堆栈型虚拟机代码入口点定位方法研究-计算机应用研究.PDF

堆栈型虚拟机代码入口点定位方法研究-计算机应用研究.PDF

堆栈型虚拟机代码入口点定位方法研究-计算机应用研究

第32卷第12期 计 算 机 应 用 研 究 Vol32No12 2015年12月  ApplicationResearchofComputers Dec.2015 堆栈型虚拟机代码入口点定位方法研究 1 1 1 1 2 蔡瑞杰 ,刘胜利 ,林 伟 ,刘 龙 ,王东霞 (1.数学工程与先进计算国家重点实验室,郑州450001;2.信息系统安全技术重点实验室,北京 100101) 摘 要:在采用虚拟化技术保护的程序中定位x86代码和虚拟机代码的临界点是实现被虚拟机保护代码自动 化提取和还原的前提,目前尚不存在能有效实现虚拟机代码入口点定位的方法。针对该问题,构建一个程序状 态转移模型,并在此模型的基础上,提出基于栈监控的自建栈型虚拟机代码入口点定位方法和基于寄存器值聚 类分析的复用栈型虚拟机代码入口点定位方法,有效解决了虚拟机代码入口点的定位问题。实验结果表明,该 方法能有效实现堆栈型虚拟机代码入口点的准确定位。 关键词:虚拟机保护;栈切换;寄存器值聚类;虚拟机入口点;状态转移 中图分类号:TP31152   文献标志码:A     文章编号:10013695(2015)12368805 doi:10.3969/j.issn.10013695.2015.12.038 Researchonlocatingentrypointofstackbasedvirtualmachine 1 1 1 1 2 CaiRuijie,LiuShengli,LinWei,LiuLong,WangDongxia (1.StateKeyLaboratoryofMathematicalEngineering&AdvancedComputing,Zhengzhou450001,China;2.NationalKeyLaboratoryof Science&TechnologyonInformationSystemSecurity,Beijing100101,China) Abstract:Locatingtheentrypointofstackbasedvirtualmachineintheprogramprotectedbyvirtualizationtechnologyisthe keytorestorethevirtualmachineprotectioncode.Currently,therewasnoexistingmethodscouldreliablylocatetheentry pointofcodeprotectedbyvirtualmachine.Tosolvethisproblem,thispaperestablishedaprogramstatemodel.Basedonthe model,thispaperpresentedthemethodofstackbasedmonitoringtolocatetheentrypointofcodeprotectedbytheselfbuil dingstackVM,andalsopresentedthemethodofclusteringregistervaluestolocatetheentrypointofcodeprotectedbythere usingstackvirtualmachine.Bythisway,theproblemwassolvedefficiently.Experimentalresultsshowthattheproposedmet hodcanlocatetheentrypointofthestackbasedvirtualmachinecode. Keywords:virtualmachineprotection;stackswapping;clusteringof

文档评论(0)

1亿VIP精品文档

相关文档