计算机应用研究
計算機應用研究
계산궤응용연구
APPLICATION RESEARCH OF COMPUTERS
2014年
1期
1-5,12
,共6页
施江勇%王会梅%鲜明%荣宏%金从军
施江勇%王會梅%鮮明%榮宏%金從軍
시강용%왕회매%선명%영굉%금종군
硬件虚拟化%rootkit检测%基于硬件虚拟化的rootkit%Bluepill检测%恶意性检测%内存扫描
硬件虛擬化%rootkit檢測%基于硬件虛擬化的rootkit%Bluepill檢測%噁意性檢測%內存掃描
경건허의화%rootkit검측%기우경건허의화적rootkit%Bluepill검측%악의성검측%내존소묘
hardware-based virtualization%rootkit detection%HVMR%Bluepill detection%malicious detection%memory scan
随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己.为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法,以及基于指令计数的监测方法等.总结了这些检测方法的优缺点,并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法,分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法,同时也预测了未来虚拟化检测技术的发展方向.
隨著虛擬化技術的髮展及其在雲計算中的廣汎應用,傳統的rootkit也開始利用硬件虛擬化技術來隱藏自己.為瞭對抗這一新型rootkit的攻擊,研究瞭傳統rootkit檢測方法在檢測硬件虛擬化rootkit(HVMR)上的不足,分析瞭現有的HVMR檢測方法,包括基于指令執行時間差異的檢測方法、基于內存資源視圖差異的檢測方法、基于CPU異常和錯誤的檢測方法,以及基于指令計數的鑑測方法等.總結瞭這些檢測方法的優缺點,併在此基礎上提齣瞭兩種通過掃描內存代碼來檢測HVMR噁意性的方法,分彆是基于hypervisor的噁意性檢測方法和基于硬件的噁意性檢測方法,同時也預測瞭未來虛擬化檢測技術的髮展方嚮.
수착허의화기술적발전급기재운계산중적엄범응용,전통적rootkit야개시이용경건허의화기술래은장자기.위료대항저일신형rootkit적공격,연구료전통rootkit검측방법재검측경건허의화rootkit(HVMR)상적불족,분석료현유적HVMR검측방법,포괄기우지령집행시간차이적검측방법、기우내존자원시도차이적검측방법、기우CPU이상화착오적검측방법,이급기우지령계수적감측방법등.총결료저사검측방법적우결점,병재차기출상제출료량충통과소묘내존대마래검측HVMR악의성적방법,분별시기우hypervisor적악의성검측방법화기우경건적악의성검측방법,동시야예측료미래허의화검측기술적발전방향.
