公开(公告)号：CN113138835B

公开(公告)日：2024-01-16

申请号：CN202110378538.6

申请日：2021-04-08

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  程丰 ,  屈天恒 ,  刘永继 ,  蒋建华

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于IPT与虚拟机自省的API调用监控方法及系统。本方法为：当创建虚拟机时，KVM进入虚拟机模式，IPT开始进行追踪，执行a)～b)；当KVM退出虚拟机模式回到根模式的时候，IPT停止追踪；其中：a)获取虚拟机内部当前运行的进程，得到所监控API的虚拟地址；b)将所监控API与API虚拟地址的对应关系写入第一哈希表中，将进程CR3的值与对应进程间的映射关系写入第二哈希表中，并且监听进程CR3的值的变化；2)对IPT追踪数据进行解码，然后根据哈希表从解码数据中获取进程的API序列调用；3)将进程的API调用序列与设定高危进程的API序列匹配，根据匹配结果确定虚拟机的安全状态。

公开(公告)号：CN113138835A

公开(公告)日：2021-07-20

申请号：CN202110378538.6

申请日：2021-04-08

Applicant: 中国科学院信息工程研究所

Inventor： 丁振全 ,  郝志宇 ,  程丰 ,  屈天恒 ,  刘永继 ,  蒋建华

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明公开了一种基于IPT与虚拟机自省的API调用监控方法及系统。本方法为：当创建虚拟机时，KVM进入虚拟机模式，IPT开始进行追踪，执行a)～b)；当KVM退出虚拟机模式回到根模式的时候，IPT停止追踪；其中：a)获取虚拟机内部当前运行的进程，得到所监控API的虚拟地址；b)将所监控API与API虚拟地址的对应关系写入第一哈希表中，将进程CR3的值与对应进程间的映射关系写入第二哈希表中，并且监听进程CR3的值的变化；2)对IPT追踪数据进行解码，然后根据哈希表从解码数据中获取进程的API序列调用；3)将进程的API调用序列与设定高危进程的API序列匹配，根据匹配结果确定虚拟机的安全状态。