基于Xen虚拟化的隐藏进程检测方法

摘要

恶意进程利用Rootkit使自己具有极强的隐蔽性.传统的隐藏进程检测工具部署在被检测系统中,容易受到攻击.为提高检测系统的抗攻击性和准确性,提出了一种虚拟环境下特征匹配的隐藏进程检测系统.该系统部署在被监控虚拟机外部,自调整检测频率扫描计算机内存来获取进程相关信息,并通过与预先构建好的特征模板进行相似度匹配,达到检测隐藏进程的目的.实验结果表明,该检测系统可以有效地检测出典型的Rootkit代码,确定隐藏进程的存在.