本申請公開了一種檢測KVM虛擬化平臺上Windows惡意程序的方法和系統，該方法包括：利用Libvmi技術掃描Windows虛擬機內存中的進程鏈表和內核模塊鏈表，獲取Windows虛擬機進程鏈表和內核模塊鏈表中的任一程序，以及Windows虛擬機進程對應的磁盤文件路徑；在KVM宿主機上對任一程序進行數字簽名驗證；當任一程序的數字簽名合格時，在KVM宿主機上判斷Windows虛擬機進程的內存映像和Windows虛擬機進程對應的磁盤文件內容是否一致；如果是，判定任一程序為合法程序，否則判定其為惡意程序。該系統包括：掃描模塊、數字簽名驗證模塊和磁盤文件對比模塊。通過本申請，能夠大大提高對惡意程序的對抗性以及對惡意程序檢測的準確性，從而提高虛擬機系統的安全性和穩定性。

技術領域

本申請涉及計算機虛擬化和操作系統安全技術領域，特別是涉及一種檢測KVM虛擬化平臺上Windows惡意程序的方法和系統。

背景技術

隨著云計算、大數據等技術的發展，對云主機和服務器的穩定性與安全性需求也越來越高。病毒、木馬、蠕蟲等惡意程序一旦侵入主機的操作系統，就會對操作系統本身以及運行于操作系統上的業務和數據造成嚴重破壞。尤其對于目前數據中心常用的KVM虛擬化平臺，在KVM虛擬化平臺上存在大量的Windows虛擬機，為避免Windows系統遭受惡意程序的攻擊，及時檢測Windows虛擬機上是否存在惡意程序，是個非常重要的問題。

目前檢測Windows虛擬機上是否存在惡意程序的方法，通常是在KVM虛擬機上進行數字簽名驗證，也就是在Windows虛擬機中進行數字簽名驗證。具體地，Windows資源管理器及常規的安全工具使用wintrust.lib和crypt32.lib提供的一組API函數，通過該API函數來驗證程序是否具備有效簽名，如果具備有效簽名，判定該Windows虛擬機上不存在惡意程序，如果簽名無效，判定該Windows虛擬機上存在惡意程序。

然而，目前檢測Windows虛擬機上是否存在惡意程序的方法中，由于數字簽名驗證在Windows虛擬機上實現，Windows虛擬機上的惡意程序可以直接掛鉤用于驗證數字簽名的API函數，從而篡改實際返回的驗證結果，進而繞過數字簽名。另外，由于數字簽名驗證在Windows虛擬機上實現，當惡意程序啟動成功之后，惡意程序可以利用Rootkit技術將自身進程在Windows虛擬機內存結構體中的映像名字指向一個已簽名的程序，從而逃過簽名驗證。因此，目前檢測Windows虛擬機上是否存在惡意程序的方法中，虛擬機上的惡意程序有機會破壞驗證程序或欺騙驗證程序，現有的檢測方法對惡意程序的對抗性較弱和檢測的準確性較差，從而導致虛擬機系統的安全性較低。

發明內容

本申請提供了一種檢測KVM虛擬化平臺上Windows惡意程序的方法和系統，以解決現有技術中的檢測方法對惡意程序的對抗性較弱以及檢測的準確性較差的問題。

為了解決上述技術問題，本申請實施例公開了如下技術方案：

一種檢測KVM虛擬化平臺上Windows惡意程序的方法，所述方法包括：

利用Libvmi技術掃描Windows虛擬機內存中的進程鏈表和內核模塊鏈表，獲取Windows虛擬機進程鏈表和內核模塊鏈表中的任一程序，以及Windows虛擬機進程對應的磁盤文件路徑，所述Windows虛擬機進程與所述任一程序相匹配；

在KVM宿主機上對所述任一程序進行數字簽名驗證；

當所述任一程序的數字簽名合格時，在KVM宿主機上判斷所述Windows虛擬機進程的內存映像和所述Windows虛擬機進程對應的磁盤文件內容是否一致；

如果是，判定所述任一程序為合法程序；

如果否，判定所述任一程序為惡意程序。

可選地，在KVM宿主機上對所述任一程序進行數字簽名驗證的方法，包括：