基于“In—VM”思想的內(nèi)核惡意代碼行為分析方法

2014-10-28 23:36馬珂劉任任劉新

計(jì)算技術(shù)與自動(dòng)化 2014年3期

關(guān)鍵詞：虛擬機(jī)網(wǎng)絡(luò)安全

馬珂+劉任任+劉新

收稿日期：2013-05-28

基金項(xiàng)目：湖南省教育廳產(chǎn)業(yè)化項(xiàng)目（11CY018）

作者簡(jiǎn)介：馬珂（1984—），女，湖南長(zhǎng)沙人，碩士研究生，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全。

通訊聯(lián)系人，E-mail：70757082@qq.com

文章編號(hào)：1003-6199（2014）03-0105-05

摘要：隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全威脅也越來(lái)越嚴(yán)重，針對(duì)惡意代碼的分析、檢測(cè)逐漸成為網(wǎng)絡(luò)安全研究的熱點(diǎn)。惡意代碼行為分析有助于提取惡意代碼特征，是檢測(cè)惡意代碼的前提，但是當(dāng)前自動(dòng)化的行為捕獲方法存在難以分析內(nèi)核模塊的缺陷，本文針對(duì)該缺陷，利用虛擬機(jī)的隔離特點(diǎn)，提出了一種基于“In-VM”思想的內(nèi)核模塊惡意行為分析方法，實(shí)驗(yàn)表明該方法能夠分析內(nèi)核模塊的系統(tǒng)函數(shù)調(diào)用和內(nèi)核數(shù)據(jù)操作行為。

關(guān)鍵詞：網(wǎng)絡(luò)安全；虛擬機(jī)；惡意代碼分析；內(nèi)核模塊

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：A

Analysis of Kernel-malware Behavior Based on “In-VM”

MA Ke， LIU Ren-ren， LIU Xin

（The College of Information Engineering of Xiangtan University， Xiangtan，Hunan 411105，China）

Abstract：With the rapid development of Internet， threats of network security have become increasingly serious. Malware analysis and detection have become a hot research topic. Malware behavior analysis helps to extract the characteristics of malicious code， is the premise of detecting malicious code， but at the current level of development，the automated capture method is difficult to analyze behaviors of kernel module. In order to solve this problem， this paper proposed a kernel modules malicious behavior analysis method based on “In-VM” ， experimental results show that this method can analyze system calls and data manipulation of kernel modules .

Key words：network security； virtual machine； malware analysis； kernel module

1 前言

互聯(lián)網(wǎng)的發(fā)展使得我們?cè)絹?lái)越依賴于網(wǎng)絡(luò)，但是，我們?cè)谙硎芑ヂ?lián)網(wǎng)帶來(lái)便利的同時(shí)，必須面對(duì)越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。在政治利益或經(jīng)濟(jì)利益的驅(qū)動(dòng)下，網(wǎng)絡(luò)安全事件每年都呈上升趨勢(shì)。第26次中國(guó)互聯(lián)網(wǎng)絡(luò)安全狀況統(tǒng)計(jì)報(bào)告顯示[1]，2010年上半年，有30.9%的網(wǎng)民賬號(hào)或密碼被盜過(guò)，59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過(guò)程中遇到過(guò)病毒或木馬攻擊，網(wǎng)絡(luò)安全的問(wèn)題仍然制約著中國(guó)網(wǎng)民深層次的網(wǎng)絡(luò)應(yīng)用發(fā)展。

惡意代碼行為分析是檢測(cè)惡意代碼的前提，能夠?yàn)樾袨樘卣鞔a的提取提供直接的參考依據(jù)。當(dāng)前惡意代碼行為的自動(dòng)化捕獲方法存在著若干缺點(diǎn)[2]：首先，分析環(huán)境容易被惡意代碼檢測(cè)出來(lái)，這是因?yàn)閻阂獯a通常會(huì)檢查自身的運(yùn)行環(huán)境，如是否存在hook、是否處于調(diào)試狀態(tài)等；其次，惡意代碼行為信息不全面，分析環(huán)境限制了惡意代碼與操作系統(tǒng)的交互，因而無(wú)法獲取到全面的信息；最后，難以分析內(nèi)核模塊，Windows是共享的內(nèi)核空間，無(wú)法區(qū)分哪些行為是惡意代碼的行為。

