云南11选5开奖走势_云南11选5的开奖结果_云南11选五走势图表

F D M 能够准确快速地检测 出虚 拟机 内部 的隐藏文件. 关键

更新时间:2019-10-09 21:17点击:

  2 0 1 6年 第 2 5卷 第 1 期 h t t p : l l w ww . c — S — a . o r g . c n 计 算 机 系 统 应 用 基于虚拟机 自省的隐藏文件检测方 乌 云 ,李 平, 一 ,李 勇钢 r 2 , . f 中 国科学 院合肥物质科 学研 究院 应用技术研究所,合肥  ̄ 3 0 0 8 8 ) ( 中国科学院 合肥 智能机械研究所,合肥 2 3 0 0 3 1 ) 中国科学技术大学 自动化系,合肥 2 3 0 0 2 7 ) 摘 要:通过检测虚拟机 内部的隐藏文件,检测工具可 以及 时判 断虚拟 机是否受到攻击. 传统 的文件检测工具驻 留在被监视虚拟机 中, 容 易遭 到恶意软件 的攻击.基于虚拟机 自省原理 , 设计并实现一种模块化 的虚拟机 文件 检 测 方法 F D M. F D M 借助操作系 统 内核知识, 解析虚拟机所 依存 的物理硬件, 构建虚拟机文件语义视 图,并通过 与 内部文件列表 比较 来发现 隐藏文件 . F DM 将硬件状态解 析和操作系统语义信 息获取 以不 同模块实现,不仅具备 虚拟 机 自省技术 的抗干扰性,还具备模块化架构 的可移植性与 高效性.实验结果表明, F D M 能够准确快速地检测 出虚 拟机 内部 的隐藏文件. 关键 词: 虚拟机 自省;文件检测;隐藏 文件 Me t ho d o f Hi dde n Fi l e De t e c t i o n Ba s e d o n Vi r t u a l Ma c hi ne I nt r O s pe c t i 0 n 、 ⅣU Y , LI P i n g , LI Yo n g . Ga n g , ‘ ( I n s t i t u t e o f Ap p l i e d T e c h n o l o g y , C h i n e s e Ac a d e my o f S c i e n c e s , H e f e i 2 3 0 0 8 8 , C h i n a ) ( I n s t i ut t e o f I n t e l l i g e n t Ma c h i n e s , C h i n e s e Ac a d e my o f S c i e n c e s , H e f e i 2 3 0 0 3 l , C h i n a ) ( De p a r t me n t o f Au t o ma t i o n , Un i v e r s i t y o f S c i e n c e a n d T e c h n o l o g y o f C h i n a , H e f e i 2 3 0 0 2 7 , C h i n a ) A b s t r a c t : T h e d e  ̄ c t i o n t o o l s c a n j u d g e w h e t h e r t h e v i r t u a l ma c h i n e i s u n d e r a t t a c k o r n o t t h r o u g h d e t e c t i n g he t h i d d e n il f e s .Th e t r a d i t i o n a l i f l e d e t e c t i o n t o o l s r e s i d e n i t h e mo n i t o r e d v i r t u a l ma c h i n e .wh i c h a r e v u l n e r a b l e t o a t t a c k b y he t ma l i c i o u s s of t wa re . Ac c o r d i n g t o he t v i r t u a l ma c h ne i i n t r o s p e c t i o n ,a mo d u l a r i z e d v i r t u a l ma c h i ne il f e d e t e c t i o n me t h o d ( F D M) i s d e s i g n e d a n d i m p l e m e n t e d . 