[發明專利]一種檢測KVM虛擬化平臺上Windows惡意程序的方法和系統在審
| 申請號: | 201910552214.2 | 申請日: | 2019-06-25 |
| 公開(公告)號: | CN110362998A | 公開(公告)日: | 2019-10-22 |
| 發明(設計)人: | 邢希雙 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F9/455 |
| 代理公司: | 濟南誠智商標專利事務所有限公司 37105 | 代理人: | 王汝銀 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 虛擬機進程 惡意程序 磁盤文件 鏈表 數字簽名驗證 宿主 內核模塊 種檢測 判定 惡意程序檢測 虛擬機系統 對比模塊 合法程序 技術掃描 內存映像 掃描模塊 進程鏈 虛擬機 內存 申請 | ||
1.一種檢測KVM虛擬化平臺上Windows惡意程序的方法,其特征在于,所述方法包括:
利用Libvmi技術掃描Windows虛擬機內存中的進程鏈表和內核模塊鏈表,獲取Windows虛擬機進程鏈表和內核模塊鏈表中的任一程序,以及Windows虛擬機進程對應的磁盤文件路徑,所述Windows虛擬機進程與所述任一程序相匹配;
在KVM宿主機上對所述任一程序進行數字簽名驗證;
當所述任一程序的數字簽名合格時,在KVM宿主機上判斷所述Windows虛擬機進程的內存映像和所述Windows虛擬機進程對應的磁盤文件內容是否一致;
如果是,判定所述任一程序為合法程序;
如果否,判定所述任一程序為惡意程序。
2.根據權利要求1所述的一種檢測KVM虛擬化平臺上Windows惡意程序的方法,其特征在于,在KVM宿主機上對所述任一程序進行數字簽名驗證的方法,包括:
根據所述任一程序的PE頭中設置的簽名區段入口地址和長度,利用Libvmi技術提取所述任一程序的簽名塊數據;
利用所述簽名塊數據中的CA機構所發布的公鑰對數字證書進行解密,獲取所述任一程序發布方的信息、簽名值、摘要生成算法、摘要加密算法以及摘要加密公鑰;
利用所述摘要加密公鑰對所述簽名值進行解密,獲取原始摘要值;
利用所述摘要生成算法重新計算所述任一程序的摘要值,獲取新摘要值;
判斷所述原始摘要值與新摘要值是否相等;
如果是,判定所述任一程序的數字簽名合格;
如果否,判定所述任一程序的數字簽名不合格。
3.根據權利要求1所述的一種檢測KVM虛擬化平臺上Windows惡意程序的方法,其特征在于,在KVM宿主機上判斷所述Windows虛擬機進程的內存映像和所述Windows虛擬機進程對應的磁盤文件內容是否一致的方法,包括:
根據Windows虛擬機進程對應的磁盤文件路徑,在KVM宿主機上利用虛擬磁盤透視技術獲取Windows虛擬機進程對應的磁盤文件內容;
根據所述磁盤文件內容,驗證所述內存映像和磁盤文件的Dos頭部、PE頭部以及塊表是否一致;
根據所述磁盤文件內容,驗證所述內存映像和磁盤文件的.text段是否一致,所述.text段為PE頭部指定的程序入口地址所在的區段;
根據所述磁盤文件內容,驗證所述內存映像和磁盤文件的.rdata段、.idata段、.rsrc段和.reloc段是否分別一致;
根據所述磁盤文件內容,驗證所述內存映像的段間隙是否為零;
根據所述磁盤文件內容,驗證所述內存映像和磁盤文件中填充的相對位置以及大小是否一致;
當所述內存映像和磁盤文件的Dos頭部、PE頭部以及塊表一致,所述內存映像和磁盤文件的.text段、.rdata段、.idata段、.rsrc段和.reloc段分別一致,所述內存映像的段間隙為零,且所述內存映像和磁盤文件中填充的相對位置以及大小均一致時,判定所述內存映像與所述磁盤文件內容一致。
4.根據權利要求3所述的一種檢測KVM虛擬化平臺上Windows惡意程序的方法,其特征在于,根據Windows虛擬機進程對應的磁盤文件路徑,在KVM宿主機上利用虛擬磁盤透視技術獲取Windows虛擬機進程對應的磁盤文件內容的方法,包括:
根據Windows虛擬機進程對應的磁盤文件路徑,將Windows虛擬機上的第一文件系統翻譯成KVM虛擬化支持的第二文件系統,獲取所述第一文件系統中的任一文件在虛擬磁盤文件中的偏移量和長度,所述第一文件系統包括:NTFS文件系統或FAT32文件系統,所述第二文件系統包括:RAW文件系統或QCOW2文件系統。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910552214.2/1.html,轉載請聲明來源鉆瓜專利網。
