论文研究基于Xen虚拟化的隐藏进程检测方法.pdf

恶意进程利用Rootkit使自己具有极强的隐蔽性。传统的隐藏进程检测工具部署在被检测系统中，容易受到攻击。为提高检测系统的抗攻击性和准确性，提出了一种虚拟环境下特征匹配的隐藏进程检测系统。该系统部署在被监控虚拟机外部，自调整检测频率扫描计算机内存来获取进程相关信息，并通过与预先构建好的特征模板进行相似度匹配，达到检测隐藏进程的目的。实验结果表明，该检测系统可以有效地检测出典型的Rootkit代码，确定隐藏进程的存在。