作者姓名: | 崔竞松 向浩 郭迟 张雅娜 何松 |
| |
| 作者单位: | 武汉大学空天信息安全与可信计算教育部重点实验室,武汉大学计算机学院,武汉大学卫星定位导航技术研究中心,武汉大学计算机学院,武汉大学计算机学院 |
| |
| 基金项目: | 国家863高技术项目(2013AA12A206),国家自然科学基金资助项目(41104010;91120002;61170026) |
| |
| 摘 要: | 传统反病毒架构不能有效利用虚拟化优势解决云平台上的Windows系统所面临的恶意软件威胁,并且传统反病毒软件自身面临安全威胁,针对此问题,本文提出一种基于KVM的无代理Windows客户机进程在线杀毒技术。通过在KVM内核模块中添加读写内存的函数,以及为进程处理模块提供在其中注册钩子的接口等方法,解析客户机当前进程信息。将进程在内存中的PE(Portable Executable)镜像大致还原成运行前的磁盘文件后,调用开源杀毒引擎ClamAV(Clam AntiVirus)进行扫描查毒。查毒结果返回给决策模块后,由进程处理内核模块对可疑进程进行相应处理,实现对客户机当前进程的无代理查杀。分析及测试结果表明,该技术利用虚拟化优势较好的解决传统反病毒框架的资源耗费和自身安全性问题。
|
| 关 键 词: | KVM虚拟化 虚拟化安全 无代理方式 进程监控 PE镜像还原 进程终止 |
| 收稿时间: | 2014-06-23 |
| 修稿时间: | 2014-09-01 |
Online Anti-virus Technology of Processes Running on Windows VM Based on KVM |
| |
| cui jing song,guo chi,and. Online Anti-virus Technology of Processes Running on Windows VM Based on KVM[J]. Journal of Sichuan University (Engineering Science Edition), 2014, 46(6): 7-13 |
| |
| Authors: | cui jing song guo chi and |
| |
| Affiliation: | Global Navigation Satellite System Research Center, Wuhan University,, |
| |
| Abstract: | |
| |
| Keywords: | KVM virtualization Security agentless technique process monitoring PE image reduction process killing |
|
| 点击此处可从《四川大学学报(工程科学版)》浏览原始摘要信息 |
|
点击此处可从《四川大学学报(工程科学版)》下载全文 |