、 v i t l 1 he t o p e r a t i n g s y s t e m k e r n e l k n o wl e d g e . F DM c a n p a r s e t h e p h y s i c a l h a r d wa re a n d b u i l d t h e s e ma n t i c v i e w o f t h e il f e s . The n F DM c a n i d e n if t y he t h i d d e n il f e s b y c o mp a r i n g wi t h t h e i n t e ma l il f e l i s t . Me n wh a i l e , p a r s ng i h rd a wa r e s t a t us a n d o b t a ni i n g s e ma n t i c nf i o r ma i t o n a r e i mp l e me n t e d i n d i fe r e n t mo d u l e s . F DM h a s n o t o n l y he t t a mp e r r e s i s t a n c e o f he t v i r t u a l ma c h i n e i n ro t s p e c t i o n ,a l s o h a s a mo d ul a r a r c h i t e c ur t e ,p o r t a b i l i t y a n d e ic f i e n c y h e T e x p e r i me n t a l r e s ul t s s h o w ha t t t h e FDM c a n q u i c k l y nd a a c c u r a t e l y d e t e c t he t h i d d e n il f e s i n s i d e v i r t u a l ma c h ne i . Ke y wo r ds : v i r t u a l ma c h i n e i nt r o s p e c t i o n ; il f e d e t e c io t n; h i d d e n il f e 随着 互联 网技 术 的发展 ,网络安全 备受人们 的关 注.中国互联网络信息 中心 2 0 1 3年发布 的 ( 2 0 1 3年中 国网民信息 安全状 况研 究报告》【 显示: 有7 4 . 1 %的网 民在过去半 年 内遇到过信息 安全 问题,总人数达 4 . 3 8 算机病 毒、木马等恶意代码 已经成 为威胁 互联网安全 的重大 隐患. 云计算对计算机 资源 的利用主要通过虚 拟机的形 式实现 . 虚 拟机作为 具备完整操作 系统和应用服 务的 亿.其 中网购 、浏 览网页和 即时通信 时遇 到病毒 或木 马的 比例分别为 2 2 . 6 %, 7 0 . 9 %和 4 0 . 6 %.由此可见,计 ① 基金 项 目: 中国科 学 院合肥 物质 科 学研 究院 院长 基金 ( Y Z J J 2 0 t 3 2 9 ) 收稿 时 间: 2 0 1 5 . 0 5 — 0 3 ; 收 到修 改稿 时 间: 2 0 1 5 — 0 6 - 1 5 个体,同样面临着来 自恶意软件 的威胁 . 例如, R o o t k i t 是攻击者 向计算机系统植入 的,能够隐藏 自身踪迹并 S o f t w a r e T e c h n i q u e? A l g o r i t h m 软件 技术 ? 算法 1 7 5 计 算 机 系 统 应 用 h t t p : / / ww w. c - S - a . o r g . c n 2 0 1 6年 第 2 5卷 第 1期 且保 留超级用 户访 问权限的恶意代码 【 2 】 . R o o t k i t能够 隐 藏文 件,使 其不 被操 作 系统 甚至 杀毒 软件 所发 现 . 因此,快速准 确地检测 出被恶意代码 隐藏 的文件 对于 提高计算机安全有着重要 的意义. 传 统的入侵检测工具可 以用在虚拟机 安全检测上 T r i p wi r e [ 3 ] 是一 个 典型 的使用 完 整性检 测 方法 来检 测 文件系统安全性 的例子.首先, T r i p wi r e 为需要监视 的 有效性和可行性 1 背 景 1 . 1 L i n u x文件管理 计 算机 中所存储的大量程序和数据都 是通过文件 系 统来组织 和管理 的.