[发明专利]一种支持多节点的KVM虚拟机隐藏进程检测系统

权利要求书

1.一种支持多节点的KVM虚拟机隐藏进程检测系统，其特征在于，包括可信进程追踪模块、进程系统调用捕获模块、终止进程判定模块、非可信进程列表获取模块、隐藏进程对比检测模块及用于集成上述模块的系统框架程序；其中：

可信进程追踪模块：用于实现从虚拟机监控器层次上对多个虚拟机节点的进程追踪、语义重构以及进程列表存储；

进程系统调用捕获模块：用于实现对多个虚拟机节点的进程系统调用行为的捕获及识别功能；

终止进程判定模块：用于对可信进程模块追踪得到的各个虚拟机节点的进程进行终止判定；

非可信进程列表获取模块：用于实现从虚拟机操作系统层次获取目标虚拟机的内部进程列表的功能；

隐藏进程对比检测模块：用于将可信进程追踪模块获取的可信进程列表以及非可信进程列表获取模块输出的非可信进程列表进行对比，检测出当前虚拟机中的隐藏进程，并将检测结果输出至系统框架程序提供的用户界面；

系统框架程序：用于实现各子模块的集成和数据的传递与管理，并提供用户界面，将用户输入的虚拟机域名传递至非可信进程列表获取模块，将隐藏进程对比检测模块的检测结果输出至用户界面。

2.根据权利要求1所述的一种支持多节点的KVM虚拟机隐藏进程检测系统，其特征在于：所述可信进程追踪模块实现如下过程：

(1)在虚拟机监控器中处理客户机进程切换的功能模块中，获取虚拟机CPU描述符kvm_vcpu结构体，借助内核接口vmcs_readl从中读取将被切换至非运行状态的进程页目录基地址寄存器以及内核栈顶指针寄存器的值；

(2)依据内核栈顶指针寄存器值解析得到目标虚拟机的进程控制块thread_info结构体对应的客户机虚拟地址；同时进程页目录基地址寄存器的值被保存到指向当前虚拟机的虚拟机描述符kvm结构体中，提供给终止进程判定模块作为查找进程的依据；

(3)调用内核接口kvm_mmu_gva_to_gpa_read以及kvm_read_guest，完成客户机虚拟地址到客户机物理地址的转换以及进程控制块thread_info结构体的数据读取，thread_info结构体成员变量中包含指向虚拟机当前进程的进程描述符的客户机虚拟地址；

(4)根据进程描述符的客户机虚拟机以及目标虚拟机内核中进程pid及进程名称偏移值，再次调用内核接口kvm_mmu_gva_to_gpa_read以及kvm_read_guest，完成地址转换并读取出进程pid、父进程pid、线程组id以及进程名称等关键信息；

(5)将重构出的虚拟机当前进程的进程pid、进程名称、进程pid、父进程pid、线程组id以及进程页目录基地址存入目标虚拟机对应的kvm结构体；

(6)每当目标虚拟机进行进程切换时，自动执行步骤(1)至(5)，收集所有曾在目标虚拟机中被调度执行过的进程信息。

3.根据权利要求1中所述的一种支持多节点的KVM虚拟机隐藏进程检测系统，其特征在于：所述进程系统调用捕获模块实现如下过程：

(1)在虚拟机监控器运行虚拟机后，修改虚拟机硬件支持寄存器EFER的SCE位，关闭目标虚拟机对syscall系统调用指令的支持，同时设置捕获陷阱标记；

(2)设置系统调用捕获范围；

(3)在虚拟机监控器负责模拟syscall指令的模块中，设置检测点：首先判断捕获陷阱标记是否存在；如果不存在，则说明是目标虚拟机操作系统自身产生的指令异常；否则，说明捕获到目标虚拟机的进程系统调用行为；

(4)若捕获到进程的系统调用行为，则借用内核接口kvm_register_read读取当前RAX、RDI、RSI寄存器的值作为系统调用信息，提供给终止进程判定模块进行进程终止判定的数据来源；

(5)将系统调用信息以及目标虚拟机对应的虚拟机描述符传输至终止进程判定模块；

(6)每当目标虚拟机内部进程使用syscall指令调用系统调用时，自动执行步骤(1)至(5)。