[發(fā)明專利]內(nèi)存訪問(wèn)行為的監(jiān)控方法及系統(tǒng)在審
| 申請(qǐng)?zhí)枺?/td> | 201910849096.1 | 申請(qǐng)日: | 2019-09-09 |
| 公開(kāi)(公告)號(hào): | CN112464221A | 公開(kāi)(公告)日: | 2021-03-09 |
| 發(fā)明(設(shè)計(jì))人: | 李琦 | 申請(qǐng)(專利權(quán))人: | 北京奇虎科技有限公司 |
| 主分類號(hào): | G06F21/53 | 分類號(hào): | G06F21/53 |
| 代理公司: | 深圳市世紀(jì)恒程知識(shí)產(chǎn)權(quán)代理事務(wù)所 44287 | 代理人: | 胡海國(guó) |
| 地址: | 100088 北京市西城區(qū)新*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 內(nèi)存 訪問(wèn) 行為 監(jiān)控 方法 系統(tǒng) | ||
1.一種內(nèi)存訪問(wèn)行為的監(jiān)控方法,其中,該方法由宿主機(jī)檢測(cè)模塊執(zhí)行,包括:
獲取虛擬機(jī)檢測(cè)模塊設(shè)置的監(jiān)控列表以及所述監(jiān)控列表中包含的待監(jiān)控地址,將與所述待監(jiān)控地址相對(duì)應(yīng)的內(nèi)存頁(yè)確定為目標(biāo)內(nèi)存頁(yè);
將與所述目標(biāo)內(nèi)存頁(yè)相對(duì)應(yīng)的頁(yè)表項(xiàng)中的讀寫比特位置零,以取消所述目標(biāo)內(nèi)存頁(yè)的讀寫訪問(wèn)權(quán)限;
當(dāng)檢測(cè)到由目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為觸發(fā)的虛擬機(jī)退出事件時(shí),根據(jù)所述虛擬機(jī)退出事件切換為根模式;
在所述根模式下監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述在所述根模式下監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息之后,進(jìn)一步包括:
將與所述目標(biāo)內(nèi)存頁(yè)相對(duì)應(yīng)的頁(yè)表項(xiàng)中的讀寫比特位置位,以恢復(fù)所述目標(biāo)內(nèi)存頁(yè)的讀寫訪問(wèn)權(quán)限,并針對(duì)虛擬機(jī)處理器設(shè)置監(jiān)視器陷阱標(biāo)志位;
其中,所述監(jiān)視器陷阱標(biāo)志位用于在所述訪問(wèn)行為針對(duì)所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)操作完成時(shí),觸發(fā)與監(jiān)視器陷阱標(biāo)志位相對(duì)應(yīng)的虛擬機(jī)退出事件。
3.根據(jù)權(quán)利要求2所述的方法,其中,所述方法進(jìn)一步包括:在檢測(cè)到與監(jiān)視器陷阱標(biāo)志位相對(duì)應(yīng)的虛擬機(jī)退出事件時(shí),取消所述監(jiān)視器陷阱標(biāo)志位,并恢復(fù)所述頁(yè)表項(xiàng)的讀寫比特位置零狀態(tài)。
4.根據(jù)權(quán)利要求1-3任一所述的方法,其中,所述在所述根模式下監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息具體包括:
讀取預(yù)設(shè)寄存器的數(shù)值以及客戶機(jī)內(nèi)存數(shù)據(jù),以確定所述訪問(wèn)行為所對(duì)應(yīng)的執(zhí)行環(huán)境信息以及訪問(wèn)狀態(tài)信息。
5.根據(jù)權(quán)利要求4所述的方法,其中,所述執(zhí)行環(huán)境信息包括:執(zhí)行訪問(wèn)的進(jìn)程或線程、訪問(wèn)行為的調(diào)用者函數(shù)、棧回溯序列、惡意代碼塊、和/或關(guān)鍵寄存器數(shù)值;所述訪問(wèn)狀態(tài)信息包括:非系統(tǒng)進(jìn)程針對(duì)系統(tǒng)進(jìn)程關(guān)聯(lián)對(duì)象的成員指針的讀取訪問(wèn)、針對(duì)系統(tǒng)進(jìn)程關(guān)聯(lián)對(duì)象的讀取訪問(wèn)、針對(duì)硬件抽象層分發(fā)函數(shù)表的寫入訪問(wèn)、和/或針對(duì)指示用戶和內(nèi)核地址空間界限的相關(guān)內(nèi)核全局變量的寫入訪問(wèn)。
6.根據(jù)權(quán)利要求1-5任一所述的方法,其中,所述在所述根模式下監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息包括:
將所述訪問(wèn)行為的訪問(wèn)對(duì)象與所述監(jiān)控列表中包含的待監(jiān)控地址進(jìn)行匹配;
若匹配成功,則監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息;
若匹配不成功,退出根模式并返回客戶機(jī)上下文執(zhí)行。
7.根據(jù)權(quán)利要求1-6任一所述的方法,其中,所述宿主機(jī)檢測(cè)模塊位于宿主機(jī)操作系統(tǒng)內(nèi)核的虛擬機(jī)監(jiān)視器組件中,所述虛擬機(jī)檢測(cè)模塊位于通過(guò)虛擬機(jī)實(shí)現(xiàn)的客戶機(jī)中;其中,一個(gè)宿主機(jī)檢測(cè)模塊對(duì)應(yīng)于一個(gè)或多個(gè)虛擬機(jī)檢測(cè)模塊。
