本发明专利技术公开了虚拟机系统的反检测系统,其中,所述系统包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中:在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改;所述虚拟机系统的反检测装置包括:特征信息获取单元;特征信息修改单元;特征信息返回单元。通过本发明专利技术,可以达到虚拟机反检测的目的,使得虚拟机能够更有效的支持恶意程序分析工作。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及虚拟机系统的反检测系统。
技术介绍
随着计算机技术的发展和计算机应用的普及,计算机应用逐渐渗透到人们生产生活的各个领域,在很大程度上提高了生产效率,以及为人们生活的方方面面带来了非常多的便利。然而伴随着计算机设备被广泛地使用,计算机恶意程序也出现了前所未有的快速发展趋势,每天都会有数量众多的计算机恶意程序被编写出来,并通过网络,移动存储等方式进行传播,由于大部分计算机恶意程序都具有一定的传染性和破坏性,受到计算机恶意程序感染的计算机设备轻则正常的运行受到不同程度影响,重则甚至会导致计算机系统崩溃,或者机密数据资料泄漏,导致重大的经济损失。计算机恶意程序给用户带来的巨大损失的同时,用户防治恶意程序的意识也在不断提高,为了达到防治计算机恶意程序的目的,首先的一个前提是需要对计算机恶意程序有相对深入的了解,包括对各种计算机恶意程序进行分析以获知其特征,例如通过对恶意程序的文件信息,恶意程序运行时产生的文件或数据,以及恶意程序对计算机系统进行的操作行为等等进行分析来获取恶意程序的特征,而且为了获得更准确的分析结果,对每一例恶意程序进行分析时往往需要搭建全新的计算机软硬件环境。但在很多时候这种分析恶意程序的实验是具有未知程度的破坏性的,如果搭建的真实计算机软硬件环境来进行这种实验性的分析,势必会浪费很大的人力物力,而且在计算机恶意程序数量巨大且高速增长的今天,这种分析方式甚至是难以实现的,此时,虚拟的运行环境成为了进行恶意程序实验性分析更好的选择。虚拟的运行环境是指利用真实计算机软硬件设备模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,由于虚拟的运行环境具有可重用性高,还原迅速等特点,使得虚拟的运行环境成为进行上述实验性分析恶意程序工作的很好的选择。但是随着病毒编写者对虚拟的运行环境的重视和研究,出现了针对虚拟运行环境进行检测进而在虚拟的运行环境中隐藏自身特征的新型恶意程序,从而避免被计算机安全软件发现。但是,从计算机安全软件的角度而言,这无疑是对安全检测工作带来了障碍。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的虚拟机系统的反检测系统。依据本专利技术,提供了一种虚拟机系统的反检测系统,包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改;所述虚拟机系统的反检测装置包括特征信息获取单元,用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息;特征信息修改单元,用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值;特征信息返回单元,用于当接收到查询当前虚拟机系统中的特征信息的请求时,返回修改后的取值,使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。可选的,所述特征信息包括以下特征信息中的一种或任意几种的组合虚拟系统与真实系统之间的通讯指令返回值;虚拟系统中的注册表配置信息;虚拟系统中的代表性文件;虚拟系统中的进程信息;特定程序在虚拟系统与真实系统中的运行时间差值;虚拟系统中的网络设备控制MAC地址信息;虚拟系统中的网卡信息;虚拟系统中的系统设备信息。可选的,所述特征信息修改单元包括第一修改子单元,用于在真实系统运行环境中对所述虚拟系统与真实系统之间的通讯指令返回值的取值进行修改;第二修改子单元,用于在虚拟机系统中对所述虚拟系统中的注册表配置信息、代表性文件、进程信息、运行时间差值、网卡信息、系统设备信息中的一种或任意多种的取值进行修改。可选的,所述虚拟系统与真实系统之间的通讯指令返回值包括后门IN指令的返回值;所述特征信息修改单元具体用于将所述虚拟机系统中IN指令的返回值的取值修改为特定类型的异常信息。可选的,所述虚拟系统与真实系统之间的通讯指令返回值包括终端描述符表IDT基址;所述特征信息修改单元具体用于将所述虚拟机系统中IDT基址的第一字字节的取值修改为小于OxDO。可选的,所述虚拟系统与真实系统之间的通讯指令返回值包括本地描述符表LDT基址和全局描述符表⑶T基址;所述特征信息修改单元具体用于将所述虚拟机系统中LDT基址修改为0x0000 ;将所述虚拟机系统中⑶T基址的第一字字节修改为非OxFF。可选的,所述虚拟系统与真实系统之间的通讯指令返回值包括STR指令的返回值;所述特征信息修改单元具体用于将所述虚拟机系统中STR指令的返回值的前两个字节修改为非0x0040。