WEB开发网
开发学院服务器云计算 增强的恶意软件检测 阅读

增强的恶意软件检测

 2010-06-30 00:00:00 来源:WEB开发网   
核心提示: 图4:Intel®管理引擎架构(来源:Intel公司,2009)原型2:基于虚拟机监视程序(Virtual Machine Monitor) 在这里,我们的第二种有原型中,增强的恶意软件检测(7),我们用虚拟机(virtual machine,VM)作为隔离环境,并且扩展我们的第一个原型

增强的恶意软件检测

图4:Intel®管理引擎架构(来源:Intel公司,2009)

原型2:基于虚拟机监视程序(Virtual Machine Monitor)

在这里,我们的第二种有原型中,我们用虚拟机(virtual machine,VM)作为隔离环境,并且扩展我们的第一个原型来度量虚拟机监视程序(VMM)的完整性。

为理解我们为何选择VMM作为隔离环境,让我们首先来了解一下使用硬件虚拟的基于虚拟的系统。我们在平台上使用Intel® Virtualization Technology (Intel® VT)。虚拟是指一种将处理器或者芯片组的物理资源到分割到不同VM上,并在OS下插入比VM更高权限的执行程序的技术。这个执行程序就是VMM。在 IA-32的Intel® Virtualization Technology (Intel® VT)、 Intel® 64 和 Intel® Architecture (Intel® VT-x)中,称这一权限级别为VMX-root模式。将控制转换到VMM称为VMExit,将控制转换到VM称为VMEntry。通过使用VMCALL 指令,VM能显式地、强制地进行VMExit。在VMX non-root模式下运行的客户OS进行关键OS操作时必定会产生一个VMExit。这使得VMM能强制执行隔离策略。通过增加一个轻量级VMM到 [9]中所描述的原型,我们增强了其功能。为能拦截换页事件以及对数据结构的改动,我们利用VMM监控所需的系统事件,并可以在需要时建立影子页 (shadow page)表。系统组件、清单生成以及完整性验证算法的细节在[9]中详细讨论。我们在研究原型中加入了Intel ME固件,用其来验证VMM自身的完整性[11]。在图5显示了此架构。

增强的恶意软件检测

上一页  2 3 4 5 6 7 8  下一页

Tags:增强 恶意 软件

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接