一种利用物理内存搜索硬件虚拟化rootkit的检测方法

硬件虚拟化rootkit(hardwarevirtualization-basedrootkit,简称hvbr)是近几年出现的新型恶意程序,相比传统rootkit具有更强的隐藏性,难以被有效地检测出来.分析了hvbr的隐藏原理和运行机制,针对hvbr能够绕过直接内存扫描的隐藏特性,提出了一种基于物理内存搜索的检测方法.该方法通过修改页表项pte遍历物理内存,通过比较hvbr的固有特征进行检测和定位.实验结果表明,该方法具有较好的可靠性和检测效率.