从用户 的观点来 看,文件被 组 织在一个树结构 的命名空 间中【 引 . 在L i n u x中,每个 目 录 被看作一个文 件,可 以包含若干 文件和其他 的子 目 录. 一 旦 目录项 被读入 内存,虚拟 文件系 统就把 它转 换成基于 d e n t r y结构 体的一个 目录项对象, d e n t r y 结构 体 包 含 了 许 多 和 文 件 描 述 有 关 的 成 员 变 量 ,如 d p a r e n t 、 d i n a me 和 d s u b d i r s .图 _ 文件 建立 一个完 整性特 征数据库 . 然 后,在不 同的 时 间点 比较文件 的特 征数据库 .最后,判 断文件是 否被 篡改. T r i p w i r e是一个基 于主机 的入侵检测 系统 .当恶 意软件控制主机后, T r i p w i r e很容易被攻 击者篡 改. 刘 传[ 4 1 等人提 出了基于 V F S ( V i r t u a l F i l e s y s t e m ) 后 门技术 的文件 隐藏方 法,通 过对 V F S 层 进行攻 击 , 重定向 1 是 Li n ux 目录树 对应 的数据 结构示意 图. 父 目录通过 d s u b d i r s 指 向子 r e a d d i r 、f i l l d i r 等操作函数 来实现文件隐藏. 文 中虽然 提 到利用一些 工具直接 去读 取磁盘上 的 内容,然后与 经过 V F S接 口去读的 内容相对 比, 就可 能发现文件是 目录链 表, 然后子 目录通过 d c h i l d连接起 来. 子 目录 通过 d p a r e n t 指针 指 向其父 目录. 整个 目录依此层 次 _ 结构构成 L i n u x的文件系统. 根 目录 …/ 的d e n t r y 被 隐藏 的.由于 VF S后 门与操作系统 内核源代码紧密 相关,而操作系统 内核版本很多,因此可移植性很差. 虚拟机 自省机制 【 5 ] 是一项用于监视和获取 V M 内 部状 态 的技术 , 广泛 应用于入侵检 测 、隐藏 文件检测 和 恶意软件 分析等领域 . 主要用 于解决虚拟 机监视器 和 内部操作 系统之 间的语义鸿沟 问题 , 利 用操作系 统 的 内核数 据 结构特 征 来为 虚拟 机监 视 器提 供语 义信 息. L i v e wi r e [ 6 J 首次提 出了虚拟机 白省技术, 它本身 并 不 主动截获客 户操作系 统 内的相关操 作,而是周期性 检 查操 作系统 内的变化 , 对 于文件 系统而 言,就是检 查系统文件是否被恶意更改. 但是, L i v e w i r e并没有对 隐藏文件进 行相关研 究. V MWa t c h e r  ̄ 】 采用虚拟机 自省 技术 , 在 虚拟 机外 部对虚 拟机 进行监 测 . V MWa t c h e r 从 内核 源码来 获取信 息, 解 决 了语义鸿沟 问题,构 建 出虚拟机 的视 图信息,通过信 息对 比来发 现隐藏 的病 毒. 但是, V MWa t c h e r 需要在线解析各种类型 OS 和 各 种版本 内核信息。 通用性不强. 1 . 2 Xe n环境 下 内存管理 X e n [ 9 1 是剑桥大学开发的一个运行在 X 8 6 架构上 的虚拟机监视器.典型的 X e n虚拟化环境主要 由机器 硬件 、X e n虚拟机监视器( Xe n H y - p e r v i s o r ) 、D o m0 ( 特 权域1 和 D o mU ( g u e s t o s ) 组成【 l 。 1 .虚拟机监视器位 于 硬件 和操 作 系统 之 间,向虚 拟机 提供 虚拟 硬 件 资源 , 同时分配 和管理这 些资源,并保证虚 拟机之 间的相互 图1 目录树 的数据结构示意 图 因此,本文在兼顾安全性、 通用性 的前提下, 提 出 了一种 内核语义解析 和语义视 图重构 的任务 分离式的 文件检测方法 F D M. F DM 能够 为虚拟机提供主动 的、 透 明的和实时 的文件列表检测. F D M 采用虚拟机 自省 技术在虚拟机外部监 视虚拟 机物理 内存而不在虚拟 机 内部安装任何监控代码.最后,在 X e n 虚拟 化平台上 实现 了 F D M 的系统原型,并通过 实验验证 了 F DM 的 1 7 6软件 技术 ? 算法 S o f t wa r e T e c h n i q u e? Al g o r i t h m 隔离. 