基于硬件虚拟化的隐蔽型木马进程检测技术研究

摘要

随着互联网技术的飞速发展，黑客攻击和互联网黑色产业链没有一刻停止发展。新型木马开始采用Rootkit技术感染系统引导区，使用安全监控软件无法完全对引导区进行扫描清除，这给信息安全提出了巨大挑战。在现阶段检测隐藏进程的技术中，交叉视图比对是一种常用的隐藏进程检测方法，其有效性主要取决于能否获取可信的进程列表。现有的交叉视图比对方法是在操作系统内部设置信息采集点获取进程信息，容易被内核级Rootkit欺骗和绕过。
　　 针对此问题，本文围绕硬件虚拟化技术展开研究，对虚拟化技术的发展简史、实现方式以及硬件虚拟化技术的定义、分类进行了介绍，继而深入分析研究操作系统内核和硬件虚拟化技术，特别是Intel VT-x技术，并构建了一个轻型的VMM。结合操作系统现有的通信机制和硬件虚拟化引入的新指令，提出了一种语义映射和语义重建的方法来填补语义鸿沟，达成VMM与Guest OS之间的有效通信。在此基础上，设计并实现了基于硬件虚拟化的隐蔽型木马隐藏进程检测系统。通过大量实验，该技术能够有效地实现隐藏进程的检测和终止。

目录

声明

厦门大学学位论文著作权使用声明

摘要

第一章 绪论

1．1 课题的研究背景和意义

1．1．1 研究背景

1．1．2 研究意义

1．2 研究现状和发展方向

1．3 论文研究内容和组织结构

第二章 木马及进程隐藏和检测技术

2．1 木马的相关原理

2．1．1 木马的基本概念

2．1．2 木马的组成与分类

2．1．3 木马功能及特性

2．1．4 木马和病毒的区别

2．1．5 隐蔽木马内核级隐藏技术分析

2．2 Rootkit概述

2．2．1 Rootkit定义

2．2．2 Rootkit分类

2．3 Rootkit进程隐藏技术

2．3．1 用户态进程隐藏

2．3．2 内核态进程隐藏

2．4 隐藏进程检测技术分析

2．4．1 基于特征码的检测技术

2．4．2 基于交叉视图比对的检测技术

2．4．3 基于执行路径分析的检测技术

2．4．4 基于完整性的检测技术

2．5 本章小结

第三章 硬件虚拟化技术

3．1 虚拟化概述

3．2 虚拟化技术发展简史

3．3 虚拟化技术的分类

3．4 硬件虚拟化技术的定义

3．5 硬件虚拟化技术的分类

3．5．1 全虚拟化

3．5．2 超虚拟化

3．5．3 部分虚拟化

3．6 虚拟机监控程序的安全性

3．6．1 可信的虚拟化环境

3．6．2 缩小可信计算基础

3．7 本章小结

第四章 系统总体设计和关键技术研究实现

4．1 需求分析

4．2 总体设计

4．3 系统方案

4．4 构建VMM技术

4．5 系统高级语义信息的获取

4．5．1 语义鸿沟及其填补方法

4．5．2 进程行为截获

4．5．3 进程信息还原

4．6 进程终止技术

4．7 进程创建监控技术

4．8 本章小结

第五章 系统测试与结果分析

5．1 系统测试方案

5．1．1 测试内容

5．1．2 测试步骤

5．2 系统测试环境

5．2．1 测试平台

5．2．2 具体测试环境

5．3 测试数据及结果分析

5．3．1 功能测试

5．3．2 稳定性测试

5．4 本章小结

第六章 总结与展望

6．1 总结

6．2 展望

参考文献

致谢