8.一種內(nèi)存訪問(wèn)行為的監(jiān)控系統(tǒng),其中,該系統(tǒng)包括:宿主機(jī)檢測(cè)模塊以及虛擬機(jī)檢測(cè)模塊;其中,所述宿主機(jī)檢測(cè)模塊進(jìn)一步包括:
獲取單元,適于獲取虛擬機(jī)檢測(cè)模塊設(shè)置的監(jiān)控列表以及所述監(jiān)控列表中包含的待監(jiān)控地址,將與所述待監(jiān)控地址相對(duì)應(yīng)的內(nèi)存頁(yè)確定為目標(biāo)內(nèi)存頁(yè);
權(quán)限取消單元,適于將與所述目標(biāo)內(nèi)存頁(yè)相對(duì)應(yīng)的頁(yè)表項(xiàng)中的讀寫比特位置零,以取消所述目標(biāo)內(nèi)存頁(yè)的讀寫訪問(wèn)權(quán)限;
切換單元,適于當(dāng)檢測(cè)到由目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為觸發(fā)的虛擬機(jī)退出事件時(shí),根據(jù)所述虛擬機(jī)退出事件切換為根模式;
監(jiān)控單元,適于在所述根模式下監(jiān)控與所述目標(biāo)內(nèi)存頁(yè)的訪問(wèn)行為相對(duì)應(yīng)的訪問(wèn)數(shù)據(jù)信息。
9.一種電子設(shè)備,包括:處理器、存儲(chǔ)器、通信接口和通信總線,所述處理器、所述存儲(chǔ)器和所述通信接口通過(guò)所述通信總線完成相互間的通信;
所述存儲(chǔ)器用于存放至少一可執(zhí)行指令,所述可執(zhí)行指令使所述處理器執(zhí)行如權(quán)利要求1-7任一所述的內(nèi)存訪問(wèn)行為的監(jiān)控方法對(duì)應(yīng)的操作。
10.一種計(jì)算機(jī)存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)中存儲(chǔ)有至少一可執(zhí)行指令,所述可執(zhí)行指令使處理器執(zhí)行如權(quán)利要求1-7任一所述的內(nèi)存訪問(wèn)行為的監(jiān)控方法對(duì)應(yīng)的操作。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京奇虎科技有限公司,未經(jīng)北京奇虎科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910849096.1/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過(guò)保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過(guò)保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過(guò)感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過(guò)限制訪問(wèn)計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過(guò)限制訪問(wèn)或處理程序或過(guò)程
- 存儲(chǔ)器訪問(wèn)調(diào)度裝置、調(diào)度方法與存儲(chǔ)器訪問(wèn)控制系統(tǒng)
- 一種限制用戶訪問(wèn)的方法和裝置
- 一種訪問(wèn)信息提供方法及系統(tǒng)
- 數(shù)據(jù)訪問(wèn)權(quán)限的控制方法及裝置
- 基于智能家居系統(tǒng)的訪問(wèn)授權(quán)方法、裝置及設(shè)備
- 網(wǎng)站訪問(wèn)請(qǐng)求的動(dòng)態(tài)調(diào)度方法及裝置
- 基于訪問(wèn)頻率的監(jiān)測(cè)方法、裝置、設(shè)備和計(jì)算機(jī)存儲(chǔ)介質(zhì)
- 訪問(wèn)憑證驗(yàn)證方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 一種應(yīng)用訪問(wèn)控制方法、系統(tǒng)和介質(zhì)
- 異常訪問(wèn)行為的檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
- 過(guò)濾以及監(jiān)控程序的行為的方法
- 數(shù)據(jù)挖掘的方法和裝置
- 網(wǎng)絡(luò)異常行為檢測(cè)方法及檢測(cè)裝置
- 基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測(cè)方法和系統(tǒng)
- 用于檢測(cè)用戶行為的方法和裝置
- 行為數(shù)據(jù)分析方法及裝置
- 一種基于網(wǎng)絡(luò)的行為教育方法
- 網(wǎng)絡(luò)行為分類方法、設(shè)備、存儲(chǔ)介質(zhì)及裝置
- 一種在線支付業(yè)務(wù)行為的異常檢測(cè)方法、裝置及電子設(shè)備
- 行為采集方法及系統(tǒng)
- 多級(jí)校內(nèi)監(jiān)控系統(tǒng)
- 多級(jí)校內(nèi)監(jiān)控系統(tǒng)
- 一種范圍廣、力度大的校內(nèi)監(jiān)控系統(tǒng)
- 一種監(jiān)控的方法及系統(tǒng)
- 設(shè)備的監(jiān)控方法、裝置、系統(tǒng)和空調(diào)
- 多級(jí)校內(nèi)監(jiān)控系統(tǒng)
- 設(shè)備監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 風(fēng)險(xiǎn)雷達(dá)預(yù)警的監(jiān)控方法及系統(tǒng)
- 區(qū)塊鏈網(wǎng)絡(luò)監(jiān)控系統(tǒng)、裝置及方法
- 基于機(jī)器視覺(jué)的車站客流安全智能監(jiān)控系統(tǒng)