在 X e n中使用影子页表[ 1 1 技术直接实现客户机 2 0 1 6年 第 2 5卷 第 1 期 h t t p : l l ww w. c - S — a . o r g . c n 计 算 机 系 统 应 用 虚 拟地址 到宿主机机器 地址 的转 换, 提 高 了机器 内存 的利用率. 文件 的根 目录的位置,即“ / ” 的地址. 在前面获取到 i n i t 进程 的 t a s k s t r u c t结构体的地址之 后, 调用后端 的内 核 信 息 静? 态 库 并 使 用 影 子 页 表 技 术 通 过 2 系统实现 F DM 采用虚 拟机 自省技术监 视虚拟机 的物理 内 t a s ks t r uc t 一 >r am — — s t r uc t - >vr n ar ea s t r u c t - >f il e 一 >p a t h? >d _ _ e n t r y . > d i n a me 来获取文件名. 获取 i n i t 进程文件名 的 存 .它能够在虚拟 机外部重 构虚拟机 内核数据结构 的 高级语义 视 图.因此 ,它不 需要在客 户虚拟机 内部 安 装 任 何钩 子 函数,与客户 虚 拟机 具有 很好 的 隔离 性, 过程就是获取 d e n t r y结构体地址的过程, 然后再次调 用后 端 的 内核信 息静 态库通 过 d e n t r y 结 构 体 的 d p a r e n t 成员变量来得到当前文件 的父 目录( d e n t r y结 能够 很好 的避 免恶意软件 的攻击,提 高了检 测系统 的 安全性.F D M 由前端 模块和后 端模块 两个部分 组成. 后端模 块负责解析操作系统 内核数据结构 的语义信 息, 构体) ,依 次 向上 追 溯 ,直 到 找 到 根 目录 ‘ ’ 的地 址 r o o t a d d r为止. 从进程定位到根 目录定位 的整个过程 如 图 3所示 堆栈 当 薪 进程 的 蜮  ̄ ' l x ' u e t 前端 模块 负责完成 “ i n i t ” 进程 定位 和文 件语 义视 图构 建. F D M 系统架构如 图 2 所 示 DoI l l o 链 表中 的 t a s k篁 i n 前端模 块 文件列表 遍历 模块 、 … . t 文件 根 目录 定位 模块 I内 核 信 息I I 静 态 库 l 后 端 模 块 D o m U t 虹 H d 口 如l 一 — 昌 广■ v m . 佻 l l 进 程 定 位 模 块I \ \ 十 I 内 获 核 取 信 模 块I 息L - 十 进程 的 内 核 叫■ 缸出  ̄ r t i g t — 哪 . - 蛐mc t V m a f 鞠蛙m d 二—] m m s t 4 r : l Ⅵn . . s 值r t f l 一, r 一 , p f 学 I d C O I T I f  ̄ c … i n i t I 堕 ! I } _ _ . 竺 口 _ 一 l I m 唧  ̄ e r t H y p e t ' v i s o t 一 , , / 硬 件( 物 理 c P U 、 物 通 口 南 络 、 块 设 备 ) 图2 F D M 系统架构 2 . 1 F DM 前端模块 d, u 蝴 嚷 d , c 潮 h d 谯 匡 寓 d  ̄n m r n e ● 一 F D M 的前端模块 由进程定位模块,文件根 目录定 图 3 根 目录定位过程 文件遍历模 块用 于从“ / , ’ 目录开始查找到所需遍历 的 目录( n 级 目录, 如“ / u s r / t mp ” 为三级 目录,依次为‘ ‘ / ” , “ u s r ” 和“ t mp ” ) 并进行 遍历 .首先,从 根 目录 开始采 用 位 模块和 文件列表遍 历模块三 个部分组 成. 前 端模块 通 过调用后端模块提 供的 内核信息静态 库来构建高级 语义视 图. ‘ 进 程定位模块主要用来 定位 i n i t进程 的地 址. 首 先, 通过虚拟机监视器读 取 E S P 寄存器 的信 息, 并进 行相关运算得到虚拟机 中当前进程 的 t h r e a di n f o结构 . 广 度优先搜 索方法来定位 到需要遍历 的 目录位置.然 后通过 d e n t r y结构体的 d U成员变量来遍历此 目录下 的所 有文 件. 具体步骤如下: 体 的 地 址 .