[发明专利]虚拟机客户操作系统内真实进程信息的探测方法

摘要

本发明公开了一种虚拟机客户操作系统内真实进程信息的探测方法，目的是解决基于显式信息的操作系统进程信息探测方法易被特权恶意代码攻击的不足。技术方案是先构建由CR3监测器和TVPL操作器组成的进程监视器；CR3监测器利用动态指令转换技术实时捕捉CR3寄存器内容的修改操作；TVPL操作器监测各个进程执行体信息块对应的内存页描述符，并根据CR3监测器的监测结果，获得和维护虚拟机客户操作系统内的真实进程信息。采用本发明可以探测出客户操作系统中的真实进程信息，克服基于显式信息探测方法中所面临的因恶意代码欺骗而无法获得真实进程列表的问题，为基于虚拟机的安全产品提供了重要的技术支撑。

主权项

一种虚拟机客户操作系统内真实进程信息的探测方法，其特征在于包括以下步骤：第一步，构建进程监视器，进程监视器由CR3监测器和真实进程列表操作器即TVPL操作器两个软件模块组成；CR3监测器实时监测虚拟机中的指令，当有修改CR3寄存器内容的操作时捕获虚拟机内所有修改CR3寄存器内容的操作，并将修改后的CR3寄存器内容送给TVPL操作器；TVPL操作器根据CR3监测器传送来的修改后的CR3寄存器内容，构建TVPL红黑树，并进行查找、插入、删除操作；所述TVPL红黑树的每个节点包含一个进程的信息，由该进程所对应的CR3寄存器的值索引；第二步，启动进程监视器，由TVPL操作器构建一个空的TVPL红黑树；第三步，CR3监测器实时监测虚拟机中的指令，利用动态指令转换技术，判断是否有修改CR3寄存器内容的操作，如果有，捕获虚拟机内所有修改CR3寄存器内容的操作，并将修改后的CR3寄存器内容送给TVPL操作器，转第四步；否则，转第三步；第四步，TVPL操作器判断TVPL红黑树是否为空，如果为空，转到第六步；如果非空，对于TVPL红黑树中的每个进程p，TVPL操作器执行如下操作：(4.1)获取进程p的进程执行体信息块所在的内存页，该内存页命名为m；(4.2)判断m的描述项的“非存在”比特位即un‑present比特位是否被设置为1：如果是，将进程p从TVPL红黑树中移除，转到第五步；如果不是，直接转到第五步；第五步，TVPL操作器判断TVPL红黑树中是否存在CR3值对应的进程P：如果有，转第十步；如果无，转第六步；第六步，TVPL操作器在TVPL红黑树中创建新的节点N，并根据CR3寄存器的值获取进程P的进程执行体信息块的地址；第七步，TVPL操作器判断进程P的进程执行体信息块中是否已被操作系统初始化，初始化是指操作系统根据创建进程时的参数信息填充进程执行体信息块中各个数据项：如果是，转第八步；否则，转第十二步；第八步，TVPL操作器通过进程执行体信息块获取进程P的进程信息；第九步，TVPL操作器用进程P的进程信息初始化TVPL中的节点N，转第十二步；第十步，TVPL操作器判断TVPL红黑树中进程P的节点中的进程信息是否已被初始化：如果是，转第十二步；否则，转第十一步；第十一步，TVPL操作器通过进程P的进程执行体信息块获取相应的进程信息，并用进程P的进程信息初始化TVPL红黑树中的节点N；第十二步，TVPL操作器判断是否接收到退出指令：如果是，转第十三步；否则，转第三步；第十三步，进程监视器结束。