微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 虚拟机检测技术漏洞
xitongin
新手上路





积分 49
发帖 49
注册 2007-1-29
#1  虚拟机检测技术漏洞

前言

在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物理计算机上模拟出一台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作,例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的成功率,他们都在恶意程序中加入检测虚拟机的代码,以判断程序所处的运行环境。当发现程序处于虚拟机(特别是蜜罐系统)中时,它就会改变操作行为或者中断执行,以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统进行检测分析,并列举出当前常见的几种虚拟机检测方法。
方法一:通过执行特权指令来检测虚拟机
方法二:利用IDT基址检测虚拟机
方法三:利用LDT和GDT的检测方法
方法四:基于STR的检测方法
方法五:基于注册表检测虚拟机
方法六:基于时间差的检测方式
方法七:利用虚拟硬件指纹检测虚拟机
国外SANS安全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类:
●        搜索虚拟环境中的进程,文件系统,注册表;
●        搜索虚拟环境中的内存
●        搜索虚拟环境中的特定虚拟硬件
●        搜索虚拟环境中的特定处理器指令和功能
因为现代计算系统大多是由文件系统,内存,处理器及各种硬件组件构成的,上面提到的四种检测手段均包含了这些因素。纵观前面各种检测方法,也均在此四类当中。除此之外,也有人提出通过网络来检测虚拟机,比如搜索ICMP和TCP数据通讯的时间差异,IP ID数据包差异以及数据包中的异常头信息等等。随着技术研究的深入,相信会有更多的检测手段出现,与此同时,虚拟机厂商也会不断进化它们的产品,以增加anti-vmware的难度,这不也正是一场永无休止的无烟战争!

[ Last edited by xitongin on 2011-3-22 at 21:41 ]

※ ※ ※ 本文纯属【xitongin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2011-3-22 21:32
查看资料  发送邮件  发短消息   编辑帖子
xitongin
新手上路





积分 49
发帖 49
注册 2007-1-29
#2  

居以上特点,云安全也是必须的,

※ ※ ※ 本文纯属【xitongin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2011-3-24 21:21
查看资料  发送邮件  发短消息   编辑帖子
876670463
禁止发言





积分 36
发帖 36
注册 2011-3-15
#3  

云安全的前提是有启发式引擎不然怎样发现可以程序。光依靠用户举报吗?

※ ※ ※ 本文纯属【876670463】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2011-3-27 21:06
查看资料  发送邮件  发短消息   编辑帖子
xitongin
新手上路





积分 49
发帖 49
注册 2007-1-29
#4  

文件白名单

※ ※ ※ 本文纯属【xitongin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2011-4-24 21:08
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号