%0 Journal Article
%T 一种利用物理内存搜索硬件虚拟化rootkit的检测方法
%A 周天阳？
%A 朱俊虎？
%A 李鹤帅？
%A 王清贤？
%J 软件学报
%P 1-8
%D 2011
%X 硬件虚拟化rootkit(hardwarevirtualization-basedrootkit,简称hvbr)是近几年出现的新型恶意程序,相比传统rootkit具有更强的隐藏性,难以被有效地检测出来.分析了hvbr的隐藏原理和运行机制,针对hvbr能够绕过直接内存扫描的隐藏特性,提出了一种基于物理内存搜索的检测方法.该方法通过修改页表项pte遍历物理内存,通过比较hvbr的固有特征进行检测和定位.实验结果表明,该方法具有较好的可靠性和检测效率.
%K 硬件虚拟化
%K hvbr(hardware
%K virtualization-based
%K rootkit)
%K 物理内存搜索
%K 检测
%U http://www.jos.org.cn/ch/reader/view_abstract.aspx?file_no=11021&flag=1