高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段，目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性，针对这一问题，提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型，通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据，确保其不被恶意篡改；通过准确劫持系统调用函数，并结合交叉视图方法检测隐藏进程，确保隐藏进程的检测算法法被绕过.实验选取并构建多种典型的Rootkit隐藏进程，结果表明，该方法可以检测各种Rootkit隐藏进程，其隐藏进程检测代码及其相关数据法被恶意篡改，检测算法和内存保护机制法被绕过，而且改进的虚拟化内存保护机制对系统的性能影响更小，方法的可靠性高，实用价值大