隨著安全技術(shù)的發(fā)展和計(jì)算機(jī)用戶安全意識(shí)的提高，完全用戶層的惡意代碼越來(lái)越難生存，于是一部分有能力的黑客把眼光投向了系統(tǒng)底層——ring 0層。位于ring 0層的是系統(tǒng)核心模塊和各種驅(qū)動(dòng)程序模塊，由于該類型惡意代碼運(yùn)行在ring 0級(jí)別，擁有與系統(tǒng)核心同等級(jí)的權(quán)限，因此它的威脅更加嚴(yán)重，而且可以更輕易的把自己隱藏起來(lái)。所以，惡意代碼行為分析系統(tǒng)不僅需要分析用戶態(tài)的行為而且需要分析其內(nèi)核態(tài)的行為，針對(duì)大多數(shù)惡意代碼行為分析系統(tǒng)無(wú)法獲取完整內(nèi)核行為的缺陷，本文擬研究基于虛擬機(jī)的內(nèi)核惡意代碼行為分析系統(tǒng)。

虛擬機(jī)能夠有效實(shí)現(xiàn)操作系統(tǒng)的隔離，進(jìn)而抵御客戶操作系統(tǒng)中特權(quán)惡意代碼的攻擊，因此，近年來(lái)虛擬機(jī)在計(jì)算機(jī)安全領(lǐng)域受到廣泛關(guān)注和應(yīng)用，如入侵檢測(cè)、攻擊行為分析、惡意代碼檢測(cè)、蜜罐和可信計(jì)算等[3]。本文研究基于虛擬機(jī)的惡意代碼行為分析技術(shù)，針對(duì)現(xiàn)有技術(shù)無(wú)法分析惡意代碼內(nèi)核模塊的缺陷，提出了一種基于“In-VM”思想的內(nèi)核模塊惡意行為分析方法，該方法在系統(tǒng)內(nèi)核中構(gòu)建兩個(gè)內(nèi)核空間，把惡意內(nèi)核模塊置于一個(gè)隔離的內(nèi)核空間中，惡意模塊調(diào)用系統(tǒng)函數(shù)或改寫系統(tǒng)變量都會(huì)觸發(fā)中斷，并被底層的VMM（Virtual Machine Monitor）捕獲，從而使得VMM可以記錄惡意模塊的行為。

本文第二節(jié)介紹虛擬機(jī)及惡意代碼行為分析的相關(guān)研究；第三節(jié)詳細(xì)討論基于“In-VM”的內(nèi)核模塊分析模型；第四節(jié)是功能測(cè)試；最后一節(jié)是本文總結(jié)。

2 相關(guān)研究

2.1 虛擬機(jī)

虛擬機(jī)在計(jì)算機(jī)安全領(lǐng)域受到廣泛關(guān)注和應(yīng)用，在基于虛擬機(jī)的安全應(yīng)用中，一個(gè)典型的模型如圖1所示，安全工具位于Host Virtual Machine（Host OS）中，而用戶應(yīng)用程序運(yùn)行在Guest Virtual Machine（Guest OS）中，利用VMM和Host OS監(jiān)視Guest OS的行為。虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）之所以被廣泛應(yīng)用于計(jì)算機(jī)安全領(lǐng)域研究，是因?yàn)閂MM提供的三種特性：Isolation，Inspection，Interposition[4]。

“Isolation”即隔離特性。運(yùn)行在一個(gè)虛擬機(jī)中的軟件無(wú)法訪問(wèn)或修改VMM和其他虛擬機(jī)中的軟件。隔離特性保證：即便惡意攻擊者完全控制了Guest OS，也無(wú)法攻擊VMM、Host OS以及Host OS中的安全工具；

“Inspection”特性。VMM能夠訪問(wèn)虛擬機(jī)的所有狀態(tài)：CPU狀態(tài)（包括寄存器），內(nèi)存，I/O設(shè)備（存儲(chǔ)的內(nèi)容和狀態(tài)控制寄存器），所以該特性可以確保VMM和Host OS中的安全工具能夠監(jiān)視Guest OS的運(yùn)行，記錄系統(tǒng)的運(yùn)行信息；

“Interposition”特性。VMM能夠截獲虛擬機(jī)的特定操作（比如：執(zhí)行特權(quán)指令）。Host OS中的安全工具可以利用該特性執(zhí)行特殊功能，比如僅僅對(duì)VMM做細(xì)微修改，VMM就可以截獲虛擬機(jī)試圖修改特定寄存器的操作。該特性使得VMM可以截獲Guest OS的行為，在特定的條件下阻止或允許某個(gè)系統(tǒng)行為。

2.2 基于虛擬機(jī)的惡意代碼行為分析

目前，惡意代碼行為分析有兩類方法，即靜態(tài)方法和動(dòng)態(tài)方法。靜態(tài)方法采用代碼規(guī)范化及語(yǔ)義重構(gòu)來(lái)分析惡意代碼的行為，側(cè)重于獲取惡意代碼的功能；動(dòng)態(tài)方法則通過(guò)研究惡意代碼執(zhí)行時(shí)的系統(tǒng)調(diào)用序列來(lái)分析惡意代碼行為，側(cè)重于獲取惡意代碼實(shí)現(xiàn)惡意目的的過(guò)程。

