虛擬機信息攻防戰(zhàn)之去虛擬化研究.pdf

1、虛擬機技術(shù)在信息安全領(lǐng)域已經(jīng)獲得了廣泛的應(yīng)用。為了監(jiān)控和分析各種入侵行為，研究人員通常會利用虛擬機搭建監(jiān)控環(huán)境以將收集到的各種入侵封閉于虛擬環(huán)境之中，從而避免這些入侵攻擊物理主機。而且，被入侵的虛擬系統(tǒng)也可以較為容易地恢復(fù)到其初始時的健康狀態(tài)。然而，為了避免陷入對手搭建的虛擬監(jiān)控環(huán)境，一些入侵者已經(jīng)實現(xiàn)了檢測虛擬環(huán)境的能力。此外，基于虛擬機的攻擊技術(shù)也已經(jīng)出現(xiàn)。為了幫助理解和應(yīng)對這些新興的攻擊，本文在研究虛擬系統(tǒng)在指令執(zhí)行、內(nèi)存管理和I

2、/O 操作等方面表現(xiàn)出的虛擬痕跡的基礎(chǔ)上，提出和實現(xiàn)了三種虛擬環(huán)境檢測方法。這三種方法分別是：基于指令的本地檢測、基于TLB的本地檢測和基于TCP時間戳的遠(yuǎn)程檢測。基于指令的檢測通過構(gòu)造檢測指令序列來發(fā)現(xiàn)虛擬機監(jiān)視器因處理特殊指令而引入的性能開銷；基于TLB的檢測通過觀測目標(biāo)數(shù)據(jù)的內(nèi)容和訪問其所需時間是否前后一致來發(fā)現(xiàn)虛擬系統(tǒng)中的TLB 刷新行為；基于TCP時間戳的檢測通過設(shè)計TCP時間戳增長模式檢測算法來判斷遠(yuǎn)程目標(biāo)系統(tǒng)的TCP時間戳