-
公开(公告)号:CN103714288A
公开(公告)日:2014-04-09
申请号:CN201310733715.3
申请日:2013-12-26
Applicant: 华中科技大学
IPC: G06F21/52
CPC classification number: G06F21/52
Abstract: 本发明公开了一种数据流跟踪方法,包括三个阶段:客户操作系统指令静态反汇编,根据静态的客户机x86指令生成对应的污点传播指令,进行污点数据传播更新操作,对于在静态反汇编时不能获取的内存操作数物理地址,通过采用共享缓存的方式在动态执行过程中获取;编译产生宿主机执行代码,根据上一阶段的污点指令生成宿主机上的可执行代码,以处理函数的形式进行生成,方便下一阶段的执行;开启新的执行线程,执行污点指令,逐条取出污点指令,调用其处理函数。本发明方法通过将污点跟踪操作和模拟器动态二进制翻译执行模块分离,实现基于x86指令级的污点语义翻译和并行化的污点传播更新,减少无用的污点跟踪操作,提高系统和用户的交互体验。
-
公开(公告)号:CN102651062B
公开(公告)日:2014-06-18
申请号:CN201210100509.4
申请日:2012-04-09
Applicant: 华中科技大学
Abstract: 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法,包括:接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点信息,在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行,对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中,跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程,根据污点数据的传播过程生成传播图,对传播图进行检测,以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。
-
公开(公告)号:CN103714288B
公开(公告)日:2016-05-25
申请号:CN201310733715.3
申请日:2013-12-26
Applicant: 华中科技大学
IPC: G06F21/52
Abstract: 本发明公开了一种数据流跟踪方法,包括三个阶段:客户操作系统指令静态反汇编,根据静态的客户机x86指令生成对应的污点传播指令,进行污点数据传播更新操作,对于在静态反汇编时不能获取的内存操作数物理地址,通过采用共享缓存的方式在动态执行过程中获取;编译产生宿主机执行代码,根据上一阶段的污点指令生成宿主机上的可执行代码,以处理函数的形式进行生成,方便下一阶段的执行;开启新的执行线程,执行污点指令,逐条取出污点指令,调用其处理函数。本发明方法通过将污点跟踪操作和模拟器动态二进制翻译执行模块分离,实现基于x86指令级的污点语义翻译和并行化的污点传播更新,减少无用的污点跟踪操作,提高系统和用户的交互体验。
-
公开(公告)号:CN102651062A
公开(公告)日:2012-08-29
申请号:CN201210100509.4
申请日:2012-04-09
Applicant: 华中科技大学
Abstract: 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法,包括:接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点信息,在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行,对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中,跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程,根据污点数据的传播过程生成传播图,对传播图进行检测,以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。
-
-
-
Search Results
4
records
(took 0.018 seconds)
