本發明專利技術公開了虛擬機系統的反檢測系統,其中,所述系統包括虛擬機系統的反檢測裝置、虛擬機系統以及真實系統,其中:在所述真實系統運行環境中啟動所述虛擬機系統后,啟動所述虛擬機系統的反檢測裝置,以便通過所述虛擬機系統的反檢測裝置對當前虛擬機系統中不同于真實系統運行環境的區別特征信息進行修改;所述虛擬機系統的反檢測裝置包括:特征信息獲取單元;特征信息修改單元;特征信息返回單元。通過本發明專利技術,可以達到虛擬機反檢測的目的,使得虛擬機能夠更有效的支持惡意程序分析工作。
【技術實現步驟摘要】
本專利技術涉及計算機安全
,具體涉及虛擬機系統的反檢測系統。
技術介紹
隨著計算機技術的發展和計算機應用的普及,計算機應用逐漸滲透到人們生產生活的各個領域,在很大程度上提高了生產效率,以及為人們生活的方方面面帶來了非常多的便利。然而伴隨著計算機設備被廣泛地使用,計算機惡意程序也出現了前所未有的快速發展趨勢,每天都會有數量眾多的計算機惡意程序被編寫出來,并通過網絡,移動存儲等方式進行傳播,由于大部分計算機惡意程序都具有一定的傳染性和破壞性,受到計算機惡意程序感染的計算機設備輕則正常的運行受到不同程度影響,重則甚至會導致計算機系統崩潰,或者機密數據資料泄漏,導致重大的經濟損失。計算機惡意程序給用戶帶來的巨大損失的同時,用戶防治惡意程序的意識也在不斷提高,為了達到防治計算機惡意程序的目的,首先的一個前提是需要對計算機惡意程序有相對深入的了解,包括對各種計算機惡意程序進行分析以獲知其特征,例如通過對惡意程序的文件信息,惡意程序運行時產生的文件或數據,以及惡意程序對計算機系統進行的操作行為等等進行分析來獲取惡意程序的特征,而且為了獲得更準確的分析結果,對每一例惡意程序進行分析時往往需要搭建全新的計算機軟硬件環境。但在很多時候這種分析惡意程序的實驗是具有未知程度的破壞性的,如果搭建的真實計算機軟硬件環境來進行這種實驗性的分析,勢必會浪費很大的人力物力,而且在計算機惡意程序數量巨大且高速增長的今天,這種分析方式甚至是難以實現的,此時,虛擬的運行環境成為了進行惡意程序實驗性分析更好的選擇。虛擬的運行環境是指利用真實計算機軟硬件設備模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統,由于虛擬的運行環境具有可重用性高,還原迅速等特點,使得虛擬的運行環境成為進行上述實驗性分析惡意程序工作的很好的選擇。但是隨著病毒編寫者對虛擬的運行環境的重視和研究,出現了針對虛擬運行環境進行檢測進而在虛擬的運行環境中隱藏自身特征的新型惡意程序,從而避免被計算機安全軟件發現。但是,從計算機安全軟件的角度而言,這無疑是對安全檢測工作帶來了障礙。
技術實現思路
鑒于上述問題,提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的虛擬機系統的反檢測系統。依據本專利技術,提供了一種虛擬機系統的反檢測系統,包括虛擬機系統的反檢測裝置、虛擬機系統以及真實系統,其中在所述真實系統運行環境中啟動所述虛擬機系統后,啟動所述虛擬機系統的反檢測裝置,以便通過所述虛擬機系統的反檢測裝置對當前虛擬機系統中不同于真實系統運行環境的區別特征信息進行修改;所述虛擬機系統的反檢測裝置包括特征信息獲取單元,用于獲取當前虛擬機系統中與真實系統運行環境具有不同取值的特征信息;特征信息修改單元,用于將當前虛擬機系統中所述特征信息的取值修改為與真實系統運行環境中相同的取值;特征信息返回單元,用于當接收到查詢當前虛擬機系統中的特征信息的請求時,返回修改后的取值,使得在虛擬機系統中的查詢結果與在真實系統運行環境中的查詢結果相同。可選的,所述特征信息包括以下特征信息中的一種或任意幾種的組合虛擬系統與真實系統之間的通訊指令返回值;虛擬系統中的注冊表配置信息;虛擬系統中的代表性文件;虛擬系統中的進程信息;特定程序在虛擬系統與真實系統中的運行時間差值;虛擬系統中的網絡設備控制MAC地址信息;虛擬系統中的網卡信息;虛擬系統中的系統設備信息。