[发明专利]一种基于硬件模拟器的处理隐藏进程的方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于硬件模拟器的处理隐藏进程的方法。

背景技术

随着社会的不断发展和进步，计算机在社会各个领域的应用越来越广泛。由于软件漏洞的广泛存在和用户安全意识的不足，木马的传播速度越来越快，感染范围不断扩大，造成的破坏日益严重。同时由于底层技术的研究不断深入，越来越多的隐藏进程手段为木马所利用。传统的安全防护手段由于受分析效率和实现环境的限制，响应周期难以缩短，响应速度已经逐渐不能适应这种新情况。因此，提高对隐藏进程的检测准确性和分析能力显得十分必要。

现有的隐藏进程检测工具，如Process Explorer、IceSword、GMER等，全部依赖于内存格式的分析和操作系统底层数据的挖掘。在某些情况下，甚至必须对操作系统进行修改，如Hook系统函数，或者通过PsSetCreateProcessNotifyRoutine注册回调函数，才能实现相应的功能。而由于对操作系统做修改，本身会引起完整性问题，因此被修改的数据补丁或者注册的函数很容易被木马发现，并产生相应的对抗手段。同时由于当前的隐藏进程检测和分析工具，都是在跟恶意代码同一平台运行，在对系统的控制权上和恶意代码产生竞争关系，不利于准确而稳定的实现检测与分析。

当前的隐藏进程检测技术，通常使用如下的几种方法：

1.遍历EPROCESS表来查找隐藏进程

该方法仅限于检测Ring3级用户模式隐藏的进程，当前的木马一般都会使用断开EPROCESS链表的方法来隐藏自身。因此通过遍历EPROCESS表的方法在目前几乎等于无效。

2.遍历EPROCESS结构中包含的HandleTable双链表来实现隐藏进程检测。

恶意代码可以将自身的HandleTable从该链表上断开，对运行无影响。

3.遍历CSRSS中的句柄表。

因为CSRSS进程包含其他所有进程的句柄，故通过遍历句柄表的方式可以找到其他进程的对象结构。

恶意代码可以通过擦除CSRSS进程中指向自身的句柄来实现进程隐藏功能。

4.遍历操作系统调度表。

在XP系统上，存在两个调度表。KiReadyList和KiWaitList，通过遍历这两个链表，可以查到当前操作系统中都有哪些进程处于执行状态和等待状态。恶意代码可以通过Hook API的方法将进程调度记录从这两个链表上摘下。

5.遍历PspCidTable内核句柄表。

该句柄表存放着系统中所有的进程和线程的句柄。恶意代码可以将PspCidTable指向自身的指针清空，这种方法可以实现隐藏，但是会带来系统的不稳定。

6.Hook SwapContext函数。

通过Hook SwapContext函数，反木马程序可以获得操作系统调用的所有过程，并在这个过程中实现各种隐藏进程的检测。但是这样存在一个问题，即因为和木马程序同处在一个平台上。木马可以采用覆盖函数指令的方法来摘除钩子。

目前分析隐藏进程中恶意代码的虚拟机调试分析方法，应用VMware、VirtualPC等虚拟机系统实现。虚拟机系统将虚拟指令直接交给本地的真实CPU执行，同时自身存在后门。隐藏进程中的恶意代码可通过检查代码执行时间，或者调用虚拟机后门功能的方法判别自己在一个虚拟系统上运行，采取操作隐藏真实功能。

综上，目前检测隐藏进程的主要缺陷在于：隐藏进程和恶意代码处于同一层次上，容易被恶意代码检测并产生相应的对抗手段；过度依赖操作系统内核数据完整性，基于虚拟化的分析技术虚拟化程度不高，准确率不高。而分析隐藏进程中恶意代码的方法是使用Hook系统API的方法监控进程，恶意代码通过读取硬盘上系统文件对内存中的代码进行覆盖即可使之失效；虚拟机调适方法采用的虚拟机，依赖本地CPU，而不能模拟多种CPU。

发明内容

本发明提供一种基于硬件模拟器的处理隐藏进程的方法，通过构建恶意代码运行环境，操纵和控制模拟CPU指令和各种模拟硬件的访问操作，硬件模拟器中的数据采集模块收集系统中所有进程的信息，以CR3为标志，检测隐藏进程；监控所有进程的运行过程，从虚拟内存中直接提取恶意代码镜像，分析监控数据，并以HTML或SQL格式输出。

一种基于硬件模拟器的处理隐藏进程的方法，其步骤如下：

1、按照目标文件在硬盘上的数据块排序，将数据块顺次添加到虚拟硬盘，转换为硬件模拟器识别的操作系统镜像；