然 后 调 用 后 端 的 内核 信 息 静 态 库 通 过 t h r e a d i n f o的地址来获取进程描述符 t a s k s t r u c t的地 ( 1 1 调用 后端 的 g e t d s u b d i r s o f s e t 函 数 和 g e t d u o f f s e t 函数获得 d e n t r y 结构体 中 d s u b d i r s 和d U 的偏 移 量 O d s u b d i r s和 0 d u .利 用 影 子 页 表 S P T ( r o o t a d r, d O d s u b d i r s ) 得到 d s u b d i r s 的宿主机机 器地址 . 解析 该地址 中的 内容,并根据 O d U 的值 得 d d r . 到 子 目录 结构体 d e n t r y的地址 d e n t r ya . 址 .由于所有 的进 程描述符 t a s k s t r u c t都是通过双 向 循 环链表连 接在一起 的,因此我们 通过遍历双 向循环 链表 来定位到 i n i t 进程 的地址,即进程描述符 中 c o mm 项为“ i n i t ” 的t as k s t r u c t 地址. 文件根 目录定位模块用于定位 i n i t进程 的可执行 S o t f w a r e T e c h n i q u e? A l g o r i t h m 软件 技术 ? 算法 1 7 7 计 算 机 系 统 应 用 h t t p : / / 、 ) l , W c ~ S a . o r g . c a 2 0 1 6年 第 2 5卷 第 1期 S e c u r i t y , 2 0 1 0 , 1 3 ( 2 ) : 1 2 . 8 Bo v e t DP , Ce s a t i M. Un d e r s t a n d i n g t h e Li n u x Ke me . 3 r d e d . Ca l i f o mi a : O’ Re i l l y Me d i a I n c , 2 0 0 5 . 邮电大学, 2 0 1 3 . 1 1 W a n g Z ,J i a n g XX,Cu i W D,e t a 1 .Co u n t e r i n g k e ne r l r o o t k i t s wi t h l i g h t we i g h t h o o k p r o t e c t i o n . P r o c . o f t h e 1 6 h t ACM Co n f e r e n c e o n Co mp u t e r a n d Co mmu n i c a t i o n s S e c u i r t y . Ne w Yo r k . 2 0 0 9 . 9 B a r h a m P ’ D r a g o v i c B , F r a s e r K , Ha nd S , Ha r r i s T . Xe n a n d he t Ar t o f v i r t u a l i z a t i o n . P r o c . o f he t 1 9 t h ACM S y mp o s i u m o n Op e r a t i n g S y s t e ms P r i n c i p l e s . Ne w Yb r k .ACM 。2 0 0 3 . 1 6 4 -1 7 7 . 1 2 Ri l e y R,J i ng a X, Xu D.M u l t i - a s p e c t p r o i f l i n g o f k e ne r l r o o t k i t b e h a v i o r . P r o c . o f t he 4 h ACM E t u r o p e a n Co n f e r e n c e O N Co mp u t e r S y s t e ms . Ne w Yo r k . 2 0 0 9 . 1 O 余洋. 基于 Xe n的安全虚拟化平 台及应用研究. 南京: 南京 ● 1 8 0软件 技术 ? 算法 S o t f w a r e T e c h n i q u e? A l g o r i t h m

  基于虚拟机自省的隐藏文件检测方法_计算机硬件及网络_IT/计算机_专业资料。2 0 1 6年 第 2 5卷 第 1 期 h t t p : l l w ww . c — S — a . o r g . c n 计 算 机 系 统 应 用 基于虚拟机 自省的隐藏文

推荐文章

官方微信公众号