返回
基于虚拟化的windows驱动程序动态分析方法.pdf

基于虚拟化的windows驱动程序动态分析方法.pdf

ID:89869

大小:448.02 KB

页数:10页

时间:2017-06-12

基于虚拟化的windows驱动程序动态分析方法.pdf_第1页
基于虚拟化的windows驱动程序动态分析方法.pdf_第2页
基于虚拟化的windows驱动程序动态分析方法.pdf_第3页
基于虚拟化的windows驱动程序动态分析方法.pdf_第4页
基于虚拟化的windows驱动程序动态分析方法.pdf_第5页
资源描述:

《基于虚拟化的windows驱动程序动态分析方法.pdf》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、中国科技论文在线http://www.paper.edu.cn基于虚拟化的windows驱动程序动态分析方法**漆定军,田东海5(北京理工大学软件学院软件安全工程技术重点实验室,北京100081)摘要:为解决windows驱动程序行为难以分析的问题,提出一种基于硬件虚拟化的windows驱动程序动态分析方法。本方法利用了硬件虚拟化的高特权性和自动陷入机制,利用软件断点机制动态捕获驱动程序加载信息,采用物理内存扫描技术获取内核数据信息,采用windows内核函数导出表和SSDT获取内核函数信息,最终通过两套硬件辅助

2、的虚拟化页表10实现新加载驱动程序与内核函数、数据的隔离运行。此外本方法还采用对虚拟化控制结构的配置,实现对重要特殊寄存器的监控。本方法的实现基于开源虚拟化平台hyperdbg,通过实验表明,本方法能够有效获取windows驱动程序在运行过程中的具体行为。关键词:硬件虚拟化,内存扫描,驱动程序,行为分析中图分类号:TP31615DynamicAnalysisMethodofWindowsDriverBasedonVirtualizationQIDingjun,TIANDonghai(BeijingKeyLabor

3、atoryofSoftwareSecurityEngineeringTechnique,SchoolofSoftware,BeijingInstituteofTechnology,Beijing100081)20Abstract:InordertosolvetheproblemthatWindowsdriverbehaviorisdifficulttoanalyze,weproposeadynamicanalysismethodofwindowsdriverbasedonhardwarevirtualizatio

4、n.Thismethodutilizesthehighprivilegeandautomatictrappingmechanismofhardwarevirtualization.Weusethesoftwarebreakpointmechanismtodynamicallyloadthedrivertoobtaintheinformation,andusethephysicalmemoryscanningtechnologytoobtainthekerneldatainformation,andusethewi

5、ndowskernelfunction25exporttableandtheSSDTtoobtainthekernelfunctioninformation.finallythroughtwosetsofhardware-assistedvirtualpagetabletoisolatethenewloadeddriverandkernelfunctions,data.Inaddition,themethodalsousestheconfigurationofthevirtualcontrolstructuret

6、orealizethemonitoringofimportantspecialregisters.Therealizationofthismethodisbasedonthehyperdbgthatisaopensourcevirtualizationplatform.Ourexperimentshowsthatthemethodcaneffectivelyanddynamically30obtaintheconcretebehaviorofthewindowsdriver.Keywords:Virtualiza

7、tion,Memoryscan,Driver,Behavioranalysis0引言操作系统是管理和控制计算机硬件与软件资源的计算机程序,但是面对难以计数的计算35机硬件,操作系统不可能对他们都有完美的支持。所以微软公司提供了windows驱动程序开发包WDK,允许计算机硬件制造公司开发自己的驱动程序,从而更好的管理和控制计算机硬件。但是,由于windows驱动程序的高特权性,不法分子常常开发恶意的驱动程序,这些程序对系统造成极大的破坏,也称之为rootkit。作者简介:漆定军(1994),男,硕士,驱动分析,漏

8、洞挖掘通信联系人:田东海(1984),男,讲师,操作系统内核安全、软件安全、虚拟化技术、.E-mail:dhai@bit.edu.cn-1-中国科技论文在线http://www.paper.edu.cn在windows操作系统中,普通的应用程序运行于ring3级,而不法分子开发的恶意驱动40程序与操作系统本身都运行在ring0级,如果只是通过使用ring0程序进行对抗,始

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。