本发明专利技术公开了一种虚拟机躲避识别的方法及装置。其方法包括:获取虚拟机特征参数,该虚拟机特征参数为被用来识别虚拟机的参数,修改所述虚拟机特征参数。本发明专利技术提供的技术方案,通过修改所述虚拟机特征参数,从而躲避恶意软件通过虚拟机特征参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种虚拟机躲避识别的方法及装置。
技术介绍
蜜罐(Honeypot)系统是一种在互联网上运行的、包含漏洞的计算机系统。其通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客),从而检测和捕捉恶意软件攻击。通常,部署的蜜罐为虚拟机。部分恶意软件为了躲避蜜罐系统的监测和捕捉,会对虚拟机系统进行识别,从而绕过监测。那么,作为蜜罐的虚拟机就需要进行反识别操作。目前还没有很好地实现虚拟机躲避识别的方案。
技术实现思路
本专利技术的目的是提供一种虚拟机躲避识别的方法及装置,以解决恶意软件识别虚拟机从而绕过监测的问题。本专利技术的目的是通过以下技术方案实现的一种虚拟机躲避识别的方法,包括获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;修改所述虚拟机特征参数。一种虚拟机躲避识别的装置,包括虚拟机特征参数获取模块,用于获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;躲避识别执行模块,用于修改所述虚拟机特征参数。本专利技术提供的技术方案,通过修改虚拟机特征参数,从而躲避恶意软件通过虚拟机特征参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。附图说明图1为本专利技术实施例提供的方法流程图;图2为本专利技术实施例提供的装置结构示意图。具体实施例方式本专利技术提供了一种虚拟机躲避识别的方法,其实现方式如图1所示,具体实现方式如下步骤100、获取虚拟机特征参数,该虚拟机特征参数为被用来识别虚拟机的参数;步骤110、修改上述虚拟机特征参数。其中,修改虚拟机特征参数可以但不仅限于删除虚拟机特征参数,将虚拟机特征参数修改为非虚拟机特征参数等等。对于虚拟机的识别,通常是对虚拟机特征参数进行识别。本专利技术提供的技术方案,通过删除虚拟机特征参数,从而躲避恶意软件通过用于虚拟机识别的参数对虚拟机的识另O,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。应当指出的是,本专利技术提供的方法不仅适用于蜜罐系统,还适用于其他需要进行虚拟机躲避识别的应用。对虚拟机的识别,具体可以是对虚拟机的虚拟设备特征进行识别。对虚拟机的虚拟设备特征进行识别可以是通过检测MAC (Media AccessControl,媒体访问控制)地址,判断MAC地址的前三位是否是VMware (虚拟机)的OUI (组织唯一标识符),如果是,则为虚拟机,否则为物理机。具体的,如果MAC地址的前三位为OO-Oc-29或00-50-56,则为虚拟机的OUI。相应的,虚拟机特征参数为MAC地址中的虚拟机标识位,则步骤110的具体实现方式可以是将MAC地址中的虚拟机标识位修改为非虚拟机标识位。其中,虚拟机标识位即上述的虚拟机的OUI。对虚拟机的虚拟设备特征进行识别也可以是通过检测设备制造商的标识信息,判断设备的制造商是否是虚拟机制造商,如果是,则为虚拟机,否则为物理机。通常,虚拟机制造商的标识信息中会携带虚拟机标识。相应的,虚拟机特征参数为设备制造商的标识信息,则步骤110的具体实现方式可以是将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。优选的,对于修改虚拟设备特征来躲避虚拟机识别的实现方式,具体可以通过打补丁的方式,修改上述虚拟机特征参数。例如,通过安装补丁,将MAC地址中的虚拟机标识位修改为非虚拟机标识位。或者,通过安装补丁,将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。通过修改虚拟设备特征,使得恶意软件无法通过检测虚拟设备特征识别出虚拟机。对虚拟机的识别,具体还可以是对虚拟机的内存特征进行识别。对虚拟机的内存特征进行识别可以是通过检测BIOS (Basic Input OutputSystem,基本输入输出系统)-ROM (Read-Only Memory,只读存储器)区域是否有字符串‘VMware’,来判断设备是否为虚拟机,如果包含字符串‘VMware’,则为虚拟机,否则为物理机。相应的,虚拟机特征参数为BI0S-R0M中的字符串‘VMware’,则步骤110的具体实现方式可以是删除B10S-R0M中的字符串‘ VMware ’,或者,将B10S-R0M中的字符串‘ VMware ’替换为其他字符串。对虚拟机的内存特征进行识别也可以是检测IDT (中断描述符表)在内存中的基地址位置是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测IDT在内存中的基地址时,目标地址段是指0x80XXXXXX。