【技术实现步骤摘要】
本专利技术涉及计算机安全
,具体涉及虚拟机系统的反检测系统。
技术介绍
随着计算机技术的发展和计算机应用的普及,计算机应用逐渐渗透到人们生产生活的各个领域,在很大程度上提高了生产效率,以及为人们生活的方方面面带来了非常多的便利。然而伴随着计算机设备被广泛地使用,计算机恶意程序也出现了前所未有的快速发展趋势,每天都会有数量众多的计算机恶意程序被编写出来,并通过网络,移动存储等方式进行传播,由于大部分计算机恶意程序都具有一定的传染性和破坏性,受到计算机恶意程序感染的计算机设备轻则正常的运行受到不同程度影响,重则甚至会导致计算机系统崩溃,或者机密数据资料泄漏,导致重大的经济损失。计算机恶意程序给用户带来的巨大损失的同时,用户防治恶意程序的意识也在不断提高,为了达到防治计算机恶意程序的目的,首先的一个前提是需要对计算机恶意程序有相对深入的了解,包括对各种计算机恶意程序进行分析以获知其特征,例如通过对恶意程序的文件信息,恶意程序运行时产生的文件或数据,以及恶意程序对计算机系统进行的操作行为等等进行分析来获取恶意程序的特征,而且为了获得更准确的分析结果,对每一例恶意程...
【技术保护点】
一种虚拟机系统的反检测系统,包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中:在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改;所述虚拟机系统的反检测装置包括:特征信息获取单元,用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息;特征信息修改单元,用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值;特征信息返回单元,用于当接收到查询当前虚拟机系统中的特征信息的请求时,返回修改后的取值,使得在虚拟机系统中...
【技术特征摘要】
1.一种虚拟机系统的反检测系统,包括虚拟机系统的反检测装置、虚拟机系统以及真实系统,其中: 在所述真实系统运行环境中启动所述虚拟机系统后,启动所述虚拟机系统的反检测装置,以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改; 所述虚拟机系统的反检测装置包括: 特征信息获取单元,用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息; 特征信息修改单元,用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值; 特征信息返回单元,用于当接收到查询当前虚拟机系统中的特征信息的请求时,返回修改后的取值,使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。2.如权利要求1所述的装置,所述特征信息包括以下特征信息中的一种或任意几种的组合: 虚拟系统与真实系统之间的通讯指令返回值; 虚拟系统中的注册表配置信息; 虚拟系统中的代表性文件; 虚拟系统中的进程信息; 特定程序在虚拟系统与真实系统中的运行时间差值; 虚拟系统中的网络设备控制MAC地址信息; 虚拟系统中的网卡信息; 虚拟系统中的系统设备信息。3.如权利要求2所述的装置,所述特征信息修改单元包括: 第一修改子单元,用于在真实系统运行环境中对所述虚拟系统与真实系统之间的通讯指令返回值的取值进行修改; 第二修改子单元,用于在虚拟机系统中对所述虚拟系统中的注册表配置信息、代表性文件、进程信息、运行时间差值、网卡信息、系统设备信息中的一种或任意多种的取值进行修改。4.如权利要求2或3所述的装置,所述虚拟系统与真实系统之间的通讯指令返回值包括:后门IN指令的返回值; 所述特征信息修改单元具体用于: 将所述虚拟机系统中IN指令的返回值的取值修改为特定类型的异常信息。5.如权利要求2或3所述的装置,所述虚拟系统与真实系统之间的通讯指令返回值包括:终端描述符表IDT基址; 所述特征信息修改单元具体用于: 将所述虚拟机系统 中IDT基址...
【专利技术属性】
技术研发人员:张东谊,谢军样,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。