[发明专利]在虚拟机外部机进行的windows隐藏进程检测方法

说明书

技术领域

本发明涉及一种windows隐藏进程检测方法，尤其是涉及在虚拟机外部机进行的windows隐藏进程检测方法。

背景技术

为减少相关开销和支持更广泛的操作系统，虚拟化架构出现在越来越多的场合。虚拟化的实质就是计算元件在虚拟的基础上而不是真实的基础上运行。资源的虚拟部份不受现有资源的架设方式，地域或物理组态所限制。图1表明了虚拟化的基本结构，其中最下面一层x86 Architecture（x86结构）为物理机的硬件设备，包括处理器（CPU）、内存（Memory）、网络适配器（NIC）、硬盘（Disk）等设备。第二层为虚拟化层（Virtualization Layer），负责对物理机上的物理设备进行虚拟化，以便各虚拟机使用。各虚拟机中包括操作系统（Operating System）和应用程序（App），同时专门有一台虚拟机作为服务控制台（Service Console）。传统计算机的使用，每个用户都有自己的一套硬件设备，包括显示器、内存、硬盘、CPU、网卡等，而在虚拟化平台下，每个用户不再需要拥有整套设备，只需一个终端显示设备即可。虚拟机运行在虚拟机服务器上，由服务器分发给要使用虚拟机的用户。图2表明用虚拟机（VM）代替物理机的工作方式，服务器上设置多个虚拟机，企业内部的客户端A、B、C可以直接连接服务器使用虚拟机，企业外部的客户端D、E也可以通过防火墙后连接到服务器使用虚拟机。虚拟化在各种应用中，包括服务器虚拟化、桌面虚拟化，以及当下最流行的云计算中担当着举足轻重的地位。面对这些应用，数据中心少则部署几台虚拟机，多则几十上百台。

随着虚拟化技术的发展，虚拟化环境所面临的安全问题也日趋凸显。作为虚拟化环境的运行实体，虚拟机和其中的客户操作系统的安全问题占据着支撑地位。如今广泛使用的操作系统在系统安全性方面均存在着不同程度的安全缺陷。由于操作系统普遍存在着结构复杂和内部进程不易监控等问题，拥有特权的进程可以轻易地对操作系统进行破坏。因此，为提高系统的安全性，有必要对系统内的进程进行监控。

随着虚拟化的推进，国内外对于虚拟化平台上安全系统的研究也呈现多元化、专业化的趋势。国防科技大学的温研等人，提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra，通过构造一个轻量级的虚拟机监视器，实现了从虚拟层隐式获取真实进程列表的新技术，但是由于重新构造了虚拟机监视器，可用范围不广。VMwatcher在虚拟机外部构建进程控制块链表，并通过交叉视图的方式比较外部重构的进程列表和内部汇报的进程列表的差异，但该方法可能会出现漏检的现象。Lycosid利用假设检验的方法判定被检测的系统中是否存在隐藏进程，但由于其采用概率的方式来识别隐藏进程，同样也会出现漏检或者是误警的现象。

发明内容

本发明主要是解决现有技术所存在的技术问题；提供了一种能够在不改变虚拟机内部结构，也不在其中安装任何插件的情况下，在虚拟机外部对虚拟机内的Windows操作系统进行隐藏进程检测的在虚拟机外部机进行的windows隐藏进程检测方法。

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种在虚拟机外部机进行的windows隐藏进程检测方法，其特征在于，包括以下步骤：

步骤1：通过虚拟机内客户机的FS寄存器找到Windows加载的所有内核模块构成的链表，从链表中找到内核模块ntoskrnl.exe；

步骤2：找出Windows操作系统内核空间维护的所有活动进程，根据所有活动进程寻找内核维护的活动进程EPROCESS链表上的所有活动进程；

步骤3：结合步骤2得到的活动进程EPROCESS链表上的所有活动进程检测系统中EPROCESS链中脱链的隐藏进程。

在上述的在虚拟机外部机进行的windows隐藏进程检测方法，所述的步骤2中，对于Windows下的每一个进程，系统都会给它分配一个excutive process block对其进行管理，所述excutive process 即EPROCESS，该结构包含和指向一系列其他相关的数据结构；所有的进程EPROCESS相互之间使用一对指针ActiveProcessLinks连接起来形成了一个循环双向链表。

在上述的在虚拟机外部机进行的windows隐藏进程检测方法，所述的步骤1找出内核模块的具体方法包括以下子步骤：