靜態(tài)分析的方法獲取的信息不夠全面，而且惡意代碼會(huì)使用加密、混淆等方法來(lái)阻礙靜態(tài)分析，動(dòng)態(tài)分析的方法能夠獲取更加完善的信息，是惡意代碼行為分析的主要方法。越來(lái)越多的學(xué)者研究基于虛擬機(jī)的惡意代碼行為分析方法，這些研究主要是針對(duì)用戶空間的惡意代碼行為：

1）Norman Sandbox[5]通過(guò)實(shí)現(xiàn)Windows系統(tǒng)核心來(lái)實(shí)現(xiàn)進(jìn)程虛擬機(jī)，這使得Norman Sandbox系統(tǒng)上只能運(yùn)行一個(gè)進(jìn)程，即目標(biāo)進(jìn)程。盡管Norman Sandbox還對(duì)網(wǎng)絡(luò)連接環(huán)境進(jìn)行了模擬，但是這樣的虛擬運(yùn)行環(huán)境與真實(shí)環(huán)境仍然存在著較大的差異，該虛擬運(yùn)行環(huán)境中的惡意代碼進(jìn)程無(wú)法干預(yù)、感染或修改其他進(jìn)程，導(dǎo)致Norman Sandbox對(duì)惡意代碼的分析結(jié)果可能與惡意代碼實(shí)際執(zhí)行的結(jié)果不一致。

2）CWSandbox[6]采用inline hook和DLL注入技術(shù)實(shí)現(xiàn)了對(duì)目標(biāo)進(jìn)程的API攔截與分析，最終實(shí)現(xiàn)對(duì)該進(jìn)程行為的獲取。CWSandbox的這種捕獲方式存在一個(gè)問(wèn)題：API hook技術(shù)由于修改了目標(biāo)進(jìn)程的代碼，因此很容易被檢測(cè)出來(lái)。因此，CWSandbox 的分析是很容易被惡意代碼繞過(guò)的。

3）Joebox[7]將目標(biāo)代碼運(yùn)行在hypervisor上，并采用了SSDT hook的方式截獲目標(biāo)進(jìn)程的系統(tǒng)調(diào)用的。盡管Joebox在分析用戶態(tài)代碼時(shí)相對(duì)不容易被檢測(cè)，但是SSDT hook對(duì)系統(tǒng)的關(guān)鍵結(jié)構(gòu)進(jìn)行了修改，依然存在著被檢測(cè)到的可能。而且SSDT是系統(tǒng)服務(wù)描述符表，是一個(gè)把ring3的Win32 API和ring0的內(nèi)核API聯(lián)系起來(lái)的橋梁，所以僅僅監(jiān)視SSDT調(diào)用實(shí)際上也是監(jiān)視用戶態(tài)函數(shù)調(diào)用情況。

4）TTAnalyze[8]利用了VMM在VM外部捕獲惡意代碼行為的方式。TTAnalyze通過(guò)在QEMU的虛擬機(jī)上安裝Windows XP構(gòu)建虛擬運(yùn)行環(huán)境，這樣的虛擬運(yùn)行環(huán)境與真實(shí)系統(tǒng)較為接近。目標(biāo)進(jìn)程運(yùn)行在這個(gè)虛擬運(yùn)行環(huán)境內(nèi)，TTAnalyze通過(guò)監(jiān)視其系統(tǒng)調(diào)用實(shí)現(xiàn)對(duì)目標(biāo)進(jìn)程的分析。TTAnalyze雖然能夠?qū)崿F(xiàn)較為隱蔽的分析，但是無(wú)法實(shí)時(shí)分析新進(jìn)程，并且不具備對(duì)服務(wù)和遠(yuǎn)程線程的分析能力，這使得 TTAnalyze的分析結(jié)果不能夠全面地反映惡意代碼的行為。

5）ExecRecorder[9]基于Bochs實(shí)現(xiàn)了對(duì)整個(gè)客戶操作系統(tǒng)行為的記錄與回放，從而實(shí)現(xiàn)對(duì)攻擊行為的分析進(jìn)并進(jìn)行相應(yīng)的系統(tǒng)恢復(fù)。

6）Andreas Moser[10]等基于QEMU實(shí)現(xiàn)了對(duì)客戶操作系統(tǒng)內(nèi)進(jìn)程的多路徑監(jiān)視，從而能夠更加精確地分析惡意代碼的的行為。

7）Jedidiah R. Crandall[11]等通過(guò)監(jiān)視虛擬機(jī)的計(jì)時(shí)器實(shí)現(xiàn)了基于時(shí)序搜索的惡意代碼檢測(cè)技術(shù)，使得自動(dòng)化的惡意代碼分析更加精確。

