一种恶意软件分析中检测虚拟环境的方法被引量：4

A method to detect the presence of virtual environment in the analysis of malware

下载PDF

导出

摘要安全厂商普遍使用虚拟环境来分析恶意软件,但是很多恶意软件都使用了检测虚拟机的技术来对抗对其的分析。文章介绍了3种主要的检测虚拟环境方法,给出了相应的对抗措施来防止对虚拟环境的检测。设计了一种新的基于性能比较的检查虚拟机和模拟器的方法,实验结果表明,该方法能够有效地检测出虚拟机和模拟器,如VMware软件和模拟器Qemu。 Security Companies usually apply virtual environment to analyze malware,whereas a large amount of current malware already adopts various VMware detection techniques in order to resist analysis.In this paper,three main methods for detecting the presence of virtual environment are presented,as well as their countermeasures.A performance related method to detect the presence of virtual machine or emulator is designed,which can successfully detect the presence of virtual environment,such as VMware and Qemu,etc.

作者吴发伟方勇刘亮

机构地区四川大学信息安全研究所

出处《信息与电子工程》 2010年第3期364-367,共4页 information and electronic engineering

关键词木马分析虚拟机模拟器虚拟环境 malware analysis virtual machine monitor emulator virtual environment

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1David Yu Zhu,Erika Chin. Detection of VM-Aware Malware[EB/OL]. (2007-12-11)[2009-10-20]. http://radlab.es.berkeley. edu/w/uploads/3/3 d/Detecting_VM_Aware_Malware.pdf.
2Ulrich Bayer. TTAnalyze:A Tool for Analyzing Malware[D]. Vienna:Information Systems Institute and at the Institute of Computer Aided Automation Technical University of Vienna, 2005.
3Zknk Den. Detecting Vmwares Remotely[EB/OL]. [2009-10-20]. http://www.secniche.org/papers/Detecting_Vmwares Remotely.pdf.
4Tobias Klein. Scoopy doo Vmware fingerprint suite[EB/OL]. (2003)[2009-10-20]. http://www.trapkit.de/research/vmm/scoopydoo/ index.html.
5Rutkowska Joanna. Red Pill…or how to detect VMM using (almost) one CPU instruction[EB/OL]. (2004-11)[2009-10-20]. http://invisiblethin gs .org/papers/redpill .html.
6Danny Quist,Val Smith. Detecting the presence of virtual machines using the local data Table[EB/OL]. (2005)[2009-10-20]. http://www. offensivecomputing.net/dc 14/vm.pdf.
7Elias Aka Lallous. Detect if your program is running inside a virtual machine[EB/OL]. (2005-04-04)[2009-10-20]. http:// http://www.codeproject.com/KB/system/VmDetect.aspx.
8Li Sun,Tim Ebringer,Serdar Boztas. An automatic anti-anti-VMware technique applicable for multi-stage packed malware[C]// 3rd International Conference on Malicious and Unwanted Software(Malware'08). Washington,DC,USA:IEEE Computer Society, 2008:17-23.
9Matthew Carpenter,Tom Liston,Ed Sloudis. Hiding virtualization from attackers and malware[J]. IEEE Security & Privacy, 2007,5(3):62-65.
10Popek G J,Goldberg R P. Formal requirements for virtualizable third generation Architectures[J]. Communications of the ACM, 1974,17(7):412-421.

同被引文献39

1王建新,安莹,吴国政,盛羽.基于组件的实时入侵检测虚拟实验室的设计与实现[J].系统仿真学报,2006,18(11):3283-3286. 被引量：9
2王爱明,刘军,李纲,伊尧国.基于VRML远程虚拟教学系统的设计与实现[J].天津城市建设学院学报,2007,13(1):71-74. 被引量：3
3陆炜妮,庞竣.基于Internet的计算机网络虚拟实验环境架构[J].计算机工程,2007,33(13):283-284. 被引量：19
4Artem Dinahurg’Paul Royal,Monirul Sharif,et al. Ether:Malware Analysis via Hardware Virtualization Extensions[EB/OL].[2011-11-01]. http://ether.gtisc.gatech.edu/ether_ccs_2008.pdf.
5Tal (iarfinkel,Mendel Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection[EB/OL].[2011-11—011. http://wenku.haidu.com/view/0ha56d2658fb770hf78a55eh.html.
6Gerald J Popek,Robert P Goldberg. Formal Requirements for Virtualizable Third Generation Architectures[J]. Communicationsof the ACM, 1974,17(7):413-421.
7Rutkowska Joanna. Red Pill or how to detect VMM using (almost) one CPU instruction[EB/OL]. (2004-11)[201 1-11-01].http://invisiblethings.org/papers/redpill.html.
8Tobias Klein. Scoopy doo-Vmware fingerprint suite[EB/0L]. (2003)[2011-11-01]. http://www.trapkit.de/research/vmm/ scoopydoo/index.html.
9Danny Quist,Val Smith. Detecting the presence of virtual machines using the local data table[EB/OL]. (2005)[201 1-11-01].http://www.offensivecomputing.net/dc 14/vm. pdf.
10Li Sun,Tim Ehringer,Serdar Boztas. An automatic anti-anti-VMware technique applicable for multi-stage packed malware[EB/OL]. [2011-11-01]. http://wenku.haidu.com/view/d84440dl 84254h35eefd344f.html.

引证文献4

1杨鹏,方勇,刘亮,浦伟,左政.基于CPU缓存操作模式差异的虚拟机检测方法[J].信息与电子工程,2012,10(6):775-778.
2熊昕.基于Internet的虚拟外贸模拟实训系统的研发[J].信息技术与标准化,2013(3):75-78.
3周莉,胡小桃,方勇,刘亮.基于虚拟机的恶意代码检测系统研究[J].信息安全与通信保密,2013,11(5):79-81.
4游超,庞建民,戴超,岳峰.基于关键点复用的恶意行为检测方法[J].信息工程大学学报,2013,14(5):624-628.

1李荣,李忠福,李艳芳,段悠然,刘忆宁.基于行为比对的木马检测分析系统的研究[J].保密科学技术,2013,0(5):11-14.
2欧阳璟.互联网与企业安全调查[J].程序员,2007(7):62-63. 被引量：1
3宋阳.伪装QQ飞车外挂的“MBR锁”木马分析[J].计算机与网络,2017,43(5):54-54.
4王明.盗号木马分析与追踪的详细介绍[J].计算机与网络,2015,41(2):55-55.
5罗婷,罗芳.常见ASP一句话木马分析及防御[J].电子技术与软件工程,2013(22):243-243. 被引量：1
6祝向幸.软件工程可视化开发环境方法[J].工业安全与防尘,1998,24(2):45-47.
7兰云科技参展2017RSA[J].信息网络安全,2017(3):86-86.
8深层病毒防护之恶意软件分析[J].软件世界,2006(9):80-80.
9深层病毒防护之恶意软件分析[J].IT经理世界,2006(10):42-42.
10深层病毒防护之恶意软件分析[J].中国计算机用户,2006(16):52-52.

信息与电子工程

2010年第3期

浏览历史

内容加载中请稍等...

一种恶意软件分析中检测虚拟环境的方法被引量：4

参考文献11

同被引文献39

引证文献4

相关作者

相关机构

相关主题

浏览历史

一种恶意软件分析中检测虚拟环境的方法 被引量：4

参考文献11

同被引文献39

引证文献4

相关作者

相关机构

相关主题

浏览历史

一种恶意软件分析中检测虚拟环境的方法被引量：4