1 / 7

基于硬件虚拟化的恶意代码 分析技术

基于硬件虚拟化的恶意代码 分析技术. 杨峰 2010 年 12 月 23 日. 课题概要. 利用硬件虚拟化技术,在现有的开源的虚拟机管理器的基础上进行修改,实现恶意代码分析的功能。 被 分析系统: Windows XP 使用的硬件虚拟化技术: Intel VT-x & VT-d 实现对用户态 API 调用的监控 实现对系统内存的监控(静态内核对象、动态内核对象的创建和释放). 最高目标. 对 Xen 进行修改,实现利用虚拟机管理器对恶意代码的用户态与内核态行为的分析 优势: 对多种操作系统的支持 对多虚拟机( Guest OS )的支持

keelia
Download Presentation

基于硬件虚拟化的恶意代码 分析技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 基于硬件虚拟化的恶意代码分析技术 杨峰 2010年12月23日

  2. 课题概要 • 利用硬件虚拟化技术,在现有的开源的虚拟机管理器的基础上进行修改,实现恶意代码分析的功能。 • 被分析系统:Windows XP • 使用的硬件虚拟化技术:Intel VT-x & VT-d • 实现对用户态API调用的监控 • 实现对系统内存的监控(静态内核对象、动态内核对象的创建和释放)

  3. 最高目标 • 对Xen进行修改,实现利用虚拟机管理器对恶意代码的用户态与内核态行为的分析 • 优势: • 对多种操作系统的支持 • 对多虚拟机(Guest OS)的支持 • 对Intel、AMD 虚拟化技术的支持 • 庞大的代码、复杂的实现

  4. 基本目标 • 利用简单的虚拟机管理器(如MAVMM等)来实现恶意代码用户态行为的监控 • 只支持一个VM,不支持虚拟机的还原 • MAVMM是一个基于AMD-SVM技术的硬件虚拟化的虚拟机监控器,其行为分析的数据通过串口输出到另外一台PC上 • 代码简单,易于学习

  5. 以前的工作 • 邓追的工作 • 基于硬件虚拟化的rootkit分析系统 • 实现平台:BitVisor • 针对Windows操作系统 • 只支持一个VM • 通过串口输出信息

  6. 研究进展 • 前一阶段:开题、文献调研、论文阅读 • 现阶段: • Xen的源码安装的实验 • MAVMM的源码阅读 • 下一阶段 • 基于MAVMM的修改? • 移植到Xen? • 创新点?

  7. 硬件环境 • 实验硬件 • 已购入Intel i7 860 PC两台 • 已购入AMD Phemon II ×4 945 PC一台 • 已经成功对Xen通过源码安装 • 安装平台 Ubuntu 10.10 AMD64 • Xen 4.0.1 • 具体可以参考http://mwdas.ccert.edu.cn/malware/index.php?aid=48

More Related