基于虚拟机架构的自修改代码监测技术

计算机工程与应用 ›› 2011, Vol. 47 ›› Issue (10): 71-74.

基于虚拟机架构的自修改代码监测技术

武炳正1，2，武延军1，贺也平1

1.中国科学院软件研究所基础软件国家工程研究中心，北京 100190
2.中国科学院研究生院，北京 100190

收稿日期:1900-01-01 修回日期:1900-01-01 出版日期:2011-04-01 发布日期:2011-04-01

Virtual machine based self modifying code detection and monitoring

WU Bingzheng1，2，WU Yanjun1，HE Yeping1

1.National Engineering Research Center of Fundamental Software，Institute of Software，CAS，Beijing 100190，China
2.Graduate University of Chinese Academy of Sciences，Beijing 100190，China

Received:1900-01-01 Revised:1900-01-01 Online:2011-04-01 Published:2011-04-01

摘要/Abstract

摘要： 自修改代码技术是恶意程序用以防止反汇编静态分析的最常见技术。传统操作系统的恶意代码防范技术不能有效监测和防止自修改恶意代码的执行和传播。介绍了一个基于虚拟机架构对自修改代码进行监测和监控的方法CASMonitor，能够从虚拟机外部动态、透明地监控虚拟机内部指定程序的执行过程，监测代码的自修改行为，解析新生成代码的入口点，进而提供病毒扫描等功能。x86/Win32虚拟机架构下的实验表明，该技术能够处理多种自修改代码行为以及常见的加壳工具。

关键词: 虚拟机, 自修改代码, 恶意程序

Abstract: Self Modifying Code（SMC） is the common form of malware to disable the static analysis of reverse engineering techniques.It is difficult for traditional operating system to handle SMC efficiently.This paper presents a Virtual Machine （VM） based framework called CASMonitor，which can monitor the given process out of guest operating system dynamically and transparently，analyze the new code generated by SMC during runtime，for entry point detection or virus-scanning.Experiments on x86/Win32 show that it can handle various popular binary packers.

Key words: Virtual Machine（VM）, Self Modifying Code（SMC）, malware

武炳正1，2，武延军1，贺也平1. 基于虚拟机架构的自修改代码监测技术[J]. 计算机工程与应用, 2011, 47(10): 71-74.

WU Bingzheng1，2，WU Yanjun1，HE Yeping1. Virtual machine based self modifying code detection and monitoring[J]. Computer Engineering and Applications, 2011, 47(10): 71-74.

[1]	张驰，王宇新，冯振，郭禾. 双层虚拟化云架构下任务调度能耗优化算法[J]. 计算机工程与应用, 2021, 57(3): 103-111.
[2]	任益辰，肖达. 基于程序双维度特征的恶意程序相似性分析[J]. 计算机工程与应用, 2021, 57(1): 118-125.
[3]	贺寰烨，林果园，顾浩，方梦华. 云虚拟机异常检测场景下改进的LOF算法[J]. 计算机工程与应用, 2020, 56(23): 80-86.
[4]	林擎宇，凌捷. 基于应用分类和系统调用的Android恶意程序检测[J]. 计算机工程与应用, 2017, 53(19): 109-113.
[5]	孙卫真1，张美琳1，向勇2，毛英明3，曹睿东2. 基于QEMU的CPU指令频度分析[J]. 计算机工程与应用, 2017, 53(11): 61-66.
[6]	李俊涛，吴小开. 基于布朗指数法的虚拟机动态整合方法[J]. 计算机工程与应用, 2016, 52(7): 56-61.
[7]	唐鸣，王俊英，陈鹏，臧兆祥. 基于PABFD-SA算法的虚拟机动态迁移研究[J]. 计算机工程与应用, 2016, 52(5): 55-60.
[8]	董卫宇，戚旭衍，曾韵，郭玉东，蒋烈辉. 跨平台系统虚拟机的二进制翻译优化[J]. 计算机工程与应用, 2016, 52(23): 42-49.
[9]	于涛1，周小天2. 基于拍卖的虚拟机动态供应和分配算法[J]. 计算机工程与应用, 2016, 52(23): 81-87.
[10]	代西超，南建国，黄雷，黄金科，张超. 改进的内存预拷贝动态迁移算法[J]. 计算机工程与应用, 2016, 52(23): 88-93.
[11]	张欢，李仁发，黄晶. 一种迁移开销感知的虚拟机动态整合算法[J]. 计算机工程与应用, 2016, 52(21): 42-48.
[12]	刘圣卓，姜进磊，杨广文. 一种用于虚拟集群的镜像按需分发框架[J]. 计算机工程与应用, 2016, 52(2): 1-6.
[13]	张小庆. 高效能云计算虚拟机优化部署策略[J]. 计算机工程与应用, 2016, 52(15): 1-7.
[14]	谢鑫1，2，刘粉林1，2，芦斌1，2，向飞1，2. Handler混淆增强的虚拟机保护方法[J]. 计算机工程与应用, 2016, 52(15): 146-152.
[15]	刘卫宁1，2，冯国毅1，2. 虚拟化系统性能隔离量化评测研究[J]. 计算机工程与应用, 2015, 51(9): 227-232.