可选的,如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的注册表配置信息,则所述特征信息修改单元具体用于将所述虚拟机系统的注册表配置信息中包含的与虚拟机相关的关键词替换为预置的与虚拟机无关的字符串;其中,所述注册表配置信息包括注册表项和/或键值。可选的,如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的虚拟系统中的代表性文件、进程信息、网卡信息或系统设备信息,则所述特征信息修改单元具体用于将所述代表性文件路径、进程信息、网卡信息或系统设备信息的取值中包含的与虚拟机相关的关键词删除或修改为与虚拟机无关的字符串。可选的,如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的MAC地址,则所述特征信息修改单元具体用于将所述虚拟机系统中的MAC地址的前缀修改为非00-05-69,并且非00_0C_29,并且非 00-50-56。可选的,如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为特定程序在虚拟系统与真实系统中的运行时间差值,则所述特征信息修改单元具体用于将在虚拟机系统中运行某检测程序时返回的时间值的取值修改为预置的固定值,所述固定值根据检测程序在真实系统中运行时所耗费的时间来确定。根据本专利技术的虚拟机系统的反检测系统,可以将虚拟机系统中存在的与真实系统中取值不同的特征信息进行修改,从而使得虚拟机检测工具在通过查询这些特征信息来进行检测时,得到的查询结果与真实系统中的查询结果相同,也即使得虚拟机检测工具的检测失效,由此达到虚拟机反检测的目的。这样在虚拟机中运行的恶意程序就不会故意隐藏自身的特征,进而可以根据恶意程序中存在的恶意特征,实现对恶意程序的发现。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本专利技术一个实施例的方法的流程图;图2示出了根据本专利技术一个实施例的装置的示意图;以及,图3示出了根据本专利技术一个实施例的系统的示意图。具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公本文档来自技高网...
【技术保护点】
一种虚拟机系统的反检测系统,包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中:在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改;所述虚拟机系统的反检测装置包括:特征信息获取单元,用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息;特征信息修改单元,用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值;特征信息返回单元,用于当接收到查询当前虚拟机系统中的特征信息的请求时,返回修改后的取值,使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。
【技术特征摘要】
1.一种虚拟机系统的反检测系统,包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中: 在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改; 所述虚拟机系统的反检测装置包括: 特征信息获取单元,用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息; 特征信息修改单元,用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值; 特征信息返回单元,用于当接收到查询当前虚拟机系统中的特征信息的请求时,返回修改后的取值,使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。2.如权利要求1所述的装置,所述特征信息包括以下特征信息中的一种或任意几种的组合: 虚拟系统与真实系统之间的通讯指令返回值; 虚拟系统中的注册表配置信息; 虚拟系统中的代表性文件; 虚拟系统中的进程信息; 特定程序在虚拟系统与真实系统中的运行时间差值; 虚拟系统中的网络设备控制MAC地址信息; 虚拟系统中的网卡信息; 虚拟系统中的系统设备信息。3.如权利要求2所述的装置,所述特征信息修改单元包括: 第一修改子单元,用于在真实系统运行环境中对所述虚拟系统与真实系统之间的通讯指令返回值的取值进行修改; 第二修改子单元,用于在虚拟机系统中对所述虚拟系统中的注册表配置信息、代表性文件、进程信息、运行时间差值、网卡信息、系统设备信息中的一种或任意多种的取值进行修改。4.如权利要求2或3所述的装置,所述虚拟系统与真实系统之间的通讯指令返回值包括:后门IN指令的返回值; 所述特征信息修改单元具体用于: 将所述虚拟机系统中IN指令的返回值的取值修改为特定类型的异常信息。5.如权利要求2或3所述的装置,所述虚拟系统与真实系统之间的通讯指令返回值包括:终端描述符表IDT基址; 所述特征信息修改单元具体用于: 将所述虚拟机系统 中IDT基址...
【专利技术属性】
技术研发人员:张东谊,谢军样,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。