基于虚拟机技术的进程分析方法

？针对现有进程分析方法存在的缺陷，提出了一种在windows平台虚拟环境下分析进程的方法。该方法首先在宿主机下分析虚拟机的内存，捕捉当前线程，并通过内核数据结构得到当前线程所在进程,然后通过页目录表物理地址计算进程页面，对内存进行清零来结束进程。实例分析表明本方法在保护宿主机安全的同时，能快速监测到程序，并且可以有效地结束进程。