公开(公告)号：CN102651062A

公开(公告)日：2012-08-29

申请号：CN201210100509.4

申请日：2012-04-09

Applicant: 华中科技大学

Inventor： 金海 ,  王晓娣 ,  邹德清 ,  羌卫中 ,  袁劲枫

IPC: G06F21/22 ,  G06F9/455

Abstract: 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法，包括：接收污点数据，将污点数据存储于客户操作系统的虚拟内存中，并在实际内存中分配一块内存区域存储该污点信息，在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在，修改虚拟机控制结构域，并且客户操作系统陷入虚拟机管理器层执行，对操作系统状态进行语义翻译，以获取高级语义信息，并将高级语义信息记录在污点数据结构中，跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程，根据污点数据的传播过程生成传播图，对传播图进行检测，以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。

公开(公告)号：CN102651062B

公开(公告)日：2014-06-18

申请号：CN201210100509.4

申请日：2012-04-09

Applicant: 华中科技大学

Inventor： 金海 ,  王晓娣 ,  邹德清 ,  羌卫中 ,  袁劲枫

IPC: G06F21/56 ,  G06F9/455

Abstract: 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法，包括：接收污点数据，将污点数据存储于客户操作系统的虚拟内存中，并在实际内存中分配一块内存区域存储该污点信息，在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在，修改虚拟机控制结构域，并且客户操作系统陷入虚拟机管理器层执行，对操作系统状态进行语义翻译，以获取高级语义信息，并将高级语义信息记录在污点数据结构中，跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程，根据污点数据的传播过程生成传播图，对传播图进行检测，以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。