如果IDT在内存中的基地址在目标地址段,则IDT在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特性的IDT在内存中的基地址,步骤110的具体实现方式可以是关闭虚拟机加速选项,使得IDT在内存中的基地址不在目标地址段。对虚拟机的内存特征进行识别也可以是检测GDT (全局描述符表)在内存中的基地址是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测GDT在内存中的基地址时,目标地址段是指,ΟχδΟΧΧΧΧΧΧο如果⑶T在内存中的基地址在目标地址段,则⑶T在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的GDT在内存中的基地址,步骤110的具体实现方式可以是关闭虚拟机加速选项,使得GDT在内存中的基地址不在目标地址段。对虚拟机的内存特征进行识别也可以是检测LDT (局部描述符表)在内存中的基地址位置是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测LDT在内存中的基地址时,目标地址段是指,LDT在内存中的基地址非零。如果LDT在内存中的基地址位于目标地址段,则LDT在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的LDT在内存中的基地址,步骤110的具体实现方式可以是关闭虚拟机加速选项,使得LDT在内存中的基地址不在目标地址段。对虚拟机的内存特征进行识别也可以是检测TR (任务寄存器)指向的TSS(Task-State Segment,任务状态段)的在内存中的基地址位置是否在目标地址段的范围内,如果是则为虚拟机,否则为物理机。检测TR指向的TSS的在内存中的基地址时,目标地址段是指,0x0040XXXX。如果TR指向的TSS的在内存中的基地址位于目标地址段,则TR指向的TSS的在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的TR指向的TSS在内存中的基地址,则步骤110的具体实现方式可以是关闭虚拟机加速选项,使得TR指向的TSS在内存中的基地址不在目标地址段。通过修改BIOS-ROM中的虚拟机字符串,或者关闭虚拟机加速,使得恶意软件无法通过检测虚拟机的内存特征识别出虚拟机。对虚拟机的识别,具 体还可以是对虚拟机的CPlXCentral Processing Unit,中央处理器)特征进行检测。对虚拟机的CPU特征进行检测可以是通过进行RDTSC (用于得到CPU自启动以后的运行周期)检测,对比RDTSC平均指令执行时间间隔来判断设备是否为虚拟机,如果RDTSC平均指令执行时间间隔大于256时钟周期,则为虚拟机,如果RDTSC平均指令执行时间间隔小于本文档来自技高网...
【技术保护点】
一种虚拟机躲避识别的方法,其特征在于,包括:获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;修改所述虚拟机特征参数。
【技术特征摘要】
1.一种虚拟机躲避识别的方法,其特征在于,包括 获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数; 修改所述虚拟机特征参数。2.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为媒体访问控制MAC地址中的虚拟机标识位,则修改所述虚拟机特征参数,包括将MAC地址中的虚拟机标识位修改为非虚拟机标识位; 或者, 所述虚拟机特征参数为虚拟机设备制造商的标识信息,则修改所述虚拟机特征参数,包括将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。3.根据权利要求2所述的方法,其特征在于,修改所述虚拟机特征参数,包括 通过打补丁的方式,修改所述虚拟机特征参数。4.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为基本输入输出系统-只读存储器BIOS-ROM中的字符串‘VMware’,则修改所述虚拟机特征参数,包括删除BIOS-ROM中的字符串‘VMware’,或者,将BIOS-ROM中的字符串‘VMware’替换为其他字符串; 或者, 所述虚拟机特征参数为表征虚拟机特性的中断描述符表IDT在内存中的基地址,则修改所述虚拟机特征参数,包括关闭虚拟机加速选项,使得IDT在内存中的基地址不在目标地址段; 或者, 所述虚拟机特征参数为表征虚拟机特征的全局描述符表GDT在内存中的基地址,则修改所述虚拟机特征参数,包括关闭虚拟机加速选项,使得GDT在内存中的基地址不在目标地址段; 或者, 所述虚拟机特征参数为表征虚拟机特征的局部描述符表LDT在内存中的基地址、则修改所述虚拟机特征参数,包括关闭虚拟机加速选项,使得LDT在内存中的基地址...
【专利技术属性】
技术研发人员:王明华,徐娜,周勇林,朱春鸽,宋渊,陈景妹,陈云飞,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。