基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机(VM)中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器(VMM)层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机(KVM)作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统(VMPMS)能有效度量虚拟机中进程,性能损耗在可接受范围内。

眼动脉溶栓治疗经皮颈动脉狭窄球囊扩张支架成型术中视网膜中央动脉阻塞1例

视网膜中央动脉阻塞(central retinal artery occlusion,CRAO)是眼科的一种急性重症致盲性疾病,临床药物治疗困难,预后多数较差。颈动脉支架成形术(carotid artery stenosis,CAS)中发生此并发症较为罕见。现报道1例经皮颈动脉狭窄球囊扩张支架成型术中并发CRAO,经眼动脉插管尿激酶溶栓治疗后成功再通且预后良好的病例,以供临床医师参考。

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM(kernel-based virtual machine)虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明:VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.

基于VMM的虚拟机隐藏网络连接检测研究

恶意软件可通过隐藏自身行为来逃避安全监控程序的检测,具有较强的隐蔽性和不可察觉性。传统的基于主机的隐藏对象检测系统易被绕过或攻击而失效,针对当前研究中存在的对隐藏网络连接的检测较少,及在虚拟机监视器(VMM)中通过截获解析数据包难以维护可信网络连接视图的问题,提出基于硬件虚拟化的虚拟机隐藏网络连接检测方法。该方法在虚拟机内部获取网络连接的用户层及内核层视图;在VMM层截获虚拟机进程的系统调用获取可信网络连接视图及其与主体进程的映射关系;通过交叉视图对比实现对虚拟机隐藏网络连接的检测。实现的原型系统VNDec可在VMM层有效检测虚拟机中隐藏的网络连接,且可实现网络连接隐藏行为与进程主体的关联。