-
公开(公告)号:CN107368739B
公开(公告)日:2020-02-07
申请号:CN201710619371.1
申请日:2017-07-26
Applicant: 北京理工大学
Abstract: 本发明公开了内核驱动的监视方法和装置,该方法包括:获取迁移到虚拟机中的物理机的操作系统内核中的驱动的基础信息,利用驱动的基础信息对驱动的权限以及操作系统内核中需保护对象的内存权限进行设置;设置虚拟机控制结构VMCS,根据设置的所述目标驱动的权限,设置的所述需保护对象的内存权限以及设置的所述VMCS,当捕获到驱动的行为引起的预设异常时,触发虚拟机退出事件并输出监视信息完成对驱动的监视。本发明实施例的方案基于虚拟机监视器更高权限特性,解决了监视程序容易被恶意驱动绕过,监视效果差的问题。
-
公开(公告)号:CN110647748B
公开(公告)日:2021-04-20
申请号:CN201910850422.0
申请日:2019-09-10
Applicant: 北京理工大学
IPC: G06F21/56
Abstract: 本发明属于计算机软件技术领域,公开了一种基于硬件特性的代码复用攻击检测系统及方法;包括内核模块、插桩模块、路径分析模块、断点选择器模块。内核模块具有系统调用拦截器、断点设置功能、断点拦截器的功能,插桩模块用于辅助拦截库函数调用功能,路径分析模块具有路径分析与验证的功能,断点选择器模块通过插装工具的二进制程序动态分析功能来实现。传统动态检测的方法性能开销较大、能够被新型的代码复用攻击所绕过。本发明结合程序分析技术和相关硬件特性提出一种新的高效检测程序控制流异常的方法,不需要修改目标程序源代码(或二进制代码),能够有效检测较为复杂的代码复用攻击,其性能开销较小,易于在实际环境中部署。
-
公开(公告)号:CN107368739A
公开(公告)日:2017-11-21
申请号:CN201710619371.1
申请日:2017-07-26
Applicant: 北京理工大学
Abstract: 本发明公开了内核驱动的监视方法和装置,该方法包括:获取迁移到虚拟机中的物理机的操作系统内核中的驱动的基础信息,利用驱动的基础信息对驱动的权限以及操作系统内核中需保护对象的内存权限进行设置;设置虚拟机控制结构VMCS,根据设置的所述目标驱动的权限,设置的所述需保护对象的内存权限以及设置的所述VMCS,当捕获到驱动的行为引起的预设异常时,触发虚拟机退出事件并输出监视信息完成对驱动的监视。本发明实施例的方案基于虚拟机监视器更高权限特性,解决了监视程序容易被恶意驱动绕过,监视效果差的问题。
-
公开(公告)号:CN110647748A
公开(公告)日:2020-01-03
申请号:CN201910850422.0
申请日:2019-09-10
Applicant: 北京理工大学
IPC: G06F21/56
Abstract: 本发明属于计算机软件技术领域,公开了一种基于硬件特性的代码复用攻击检测系统及方法;包括内核模块、插桩模块、路径分析模块、断点选择器模块。内核模块具有系统调用拦截器、断点设置功能、断点拦截器的功能,插桩模块用于辅助拦截库函数调用功能,路径分析模块具有路径分析与验证的功能,断点选择器模块通过插装工具的二进制程序动态分析功能来实现。传统动态检测的方法性能开销较大、能够被新型的代码复用攻击所绕过。本发明结合程序分析技术和相关硬件特性提出一种新的高效检测程序控制流异常的方法,不需要修改目标程序源代码(或二进制代码),能够有效检测较为复杂的代码复用攻击,其性能开销较小,易于在实际环境中部署。
-
-
-
Search Results
4
records
(took 0.017 seconds)
