亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于VMware的反虛擬機環(huán)境檢測技術(shù)研究

        2016-05-14 09:09:49朱永強湯雄
        軟件導刊 2016年7期
        關(guān)鍵詞:虛擬機

        朱永強 湯雄

        摘要:VMware虛擬機因其良好的用戶體驗及便捷的功能,被廣泛應用于云計算平臺搭建、惡意代碼分析等技術(shù)領(lǐng)域。因此,部分惡意代碼專門增加了VMware環(huán)境檢測功能,以發(fā)現(xiàn)自身是否運行在VMware虛擬環(huán)境。針對惡意代碼在VMware環(huán)境下的虛擬環(huán)境檢測技術(shù),分析了VMware虛擬機環(huán)境的檢測原理及優(yōu)缺點,提出了一套VMware環(huán)境下的反虛擬環(huán)境檢測方法,以欺騙惡意軟件的VMware環(huán)境檢測功能,提升基于VMware仿真的惡意代碼分析準確性。

        關(guān)鍵詞關(guān)鍵詞:VMware;虛擬機;虛擬機環(huán)境檢測;虛擬機穿透

        DOIDOI:10.11907/rjdk.161300

        中圖分類號:TP309文獻標識碼:A文章編號文章編號:16727800(2016)007017003

        基金項目基金項目:科技部科技型中小企業(yè)創(chuàng)新基金項目(10C26215122841)

        0引言

        虛擬化技術(shù)是指通過分割計算機硬件資源(如CPU、內(nèi)存、輔存等),使得一臺物理機上可以運行多個操作系統(tǒng)環(huán)境,從而提供更靈活高效的硬件資源分配技術(shù)。該技術(shù)最早由IBM在20世紀60年代初實現(xiàn)。虛擬化技術(shù)發(fā)展到今天,出現(xiàn)了多種虛擬化平臺,如XEN、KVM、VMware等。其中,VMware由于良好的性能及便捷的功能支持得到了廣泛應用。

        由于帶有快照還原功能以及物理隔離功能,虛擬化技術(shù)對惡意代碼分析人員是非常有用的工具,可以在保護本機不受侵害的情況下,對惡意代碼的實際行為進行有效的監(jiān)控,并且可以通過快照功能訊速恢復系統(tǒng),因此,此技術(shù)的博弈也隨之展開[1]。一些惡意代碼編寫人員在其惡意程序中加入虛擬環(huán)境檢測功能,一旦程序發(fā)現(xiàn)自身處于虛擬環(huán)境中,則可能休眠或者改變行為策略,甚至破壞虛擬機環(huán)境[2]。因此,在利用虛擬機進行惡意代碼分析的同時,了解惡意代碼的虛擬環(huán)境檢測技術(shù)并對其檢測功能進行防范,是信息安全工作人員重要工作之一。

        本文針對常用的虛擬化平臺VMware,分析并總結(jié)了VMware平臺下常用的虛擬環(huán)境檢測技術(shù)原理及相應工具,在此基礎上,提出了一套VMware環(huán)境下的反虛擬機環(huán)境檢測策略,用以提高虛擬機環(huán)境下惡意代碼分析的準確性,探討了該領(lǐng)域未來的發(fā)展趨勢。

        1基于VMware的虛擬機環(huán)境檢測技術(shù)

        本節(jié)基于VMware平臺,歸納并總結(jié)了VMware虛擬機環(huán)境下常用的虛擬環(huán)境檢測技術(shù)原理[26],并介紹了相應工具。

        1.1基于字符特征的VMware環(huán)境檢測方法

        由于VMware環(huán)境只是實現(xiàn)了對硬件的虛擬,并沒有真正實現(xiàn)對硬件與操作系統(tǒng)的完整仿真。因此,VMware虛擬機的進程、文件系統(tǒng)、注冊表中包含很多VMware的特殊標識,比如VMware虛擬機系統(tǒng)信息的制造商顯示為VMware Inc.,而非真實的計算機制造商。在VMware虛擬機操作系統(tǒng)的注冊表內(nèi),也有一些帶有VMware特殊表示的鍵值,比如在虛擬操作系統(tǒng)WindowsXP中的注冊表項中,包含有名稱為_#VmwareVirtualPrinter的鍵,而真實的操作系統(tǒng)中并不存在此鍵。此外,據(jù)統(tǒng)計,VMware環(huán)境下有超過50個包含“VMware”和“vmx”的引用存在于文件系統(tǒng)中,有超過300 個包括“VMware”的引用存在于系統(tǒng)的注冊表中。

        針對這些差異,可以收集這一類出現(xiàn)在特別位置的“特征字符串”,形成針對VMware環(huán)境的指紋庫,并通過字符串搜索與匹配的方式,實現(xiàn)對VMware虛擬機環(huán)境的檢測。

