基于虚拟机的“In-VM”恶意代码检测系统

摘要

一种基于虚拟机的“In-VM”恶意代码检测系统，包括环境初始化单元：安装并启动TypeI虚拟机BitVisor，客户系统Windows，编译BitVisor，在多操作系统启动程序Grub启动项中添加Bitvisor的启动项；用户态检测单元：传递用户层代码段首地址及大小、存放检测结果的内存区域首地址及大小到内核层，接收用户定制功能的命令，提交检测结果给用户；系统内核态检测单元：接收用户层传递的数据和命令，设置HOOK处理模块，将内核层代码段的首地址及大小、HOOK处理模块的首地址及大小传递到虚拟机监视层，将检测结果返回到内核层；虚拟机监视器检测单元：接收内核层传递的数据和命令，将检测结果传递到内核层，解析客户端操作系统内存，得到系统服务描述符表SSDT导出函数名称与其地址；接收检测结果单元：初始化过程完成，等待用户定制命令以及接收检测结果。检测系统向上能够提供主机系统的真实信息、返回检测结果，向下允许用户定制功能、传递命令。

主权项

一种基于虚拟机的“In‑VM”恶意代码检测系统，所述恶意代码检测系统分为四层：计算机硬件层、虚拟机监视器层、客户系统内核层、客户系统用户层，所述恶意代码检测系统包括下列单元：环境初始化单元：安装并启动Type Ⅰ虚拟机BitVisor，客户系统Windows，编译BitVisor，在多操作系统启动程序Grub启动项中添加Bitvisor的启动项；用户态检测单元：传递用户层代码段首地址及大小、存放检测结果的内存区域首地址及大小到内核层，接收用户定制功能的命令，提交检测结果给用户；所述用户态检测单元进一步包括用户层判断模块，判断初始化过程是否完成，没有完成则等待，如果完成则监听系统消息，是否有用户输入或者检测结果返回；如果有用户命令输入，则接收用户命令传递到内核层，如果有检测结果返回，则接收检测结果，在交互界面上显示；完成用户命令或检测结果的接收之后，继续监听系统消息并进行后续处理；系统内核态检测单元：接收用户层传递下来的数据和命令，设置HOOK处理模块，将内核层代码段的首地址及大小、HOOK处理模块的首地址及大小传递到虚拟机监视层，将检测结果返回到内核层，通过设置用户层的内存页面不可写，来保证用户层的完整性，以不被恶意代码攻击；虚拟机监视器检测单元：接收内核层传递下来的数据和命令，将检测结果传递到内核层，解析客户端操作系统内存，得到系统服务描述符表SSDT导出函数名称与其地址，通过设置层页面不可写，保证内核层的完整性，以不被恶意代码攻击；接收检测结果单元：初始化过程完成后，等待用户定制命令以及接收检测结果。