增强的恶意软件检测

核心提示： 文章组织方式 开篇讨论对主机代理的威胁，然后勾画出一个基于增强型云计算、用于恶意软件检测的通用架构，增强的恶意软件检测(3)，接下来描述了用来增强计算解决方案的Intel平台技术，最后用前面讨论的方法对对威胁进行了分析，另外一种安全研究人员提出的方式是安装恶意虚拟机监视程序 (VMM)来超劫持(

文章组织方式

开篇讨论对主机代理的威胁。然后勾画出一个基于增强型云计算、用于恶意软件检测的通用架构。接下来描述了用来增强计算解决方案的Intel平台技术，最后用前面讨论的方法对对威胁进行了分析。

主机代理面临的威胁

正如只能在主机运行的恶意软件检测系统必须得到真实可靠的信息才能有效工作，平台上的主机代理也必须为云服务提供真实可靠的信息才能确保发挥其防病毒作用。如果恶意软件能利用系统中的漏洞（例如，浏览器插件中的缓冲溢出），然后破坏主机代理，它就能在未被发现的情况下安然运行。

可以使用多种方式破坏主机代理：

窜改主机代理。修改主机代理的可执行属性，使之不能再对恶意软件样本构成威胁。此类窜改可以简单到不再发送文件到云服务，也可以复杂到允许恶意软件的代理过滤发送到云服务的文件。

禁用主机代理。恶意软件修改系统配置，或者使主机代理下次系统启动时不再运行，或者立即中止主机代理的运行。

输入过滤。恶意软件在系统API中设置钩子(hook)，并插入恶意代码，从而过滤提供给主机代理的信息。众所周知的钩入点(hook points)包括引入表( import table)和系统调用参考表(system call table)。然而，还存在有更多钩入点(hook points)；Wang及其他人员在Red Hat Fedora core 中找到了41个可能用来进行文件隐藏的内核钩入点(hook points)[10, 13]。

在最近几年，恶意软件发展的重点在于使用更具破坏性的方式攻破系统安全。其中一种由暗影行者(Shadow Walker)使用的方法是在中断描述符表(interrupt descriptor table ,IDT)、页面出错处理程序( page-fault handler )中设置钩子。当处理器读取内存中的内容作为数据时会返回恶意软件所指定的值，而当处理器读取内存中内容作为代码时会返回其他值。另外一种安全研究人员提出的方式是安装恶意虚拟机监视程序 (VMM)来超劫持(hyperjack)操作系统(OS)。VMM使得研究者能对系统一览无余，却不需要对OS进行任何修改或者挂钩 (hooking)。