        但該方法存在以下缺陷:①這些特征字符串的分布不具有通用性,較難形成通用的、系統(tǒng)的檢測理論;②暴力搜索方法不僅性能較低,還會造成較高的誤報;③這種方法也可以通過Rootkit等技術(shù)[7]進行欺騙。

        1.2基于虛擬硬件的VMware環(huán)境檢測方法

        VMware環(huán)境下虛擬出的硬件也往往包含有特殊特征,使其成為檢測VMware環(huán)境的檢測因素之一。VMware環(huán)境下,其網(wǎng)卡的Mac地址的前24位往往是00-0C-29、00-05-69或00-50-56 ,此外,VMware VGA 適配器、USB 控制器的類型、SCSI設備的類型往往都包含有VMware 特定的標記。概括來說,此方法一定程度上也屬于基于特征字符串的檢測方法。

        Tobias Klein實現(xiàn)的工具DOO就是利用搜索虛擬環(huán)境下特殊的虛擬硬件標識來檢測虛擬機環(huán)境。DOO工具在Linux環(huán)境下主要搜尋I0、port以及SCSI等相關(guān)目錄下的“VMware”特征串,而在Windows下則重點搜索注冊表中SCSI適配器和VMware硬件類號的鍵值。

        1.3通過特殊指令特征檢測VMware環(huán)境的方法

        使用特殊指令SIDT、SLDT與SGDT等與返回值差異性的檢測方法對比,其依據(jù)的原理為此類指令的返回值,在虛擬機環(huán)境與真實操作系統(tǒng)環(huán)境中有著較大差別。通過獲取寄存器基值,觀測它是否超過某一傳統(tǒng)閾值,即可判斷是否處于虛擬機環(huán)境。

        以SIDT指令為例,此指令用來獲取中斷描述表(Interrupt Descriptor Table)的位置,IDT在VMware環(huán)境的寄宿系統(tǒng)中一般位于在附近,而在實際操作系統(tǒng)中,一般位于附近,對比這種差異性,即可判斷程序是否運行在VMware虛擬機中。

        該方法的缺陷:①SIDT在多處理器環(huán)境下容易誤報,相比較之下,SLDT在多處理器環(huán)境下的效果要好些;②VMware環(huán)境下開啟禁止加速模式后,VMware虛擬機會對ring3 層指令進行二進制翻譯,因此在此模式下對此類指令進行干預會使檢測方法失效。

        1.4通過VMware穿透信道檢測VMware環(huán)境的方法

        為了保證虛擬機系統(tǒng)的性能與易用性,往往會犧牲一些虛擬機環(huán)境對Guest OS的透明性,比如VMware提供的 communication channel功能,此功能用來實現(xiàn)主機與客操作系統(tǒng)之間的穿透與通信,以提供VMware對GUI性能的優(yōu)化,主操作系統(tǒng)與客操作系統(tǒng)之間的剪切板、文件拖動等功能,為VMware虛擬機環(huán)境識別提供了可能。

        VMware 通過攔截I/O 的IN 指令來實現(xiàn)虛擬機穿透功能。由于IN 指令屬于特權(quán)指令,因此當運行在ring3 上的操作系統(tǒng)執(zhí)行IN 指令時,系統(tǒng)會產(chǎn)生一個異常,而運行在虛擬機中的客操作系統(tǒng)則不會產(chǎn)生。如果程序運行在VMware 之外,則會拋出一個處理器錯誤,利用此原理,即可檢測程序是否運行在VMware虛擬機環(huán)境中。

        該方法缺陷為:使用的通信信道是VMware的高級功能,并不是必需功能,因此關(guān)閉此功能后,這種檢測方法將失效,而此功能關(guān)閉本身卻不會對VMware虛擬機的使用產(chǎn)生過大影響。

        2基于VMware環(huán)境的反虛擬機檢測

        根據(jù)前文對VMware虛擬機環(huán)境檢測技術(shù)的分析,總結(jié)了一組VMware環(huán)境下的反虛擬機環(huán)境檢測方法[26],以防止惡意代碼對虛擬機環(huán)境的有效檢測。

        2.1反特征字符串檢測VMware環(huán)境方法

        反特征字符串檢測VMware環(huán)境方法主要是獲取操作系統(tǒng)特定位置的參數(shù)值,再通過對這些參數(shù)值進行特征串匹配來完成虛擬機環(huán)境的檢測。通過以下手段根據(jù)具體應用情況進行反虛擬環(huán)境檢測:①利用Rootkit技術(shù)隱藏這些特征字符串痕跡,使其不被發(fā)現(xiàn);②通過Hook 技術(shù)鉤掛系統(tǒng)文件、進程、注冊表、服務等的查詢函數(shù)也可以有效躲避此種檢測方法。

        2.2反虛擬硬件檢測VMware環(huán)境

        VMware環(huán)境下,虛擬硬件的各類參數(shù)可以便捷地通過配置文件重新設定修改,因此對基于虛擬硬件特征的虛擬環(huán)境檢測可通過以下方式進行反檢測:①通過修改VMware配置文件,修改虛擬硬件配置參數(shù),如MAC地址;②修改敏感部位的注冊表鍵值,將帶有VMware標識的鍵值抹去或者修改。

