基于VMware反虚拟机环境检测技术研究.docVIP

基于VMware反虚拟机环境检测技术研究 　　摘要：VMware虚拟机因其良好的用户体验及便捷的功能，被广泛应用于云计算平台搭建、恶意代码分析等技术领域。因此，部分恶意代码专门增加了VMware环境检测功能，以发现自身是否运行在VMware虚拟环境。针对恶意代码在VMware环境下的虚拟环境检测技术，分析了VMware虚拟机环境的检测原理及优缺点，提出了一套VMware环境下的反虚拟环境检测方法，以欺骗恶意软件的VMware环境检测功能，提升基于VMware仿真的恶意代码分析准确性。 　　关键词关键词：VMware；虚拟机；虚拟机环境检测；虚拟机穿透 　　DOIDOI：10.11907/rjdk.161300 　　中图分类号：TP309文献标识码：A文章编号文章编号2016）007017003 　　基金项目基金项目：科技部科技型中小企业创新基金项目（10C26215122841） 　　0引言 　　虚拟化技术是指通过分割计算机硬件资源（如CPU、内存、辅存等），使得一台物理机上可以运行多个操作系统环境，从而提供更灵活高效的硬件资源分配技术。该技术最早由IBM在20世纪60年代初实现。虚拟化技术发展到今天，出现了多种虚拟化平台，如XEN、KVM、VMware等。其中，VMware由于良好的性能及便捷的功能支持得到了广泛应用。 　　由于带有快照还原功能以及物理隔离功能，虚拟化技术对恶意代码分析人员是非常有用的工具，可以在保护本机不受侵害的情况下，对恶意代码的实际行为进行有效的监控，并且可以通过快照功能讯速恢复系统，因此，此技术的博弈也随之展开[1]。一些恶意代码编写人员在其恶意程序中加入虚拟环境检测功能，一旦程序发现自身处于虚拟环境中，则可能休眠或者改变行为策略，甚至破坏虚拟机环境[2]。因此，在利用虚拟机进行恶意代码分析的同时，了解恶意代码的虚拟环境检测技术并对其检测功能进行防范，是信息安全工作人员重要工作之一。 　　本文针对常用的虚拟化平台VMware，分析并总结了VMware平台下常用的虚拟环境检测技术原理及相应工具，在此基础上，提出了一套VMware环境下的反虚拟机环境检测策略，用以提高虚拟机环境下恶意代码分析的准确性，探讨了该领域未来的发展趋势。 　　1基于VMware的虚拟机环境检测技术 　　本节基于VMware平台，归纳并总结了VMware虚拟机环境下常用的虚拟环境检测技术原理[26]，并介绍了相应工具。 　　1.1基于字符特征的VMware环境检测方法 　　由于VMware环境只是实现了对硬件的虚拟，并没有真正实现对硬件与操作系统的完整仿真。因此，VMware虚拟机的进程、文件系统、注册表中包含很多VMware的特殊标识，比如VMware虚拟机系统信息的制造商显示为VMware Inc.，而非真实的计算机制造商。在VMware虚拟机操作系统的注册表内，也有一些带有VMware特殊表示的键值，比如在虚拟操作系统WindowsXP中的注册表项中，包含有名称为_#VmwareVirtualPrinter的键，而真实的操作系统中并不存在此键。此外，据统计，VMware环境下有超过50个包含“VMware”和“vmx”的引用存在于文件系统中，有超过300 个包括“VMware”的引用存在于系统的注册表中。 　　针对这些差异，可以收集这一类出现在特别位置的“特征字符串”，形成针对VMware环境的指纹库，并通过字符串搜索与匹配的方式，实现对VMware虚拟机环境的检测。 　　但该方法存在以下缺陷：①这些特征字符串的分布不具有通用性，较难形成通用的、系统的检测理论；②暴力搜索方法不仅性能较低，还会造成较高的误报；③这种方法也可以通过Rootkit等技术[7]进行欺骗。 　　1.2基于虚拟硬件的VMware环境检测方法 　　VMware环境下虚拟出的硬件也往往包含有特殊特征，使其成为检测VMware环境的检测因素之一。VMware环境下，其网卡的Mac地址的前24位往往是00-0C-29、00-05-69或00-50-56 ，此外，VMware VGA 适配器、USB 控制器的类型、SCSI设备的类型往往都包含有VMware 特定的标记。概括来说，此方法一定程度上也属于基于特征字符串的检测方法。 　　Tobias Klein实现的工具DOO就是利用搜索虚拟环境下特殊的虚拟硬件标识来检测虚拟机环境。DOO工具在Linux环境下主要搜寻I0、port以及SCSI等相关目录下的“VMware”特征串，而在Windows下则重点搜索注册表中SCSI适配器和VMware硬件类号的键值。 　　1.3通过特殊指令特征检测VMware环境的方法 　　使用特殊指令SIDT、SLDT与SGD