CN112463288B 基于插桩的行为监控方法及系统 （北京奇虎科技有限公司）

US2015033227A1,2015.01.29本发明公开了一种基于插桩的行为监控方过由虚拟机调用指令触发的第一虚拟机退出事由预设插桩指令的执行过程而触发的第二虚拟2宿主机检测模块通过由虚拟机调用指令触发的第一虚拟分别针对所述监控列表中包含的各个待监控地址，确当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚拟机根据查询到的数据信息以及预设处理策略，判断本次检测任务是根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监控列虚拟机检测模块将初始启动的目标进程、由目标进程启动或被目标进程注入的进程、将该待监控地址所在的内存页确定为目标内存页，在该目标内存页其中，所述宿主机检测模块位于宿主机操作系统内核的虚拟机监3第一退出单元，适于通过由虚拟机调用指令触发的第一插桩单元，适于分别针对所述监控列表中包含的各个待监控地址，第二退出单元，适于当所述宿主机检测模块检测到由所述预根据查询到的数据信息以及预设处理策略，判断本次检测任务是根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监控列将该待监控地址所在的内存页确定为目标内存页，在该目标内存页其中，所述宿主机检测模块位于宿主机操作系统内核的虚拟机监所述存储器用于存放至少一可执行指令，所述可执行指令使所4使处理器执行如权利要求1-7任一所述的基于插桩的行为5[0002]虚拟机(VirtualMachine，简称VM)是指通过软件模拟的具有完整硬件系统功能[0008]当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚6[0020]上述说明仅是本发明技术方案的概述，为了能够更清楚[0024]图3示出了本发明又一实施例提供的一种基于插桩的行为监控系统的系统结构[0028]步骤S110：宿主机检测模块通过由虚拟机调用指令触发7模块(隶属于虚拟机检测模块)和宿主机操作系统(Dom-0)内核中加载的全局检测模块(属和重新编译生成的虚拟机管理软件模块安装在服务器端Linux操作系统中，并在服务器开8挂接虚拟机物理内存管理和响应虚拟机控制接口，在虚拟机管理软件启动和关闭虚拟机提供的配置信息收集客户机操作系统中的前置信息数据，包括但不限于操作系统版本信测功能通过全局检测模块和客户端驱动模块的即时通信实现检出信息代码块地址列表的每个地址存储所在位置的指令并初始化跳板区间，该跳板区间(即跳转区间)用于跳转回原函数执行。当然，初始化跳板区间的操作也可以由宿主机检测模块实[0044]步骤S210：宿主机检测模块通过由虚拟机调用指令触发9化监控地址信息数组。该初始化监控地址信息数组用于以数组形式存储各个待监控地址。VM-EXIT事件的处理函数根据触发VM-EXIT的原因以及指令指针寄存器的数值获取当时执理函数判断当前触发事件处理方式是否需要回到客户机上下文执指针寄存器修改为当前被调用地址对应的跳板区间地址(GLA)，并返回至客户机上下文恢函数根据当前调用函数的参数类型解析参数数据并生[0070]具体地，宿主机检测模块中包含的虚拟机退出处理函数(即VM-EXIT处理函数)获退出事件相对应的虚拟机调用指令的调用号，查询与获取到的调用号相对应的通用寄存[0071]具体实施时，宿主机检测模块中的VM-EXIT处理函数根据前述被赋值的通用寄存户机线性地址转换成客户机物理地址(GPA)，再根据客户机物理地址与宿主机物理地址的的宿主机物理地址(HPA)的物理页映射在宿主机操作系统内核地址空间，获得宿主机线性协议格式对日志数据进行序列化封装，执行VMCALL指令无条件触发VMCALL原因的VM-EXIT部分检测功能输出的检测日志数据；扩展式进线程监控机制将新进程或线程加入监控列拟机处理器无条件触发VMCALL原因的VM-EXIT事件切换到ROOT环境以执行宿主机检测模块[0084]具体实施时，宿主机检测模块根据原内存页(即目标内存页)的客户机页框号问权限已被取消，因此，针对于目标内存页的访问请求将因违反EPT规定而触发由EPT-访问操作将使逻辑处理器触发EPTVIOLATION原因的VM-EXIT事件返回ROOT模式执行。宿主机检测模块中用于处理VM-EXIT事件的处理函数根据触发VM-EXIT的原因和被访问的客户机物理地址(GPA)获取当时执行环境相关信息，在监控地址信息数组中查找对应地址的节写访问权限；同时将前述创建的镜像内存页的宿主机物理页框号(HFN)数值写入至页表项际目标对象却是镜像内存页，由此确保了原内存页中插桩的新指令将不会被读取或覆盖。位触发的虚拟机退出事件能够使宿主机检测模块监听到访问请求处理完毕的事件(或时检测模块的处理函数此时取消虚拟机处理器的MTF控制标志位，同时恢复前步骤页表项施例中插桩痕迹的隐藏和保护功能主要基于硬件虚拟化技术的扩展页表(EPT)机制实现。其中隐藏和保护的目标是基于插桩的行为监控功能中所描述的[0095]步骤二：获取虚拟机检测模块设置的监控列表以及监控列表中包含的待监控地[0096]宿主机检测模块通过即时通信功能获取虚拟机检测模块设置的监控列表以及监便于查询。监控列表中的待监控地址属于客户机物理地址(GPA)。分别针对各个待监控地程或线程相对应的访问行为将因违反EPT规定而触发虚拟机退出事件。响应于虚拟机退出权限，访问操作将使逻辑处理器触发EPTVIOLATION原因的VM-EXIT事件返回根模式(root宿主机检测模块中的处理函数根据相关虚拟机处理器寄存器数值和客户机内存数据确定抽象层(HAL)分发函数表的写入访问、针对指示用户和内核地址空间界限的相关内核全局宿主机检测模块的处理函数中根据前步骤存储的数据对象地址和大小与当前访问的目标[0107]由此可见，该方式通过虚拟机退出事件能够实现内统内核异常处理关键函数(即异常处理函数)的别针对每个异常处理函数的函数地址插入对应的预设[0115]步骤四：当检测到由异常处理函数的执行过程而触发的线程执行插桩的新指令时，逻辑处理器即时触发对应原因的VM-EXIT事件返回root模式执主机检测模块能够基于获取到的状态信息确定与异常处理函数相关的异常事件的事件信理函数通过ESP/RSP等寄存器数值和客户机内存数据获取蓝屏上下文信息并进行记录和输[0122](1)宿主机检测模块基于全局虚拟机监视器实现，从而使检测引擎的核心代码均[0123](2)通过基于处理器的虚拟化技术，本方案还实现针对检测模块插桩痕迹的隐藏[0124](3)集群化的分布式威胁检测系统自身依赖于特定的虚拟机管理软件在服务器主过和虚拟机检测模块进行通信和交互获取前置信息，并在虚拟机监视器层执行检测点插[0126]图3示出了本发明又一实施例提供的一种基于插桩的行为监控系统的系统结构[0129]第二退出单元313，适于当所述宿主机检测模块检测到由所述预设插桩指令的执[0134]根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监动或被目标进程注入的进程、以及加载由目标进程释放的文件的进程确定为待监控进程；[0145]图4示出了根据本发明实施例的一种电子设备的结构示意图，本发明具体实施例[0152]处理器402可能是中央处理器CPU，或者是特定集成电路ASIC(Application[0155]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于插桩的行为监控装置域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实[0165]当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚[0170]根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监[0192]根据所述关键系统函数地址列表以及所述预设监控代码块地址列表生成所述监述存储器和所述通信接口通过所述通信总线完成[0205]所述存