增强的恶意软件检测

核心提示： 图3：基于云的内核匿踪攻击(Rookit)检测(来源：Intel公司，2009)内核匿踪攻击(rootkit)检测程序，增强的恶意软件检测(5)，本地内核匿踪攻击(rootkit)检测程序，运行在客户端隔离分区，两者都与主机OS隔离，因为这两种方式都与主机OS互相隔离，向运行在防病毒云中的内核匿

图3：基于云的内核匿踪攻击(Rookit)检测(来源：Intel公司，2009)

内核匿踪攻击(rootkit)检测程序。本地内核匿踪攻击(rootkit)检测程序，运行在客户端隔离分区，向运行在防病毒云中的内核匿踪攻击(rootkit)检测应用暴露出安全的远程接口。用这种方法，匿踪攻击(rootkit)应用程序能访问核心内存页，并在内核内存区域内执行基本哈希(hash)比较操作，以进行完整性检查。完整性确认操作在远程服务器端执行。内核哈希值也会保存在防病毒云服务器上，在需要时提供给客户端PC的内核匿踪攻击(rootkit)检测程序。

原生内存驱动。原生内存驱动运行在隔离的分区上，用以确保能够安全访问系统内存区，主机OS的内核内存位于系统内存区中。

远程内存完整检查操作会产生两个问题：安全与网络延时。我们使用下面三种方式来解决网络安全问题：提供客户端PC与防病毒云服务间的安全通道、提供内存哈希比较接口并限制远程内存访问。由于绝大多数进行内存完整检查的核心内存区驻留在客户端平台的不可分页(nonpageable)内存，内存验证时的网络延时问题就显得不是太严重。

通过检测诸如引入表挂钩、内存代码与静态数据修改、IDT、系统调用参考表以及直接内核对象窜改等常用攻击方法，内核匿踪攻击(rootkit)检测程序有助于缓解未知威胁或者内存内(in-memory)威胁。

对抗匿踪恶意软件的原型架构

我们开发出两个系统原型，用来检验系统设计。原型1基于Intel®管理引擎(Intel®ME)，原型2基于虚拟机监视程序(virtual machine monitor,VMM)，两者都与主机OS隔离。因为这两种方式都与主机OS互相隔离，攻击者更难破坏其运行环境。