%0 Journal Article
%T 基于影子内存的无代理虚拟机进程防护<br>Shadow Memory-Based Agentless Virtual Machine Process Protection
%A 陈兴蜀
%A 陈蒙蒙
%A 金鑫
%J 电子科技大学学报
%D 2018
%R 10.3969/j.issn.1001-0548.2018.01.012
%X 为了提高虚拟机中进程的安全性，避免系统调用表SSDT和系统调用执行流被恶意挂钩，提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存，通过向影子内存透明注入SSDT和跳转函数，构建全新SSDT和系统调用执行流，保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT，利用硬件虚拟化的自动陷入机制检测进程的敏感行为，在VMM中过滤针对受保护进程的非法操作，实现无代理的进程防护。实验结果表明，该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击，对虚拟机性能的影响在3%以下。<br>
%K 无代理
%K 进程
%K 系统调用
%K 虚拟机
%K VMM&lt
%K br&gt
%U http://manu50.magtech.com.cn/dzkjdx/CN/abstract/abstract3921.shtml