可選的,所述特征信息修改單元包括第一修改子單元,用于在真實系統運行環境中對所述虛擬系統與真實系統之間的通訊指令返回值的取值進行修改;第二修改子單元,用于在虛擬機系統中對所述虛擬系統中的注冊表配置信息、代表性文件、進程信息、運行時間差值、網卡信息、系統設備信息中的一種或任意多種的取值進行修改。可選的,所述虛擬系統與真實系統之間的通訊指令返回值包括后門IN指令的返回值;所述特征信息修改單元具體用于將所述虛擬機系統中IN指令的返回值的取值修改為特定類型的異常信息。可選的,所述虛擬系統與真實系統之間的通訊指令返回值包括終端描述符表IDT基址;所述特征信息修改單元具體用于將所述虛擬機系統中IDT基址的第一字字節的取值修改為小于OxDO。可選的,所述虛擬系統與真實系統之間的通訊指令返回值包括本地描述符表LDT基址和全局描述符表⑶T基址;所述特征信息修改單元具體用于將所述虛擬機系統中LDT基址修改為0x0000 ;將所述虛擬機系統中⑶T基址的第一字字節修改為非OxFF。可選的,所述虛擬系統與真實系統之間的通訊指令返回值包括STR指令的返回值;所述特征信息修改單元具體用于將所述虛擬機系統中STR指令的返回值的前兩個字節修改為非0x0040。可選的,如果所述當前虛擬機系統中不同于真實系統運行環境的區別特征信息為虛擬系統中的注冊表配置信息,則所述特征信息修改單元具體用于將所述虛擬機系統的注冊表配置信息中包含的與虛擬機相關的關鍵詞替換為預置的與虛擬機無關的字符串;其中,所述注冊表配置信息包括注冊表項和/或鍵值。可選的,如果所述當前虛擬機系統中不同于真實系統運行環境的區別特征信息為虛擬系統中的虛擬系統中的代表性文件、進程信息、網卡信息或系統設備信息,則所述特征信息修改單元具體用于將所述代表性文件路徑、進程信息、網卡信息或系統設備信息的取值中包含的與虛擬機相關的關鍵詞刪除或修改為與虛擬機無關的字符串。可選的,如果所述當前虛擬機系統中不同于真實系統運行環境的區別特征信息為虛擬系統中的MAC地址,則所述特征信息修改單元具體用于將所述虛擬機系統中的MAC地址的前綴修改為非00-05-69,并且非00_0C_29,并且非 00-50-56。可選的,如果所述當前虛擬機系統中不同于真實系統運行環境的區別特征信息為特定程序在虛擬系統與真實系統中的運行時間差值,則所述特征信息修改單元具體用于將在虛擬機系統中運行某檢測程序時返回的時間值的取值修改為預置的固定值,所述固定值根據檢測程序在真實系統中運行時所耗費的時間來確定。根據本專利技術的虛擬機系統的反檢測系統,可以將虛擬機系統中存在的與真實系統中取值不同的特征信息進行修改,從而使得虛擬機檢測工具在通過查詢這些特征信息來進行檢測時,得到的查詢結果與真實系統中的查詢結果相同,也即使得虛擬機檢測工具的檢測失效,由此達到虛擬機反檢測的目的。這樣在虛擬機中運行的惡意程序就不會故意隱藏自身的特征,進而可以根據惡意程序中存在的惡意特征,實現對惡意程序的發現。上述說明僅是本專利技術技術方案的概述,為了能夠更清楚了解本專利技術的技術手段,而可依照說明書的內容予以實施,并且為了讓本專利技術的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本專利技術的具體實施方式。附圖說明通過閱讀下文優選實施方式的詳細描述,各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的,而并不認為是對本專利技術的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中圖1示出了根據本專利技術一個實施例的方法的流程圖;圖2示出了根據本專利技術一個實施例的裝置的示意圖;以及,圖3示出了根據本專利技術一個實施例的系統的示意圖。具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現本公本文檔來自技高網...
