作者:温研 赵金晶 王怀民虚拟机监视器自隐藏恶意代码硬件虚拟化技术进程隐藏
摘要:随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtualmachine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list,TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra具有两个特色,即动态的操作系统迁移技术和不依赖于操作系统的隐式进程自省技术。测试结果证明了Libra检测隐藏进程的完整性,具有很好的实用性。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
