一种利用物理内存搜索硬件虚拟化Rootkit 的检测方法
DOI:
作者:
作者单位:

作者简介:

通讯作者:

中图分类号:

基金项目:

国家自然科学基金(60903220)


Approach for Hardware Virtualization-Based Rootkit Detection via Physical Memory Searching
Author:
Affiliation:

Fund Project:

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    硬件虚拟化Rootkit(hardware virtualization-based Rootkit,简称HVBR)是近几年出现的新型恶意程序,相比传统Rootkit 具有更强的隐藏性,难以被有效地检测出来.分析了HVBR 的隐藏原理和运行机制,针对HVBR能够绕过直接内存扫描的隐藏特性,提出了一种基于物理内存搜索的检测方法.该方法通过修改页表项PTE 遍历物理内存,通过比较HVBR 的固有特征进行检测和定位.实验结果表明,该方法具有较好的可靠性和检测效率.

    Abstract:

    Hardware Virtualization-Based Rootkit (HVBR) is one of many new malwares appearing over the years. Compared to the traditional Rootkit, HVBR is stealthier and more difficult to detect. This paper analyzes the concealment and working mechanism of HVBR. By aiming at the stealth of HVBR on bypassing virtual memory scan to counter detection, this paper proposes a detection approach, based on physical memory search. The approach modifies Page Table Entry (PTE) to traverse the physical memory, and matches the fixed characteristic of HVBR with the raw memory data to detect and locate HVBR in memory. The experimental results show it is reliable and efficient.

    参考文献
    相似文献
    引证文献
引用本文

周天阳,朱俊虎,李鹤帅,王清贤.一种利用物理内存搜索硬件虚拟化Rootkit 的检测方法.软件学报,2011,22(zk2):1-8

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:2011-02-15
  • 最后修改日期:2011-07-28
  • 录用日期:
  • 在线发布日期: 2012-03-30
  • 出版日期:
文章二维码
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京市海淀区中关村南四街4号,邮政编码:100190
电话:010-62562563 传真:010-62562533 Email:jos@iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号