论文部分内容阅读
为了解决目前虚拟机隐藏进程检测方案高能耗、检测不全的问题,提出一种基于进程生命周期的隐藏进程检测系统(HPro Dectector)。首先利用虚拟机监视器(VMM)的高特权级和系统自身的回调机制在虚拟机非换页内存区构建一份透明内存区并注入回调函数硬编码,通过回调函数注册模块对进程创建、终止过程注册回调。虚拟机内部进程的创建/终止事件会触发回调函数执行,利用硬件虚拟化的超级调用机制下发目标进程相关信息至事件处理模块,维护真实进程视图。视图分析模块结合真实视图和当前视图进行交叉分析,获取当前隐藏的进程信