检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
作 者:杨鹏[1] 方勇[1] 刘亮[1] 浦伟 左政[1]
机构地区:[1]四川大学信息安全研究所,四川成都610065 [2]四川省信息安全测评中心,四川成都610017
出 处:《信息与电子工程》2012年第6期775-778,782,共5页information and electronic engineering
摘 要:虚拟化技术已被广泛用于恶意软件分析系统,而虚拟机检测技术作为一种反分析技术,对恶意软件作者和安全研究人员都有重要意义。为了描述和探索虚拟机检测方法,给出了虚拟机检测的基本思想并介绍了几种已有检测方法,考虑到检测方法的通用性,提出了基于CPU缓存(Cache)操作模式差异的虚拟机检测方法,通过比较启用CPU缓存和禁用CPU缓存时的指令执行效率来判断当前环境是否为虚拟环境。通过实验发现在真机环境中禁用CPU缓存对指令执行效率有显著影响,而在虚拟环境中禁用CPU缓存对指令执行效率没有显著影响。实验结果表明,利用CPU缓存操作模式在真机环境与虚拟环境中的差异来检测虚拟机是可行的。Virtualization technology has been widely used for malware analysis system,and as a kind of anti-analysis technology,the detecting technology of virtual machine is meaningful to both the authors of malware and the researchers of security.In order to describe and explore virtual machine detection method,this paper gives the basic principles and several existing methods for detection.Taking into account the versatility,a method based on discrepancies of CPU cache mode is proposed.The experiment results show that disabling CPU caching has significant influence on instruction execution efficiency in real machine environment,but not in virtual environment;and it is feasible to detect virtual machine via the distinction of different CPU cache modes.
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:18.222.147.70