一种基于KVM虚拟机的隐藏进程检测算法

摘要 针对虚拟机环境下木马隐藏自身进程的方式多样化和隐蔽化的问题,提出一种基于虚拟机的隐藏进程检测算法．算法依据客户机调度进程时会访问CR3寄存器而引起VCPU陷出到根模式执行原理,在虚拟机的陷出异常处理函数中插入多视图进程检测算法．提出一种优化的hash算法来减小对虚拟机的性能损失．对比内存搜索算法,实验证明本算法能准确地检测出隐藏原理未知的进程,且性能损失较小