一种基于内核虚拟机的rootkit检测方法

发明专利无效专利

申请号：
CN201110157731.3
IPC分类号：G06F21/56
申请日期：
2011-06-13
申请人：
西安交通大学;山东高效能服务器和存储研究院

基础信息

权利要求

说明书

PDF全文

法律信息

引证文献

著录项信息

专利名称	一种基于内核虚拟机的rootkit检测方法
申请号	CN201110157731.3	申请日期	2011-06-13
法律状态	权利终止	申报国家	中国
公开/公告日	2011-09-21	公开/公告号	CN102194080A
优先权	暂无	优先权号	暂无
主分类号	G06F21/56 ? IPC结构图谱： G 物理 G0 仪器 G06 计算；推算；计数 G06F 电数字数据处理（基于特定计算模型的计算机系统入G06N） G06F21/24 （转入G06F 21/60） G06F21/50 监控用户、程序或设备，以维护平台完整。例如处理器、固件或操作系统〔2013.01〕 G06F21/55 检测本地入侵或实施对策〔2013.01〕 G06F21/56 计算机恶意软件检测或处理，例如反病毒装置〔2013.01〕	IPC分类号	G;0;6;F;2;1;/;5;6查看分类表>
申请人	西安交通大学;山东高效能服务器和存储研究院	申请人地址	陕西省西安市咸宁西路28号变更专利地址、主体等相关变化，请及时变更，防止失效
权利人	西安交通大学,山东高效能服务器和存储研究院	当前权利人	西安交通大学,山东高效能服务器和存储研究院
发明人	张兴军;吴忠远;王恩东;董渭清;董小社;胡雷钧;张东;郑豪;吴楠;彭义勇;宋鸿雁;卫进
代理机构	西安通大专利代理有限责任公司	代理人	徐文权

摘要

本发明提供了一种基于内核虚拟机的rootkit检测方法，该方法对rootkit的攻击对象类型进行了抽象分类：静态代码段，静态数据段，动态分配函数，堆空间数据，并且针对不同类型提供了不同的保护和检测机制；而具体的rootkit敏感信息，则通过运行在客户机中的运行时模块来获取，通过增加语义处理通道实现内核虚拟机和客户机之间的信息交互，通过扩展对应的缺页异常处理程序和vmcall主动陷入机制，保证该机制下客户机正常执行。本发明能够有效的组织针对静态代码和数据段的攻击并且在很小开销下和安全环境下实现动态信息的隔离保存和检测恢复。

序号	公开(公告)号	公开(公告)日	申请日	专利名称	申请人
该专利没有引用任何外部专利数据！

序号	公开(公告)号	公开(公告)日	申请日	专利名称	申请人
该专利没有被任何外部专利所引用！

我浏览过的专利

专利服务由北京酷爱智慧知识产权代理公司提供