虛擬機信息攻防戰(zhàn)之去虛擬化研究.pdf

1、虛擬機技術在信息安全領域已經獲得了廣泛的應用。為了監(jiān)控和分析各種入侵行為，研究人員通常會利用虛擬機搭建監(jiān)控環(huán)境以將收集到的各種入侵封閉于虛擬環(huán)境之中，從而避免這些入侵攻擊物理主機。而且，被入侵的虛擬系統(tǒng)也可以較為容易地恢復到其初始時的健康狀態(tài)。然而，為了避免陷入對手搭建的虛擬監(jiān)控環(huán)境，一些入侵者已經實現(xiàn)了檢測虛擬環(huán)境的能力。此外，基于虛擬機的攻擊技術也已經出現(xiàn)。為了幫助理解和應對這些新興的攻擊，本文在研究虛擬系統(tǒng)在指令執(zhí)行、內存管理和I

2、/O 操作等方面表現(xiàn)出的虛擬痕跡的基礎上，提出和實現(xiàn)了三種虛擬環(huán)境檢測方法。這三種方法分別是：基于指令的本地檢測、基于TLB的本地檢測和基于TCP時間戳的遠程檢測?；谥噶畹臋z測通過構造檢測指令序列來發(fā)現(xiàn)虛擬機監(jiān)視器因處理特殊指令而引入的性能開銷；基于TLB的檢測通過觀測目標數(shù)據(jù)的內容和訪問其所需時間是否前后一致來發(fā)現(xiàn)虛擬系統(tǒng)中的TLB 刷新行為；基于TCP時間戳的檢測通過設計TCP時間戳增長模式檢測算法來判斷遠程目標系統(tǒng)的TCP時間戳