【技術保護點】
一種虛擬機系統的反檢測系統,包括虛擬機系統的反檢測裝置、虛擬機系統以及真實系統,其中:在所述真實系統運行環境中啟動所述虛擬機系統后,啟動所述虛擬機系統的反檢測裝置,以便通過所述虛擬機系統的反檢測裝置對當前虛擬機系統中不同于真實系統運行環境的區別特征信息進行修改;所述虛擬機系統的反檢測裝置包括:特征信息獲取單元,用于獲取當前虛擬機系統中與真實系統運行環境具有不同取值的特征信息;特征信息修改單元,用于將當前虛擬機系統中所述特征信息的取值修改為與真實系統運行環境中相同的取值;特征信息返回單元,用于當接收到查詢當前虛擬機系統中的特征信息的請求時,返回修改后的取值,使得在虛擬機系統中的查詢結果與在真實系統運行環境中的查詢結果相同。
【技術特征摘要】
1.一種虛擬機系統的反檢測系統,包括虛擬機系統的反檢測裝置、虛擬機系統以及真實系統,其中: 在所述真實系統運行環境中啟動所述虛擬機系統后,啟動所述虛擬機系統的反檢測裝置,以便通過所述虛擬機系統的反檢測裝置對當前虛擬機系統中不同于真實系統運行環境的區別特征信息進行修改; 所述虛擬機系統的反檢測裝置包括: 特征信息獲取單元,用于獲取當前虛擬機系統中與真實系統運行環境具有不同取值的特征信息; 特征信息修改單元,用于將當前虛擬機系統中所述特征信息的取值修改為與真實系統運行環境中相同的取值; 特征信息返回單元,用于當接收到查詢當前虛擬機系統中的特征信息的請求時,返回修改后的取值,使得在虛擬機系統中的查詢結果與在真實系統運行環境中的查詢結果相同。2.如權利要求1所述的裝置,所述特征信息包括以下特征信息中的一種或任意幾種的組合: 虛擬系統與真實系統之間的通訊指令返回值; 虛擬系統中的注冊表配置信息; 虛擬系統中的代表性文件; 虛擬系統中的進程信息; 特定程序在虛擬系統與真實系統中的運行時間差值; 虛擬系統中的網絡設備控制MAC地址信息; 虛擬系統中的網卡信息; 虛擬系統中的系統設備信息。3.如權利要求2所述的裝置,所述特征信息修改單元包括: 第一修改子單元,用于在真實系統運行環境中對所述虛擬系統與真實系統之間的通訊指令返回值的取值進行修改; 第二修改子單元,用于在虛擬機系統中對所述虛擬系統中的注冊表配置信息、代表性文件、進程信息、運行時間差值、網卡信息、系統設備信息中的一種或任意多種的取值進行修改。4.如權利要求2或3所述的裝置,所述虛擬系統與真實系統之間的通訊指令返回值包括:后門IN指令的返回值; 所述特征信息修改單元具體用于: 將所述虛擬機系統中IN指令的返回值的取值修改為特定類型的異常信息。5.如權利要求2或3所述的裝置,所述虛擬系統與真實系統之間的通訊指令返回值包括:終端描述符表IDT基址; 所述特征信息修改單元具體用于: 將所述虛擬機系統 中IDT基址...
【專利技術屬性】
技術研發人員:張東誼,謝軍樣,
申請(專利權)人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。