        基于SIDT、SGDT、SLDT等特殊指令對VMware環(huán)境進行檢測的防范措施有:

        (1)在VMware環(huán)境下開啟禁止加速模式,再通過代碼對此類指令的返回值進行干預。

        (2)通過Hook技術(shù)對SIDT、SGDT、SLDT等指令掛鉤,一旦發(fā)現(xiàn)可疑程序調(diào)用這些指令,則自動將相應的寄存器和內(nèi)存地址修改為真實操作系統(tǒng)的合理地址,以達到欺騙虛擬檢測程序的目的。

        2.4反穿透信道檢測VMware環(huán)境

        通過修改VMware虛擬機相應的配置文件,可以禁止虛擬機與物理機之間的穿透指令,以預防針對VMware穿透指令的檢測。

        關(guān)閉VMware穿透信道的配置選項如下[3]:

        設置了這些參數(shù)會關(guān)閉VMware 相應的一些功能, 但這些功能在進行惡意程序分析與仿真時并不是必須功能,一般不會對惡意代碼的分析與研究工作造成影響。

        3結(jié)語

        本文針對VMware虛擬機環(huán)境,分析了該環(huán)境下常見的虛擬機環(huán)境檢測技術(shù)及對應的檢測工具,并在分析各種檢測技術(shù)原理與缺點的基礎上,提出了一組VMware下反虛擬機環(huán)境檢測方法,以提高利用VMware虛擬機進行惡意程序仿真時的準確率。由于虛擬機環(huán)境可檢測的根本原因是虛擬化系統(tǒng)本身為提升性能與效率,造成虛擬化系統(tǒng)對客操作系統(tǒng)的不透明性。因此,該技術(shù)領(lǐng)域除了虛擬機環(huán)境檢測與反檢測的技術(shù)博弈外,如何加強虛擬機環(huán)境本身的安全架構(gòu),降低虛擬化系統(tǒng)本身的不透明,也是該領(lǐng)域的一個重要研究方向。

        參考文獻:

        [1]盧勇.反病毒虛擬機的研究與實現(xiàn)[D].成都:電子科技大學,2007.

        [2]PETER FERRIE.Attacks on more virtual machine emulators[J].Symantec Advanced Threat Research,2007(4):126129.

        [3]楊峰,姜輝,諸葛建偉,等.虛擬機環(huán)境檢測方法研究綜述[J].小型微型計算機系統(tǒng),2012,33(8):18301835.

        [4]馬晨,周城,趙麗華.VMware虛擬機檢測技術(shù)研究 [J].電腦知識與技術(shù),2011, 7(11):27002702.

        [5]王寶林,楊明,張永輝.虛擬機檢測技術(shù)研究[J].計算機安全,2009(12):13.

        猜你喜歡
        虛擬機
        虛擬機技術(shù)在計算機組裝課堂中的應用
        虛擬機服務器在教學實踐中的探索研究
        淺談計算機系統(tǒng)虛擬化網(wǎng)絡設置方案
        基于虛擬機的軟件保護系統(tǒng)研究與設計
        任務驅(qū)動教學法在《網(wǎng)絡應用服務管理》教學中的應用
        虛擬機局域網(wǎng)組建技術(shù)應用初探
        国产在线精品观看一区二区三区| 日韩亚洲中字无码一区二区三区| 99国产精品自在自在久久| 亚洲av无码专区国产乱码不卡| 国产精品国产三级国产专区5o| 蜜桃视频一区二区三区| 五月激情综合婷婷六月久久| 天天综合网天天综合色| 在线视频 亚洲精品| av免费一区在线播放| 极品人妻少妇av免费久久| av无码人妻中文字幕| 国产香蕉尹人综合在线观| 中文字幕无码高清一区二区三区 | 国产精品国产av一区二区三区| 东北少妇不带套对白| 精品人妻人人做人人爽| 亚洲另类激情专区小说婷婷久 | 永久天堂网av手机版| 国产乱妇乱子视频在播放| 999久久久免费精品国产牛牛 | 精品国产人成亚洲区| 国产日韩成人内射视频| 最新福利姬在线视频国产观看| 日本高清视频在线观看一区二区| 精品国产性色无码av网站| 麻豆AⅤ无码不卡| 亚洲在线视频一区二区| 日韩a级精品一区二区| 一本一道久久a久久精品综合| 国内自拍偷拍亚洲天堂| 亚洲捆绑女优一区二区三区 | 日韩高清在线观看永久| аⅴ天堂一区视频在线观看| 亚洲午夜经典一区二区日韩| 亚洲精品久久久久成人2007| 女同亚洲女同精品| 亚洲av自偷自拍亚洲一区| 亚洲色大成网站www永久| 特级毛片a级毛片免费播放| 久久亚洲一级av一片|