CAJ | 학술논문

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性,传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.
악의진정시위협계산궤계통안전적중대은환,여내핵급rootkit합작시구유교강적은폐성화불가각찰성,전통적은장진정검측공구주류재피감공계통중,용역수도악의찬개.위제고검측신식적정학성화검측계통적항공격능력,설계병실현일충기우허의궤감시기적은장진정검측계통.해계통주류재피감공허의궤외,이용허의궤자성궤제획취피감공주궤적저층상태신식,차조어의시도중구기술중구기진정대렬,병통과교차시도적방식비교각진정대렬간적차이,종이학정은장진정.동시,해계통야제공상응적향응궤제,용이회보은장진정적상세신식(포괄실제점용내존신식、망락단구등),이급제공종지화괘기은장진정적공능.통과대구유은장진정능력적rootkit진행실험,증명료계통적유효성화가행성.