内存取证与IaaS云平台恶意行为的安全监控.PDF

内存取证与IaaS云平台恶意行 为的安全监控 王连海 研究员 山东省计算中心（国家超级计算济南中心） 汇报纲要 内存取证中的恶意代码分析技术 基于内存取证的云中恶意行为监控技术 使用内存分析技术检测虚拟机逃逸 总结 内存取证中的恶意代码分析技术 内存取证是计算机取证科学的重要分支，是指从计 算机物理内存和页面交换文件中查找、提取、分析 易失性证据，当系统处于活动状态时,物理内存中保 存着关于系统运行时状态的关键信息，通过内存取 证可获取物理内存和页面交换文件的完整镜像， 并 重构出原先系统的状态信息。 内存取证中的恶意代码分析技术 当前内存取证技术逐渐成熟，内存证据已经与 硬盘证据一起成为打击网络违法犯罪的重要依 据。 内存证据分析可被用于发现系统的各种关键信 息及用户的行为特征。 内存取证技术也可被用于恶意代码的检测分析 内存取证中的恶意代码分析技术 各种新型解决方案 内存取证中的恶意代码分析技术 针对于APT恶意程序，现有检测方法存在一些问题： 难以发现未知 恶意程序 难以应对流量 网络 恶 加密的情形 检测 检查不连续、无法 检查 检查内存、极大影 响计算机性能 难以自动化、无法 应对静态数据、可 被恶意程序检测 内存取证的应用场景 APT 、木马检测 互联网 内存镜 像文件 码 恶 分 意 析 代 受攻击电脑 结果 优势 软件或硬件方式镜像内存，防 具有反取证功能的木马自毁 内存取证中传统的恶意代码分析技术 进 /驱动/ APIHook 动态连 库 签 内存取证中的恶 意代码分析技术 进 动态