公开(公告)号：CN102194080B

公开(公告)日：2013-07-10

申请号：CN201110157731.3

申请日：2011-06-13

Applicant: 西安交通大学 ,  山东高效能服务器和存储研究院

Inventor： 张兴军 ,  吴忠远 ,  王恩东 ,  董渭清 ,  董小社 ,  胡雷钧 ,  张东 ,  郑豪 ,  吴楠 ,  彭义勇 ,  宋鸿雁 ,  卫进

IPC: G06F21/56

Abstract: 本发明提供了一种基于内核虚拟机的rootkit检测方法，该方法对rootkit的攻击对象类型进行了抽象分类：静态代码段，静态数据段，动态分配函数，堆空间数据，并且针对不同类型提供了不同的保护和检测机制；而具体的rootkit敏感信息，则通过运行在客户机中的运行时模块来获取，通过增加语义处理通道实现内核虚拟机和客户机之间的信息交互，通过扩展对应的缺页异常处理程序和vmcall主动陷入机制，保证该机制下客户机正常执行。本发明能够有效的组织针对静态代码和数据段的攻击并且在很小开销下和安全环境下实现动态信息的隔离保存和检测恢复。

公开(公告)号：CN102194080A

公开(公告)日：2011-09-21

申请号：CN201110157731.3

申请日：2011-06-13

Applicant: 西安交通大学 ,  山东高效能服务器和存储研究院

Inventor： 张兴军 ,  吴忠远 ,  王恩东 ,  董渭清 ,  董小社 ,  胡雷钧 ,  张东 ,  郑豪 ,  吴楠 ,  彭义勇 ,  宋鸿雁 ,  卫进

IPC: G06F21/22

Abstract: 本发明提供了一种基于内核虚拟机的rootkit检测机制及检测方法，该机制对rootkit的攻击对象类型进行了抽象分类：静态代码段，静态数据段，动态分配函数，堆空间数据，并且针对不同类型提供了不同的保护和检测机制；而具体的rootkit敏感信息，则通过运行在客户机中的运行时模块来获取，通过增加语义处理通道实现内核虚拟机和客户机之间的信息交互，通过扩展对应的缺页异常处理程序和vmcall主动陷入机制，保证该机制下客户机正常执行。本发明能够有效的组织针对静态代码和数据段的攻击并且在很小开销下和安全环境下实现动态信息的隔离保存和检测恢复。