上面介紹的各種方法主要是分析惡意代碼在用戶態(tài)的行為，Joebox能夠監(jiān)視內(nèi)核SSDT的調(diào)用，但是它通過(guò)監(jiān)視SSDT來(lái)獲取用戶態(tài)系統(tǒng)函數(shù)的調(diào)用情況，并不能監(jiān)視內(nèi)核模塊的行為。

3 基于“In-VM”的內(nèi)核模塊分析模型

惡意內(nèi)核模塊的行為主要包括調(diào)用內(nèi)核函數(shù)，修改內(nèi)核代碼或變量。為了捕獲這些行為，常用的HOOK方法是不適用的，需要把待分析內(nèi)核模塊隔離?！癐n-VM”的思想被用于檢測(cè)惡意代碼，本來(lái)借鑒該思想來(lái)分析惡意代碼行為。

3.1 “In-VM”思想

在基于虛擬機(jī)的惡意代碼檢測(cè)應(yīng)用中，為了解決VMM和Guest VM之間頻繁切換帶來(lái)的性能損耗問(wèn)題，Monirul Sharif[12]等人提出的一種“In-VM”的檢測(cè)思想，基于“In-VM”思想的檢測(cè)過(guò)程在客戶系統(tǒng)之內(nèi)完成，并且同時(shí)能夠保證檢測(cè)過(guò)程不受惡意代碼攻擊。

“In-VM”檢測(cè)思想的基礎(chǔ)是針對(duì)內(nèi)核構(gòu)造了兩種地址空間：Process Virtual Address Space和SIM Virtual Address Space。正常情況下，內(nèi)核工作在Process Virtual Address Space，當(dāng)HOOK系統(tǒng)函數(shù)成功后，內(nèi)核地址空間轉(zhuǎn)換到SIM Virtual Address Space。在SIM地址空間中客戶系統(tǒng)內(nèi)核數(shù)據(jù)、代碼是不可執(zhí)行的，這就保證了內(nèi)核中的惡意代碼無(wú)法攻擊到HOOK處理模塊。

在基于虛擬機(jī)的惡意代碼檢測(cè)中，“In-vm”思想在內(nèi)核中構(gòu)建兩個(gè)隔離的空間，這種思想可以被用于分析內(nèi)核惡意模塊行為，我們把惡意內(nèi)核模塊置于一個(gè)隔離的內(nèi)核空間中，則我們可以記錄該模塊調(diào)用內(nèi)核函數(shù)、讀寫內(nèi)核數(shù)據(jù)等操作。

3.2 內(nèi)核模塊分析模型

Windows的內(nèi)核空間是共享的[13]，對(duì)每個(gè)內(nèi)核模塊來(lái)說(shuō)，其地址空間都是相同的，而且內(nèi)核函數(shù)和系統(tǒng)全局變量廣泛分散在整個(gè)內(nèi)核空間中，所以常用的HOOK方法是不適用的?！癐n-VM”的思想通過(guò)構(gòu)建兩個(gè)內(nèi)核空間來(lái)達(dá)到隔離效果，本文利用該思想來(lái)隔離惡意內(nèi)核模塊，從而分析其行為。

本文在內(nèi)核空間中構(gòu)建了兩個(gè)地址空間：Process Kernel space和In-VM Kernel space。正常情況下，內(nèi)核工作在Process Kernel space，當(dāng)系統(tǒng)準(zhǔn)備執(zhí)行待分析的惡意模塊In-VM module，因?yàn)镮n-VM module在Process Kernel space是不可執(zhí)行的，所以會(huì)觸發(fā)不可執(zhí)行中斷，VMM捕獲到該中斷，并把內(nèi)核切換到In-VM Kernel space。在In-VM Kernel space中，任何調(diào)用系統(tǒng)函數(shù)、改寫系統(tǒng)變量的操作都能被捕獲，因?yàn)樵谠摳綦x的內(nèi)核空間中，系統(tǒng)內(nèi)核代碼不可執(zhí)行，系統(tǒng)數(shù)據(jù)不可寫。

如圖2所示，左邊是Process Kernel space，Kernel Code和Kernel Data是未加載惡意模塊之前的系統(tǒng)內(nèi)核代碼和內(nèi)核數(shù)據(jù)，In-VM Code和In-VM Data是惡意模塊代碼及其數(shù)據(jù)，R、W和X分別代表該項(xiàng)是否可讀、可寫和可執(zhí)行

在Process Kernel space中，當(dāng)需要調(diào)用In-VM模塊代碼時(shí)，會(huì)觸發(fā)不可執(zhí)行中斷，VMM捕獲該中斷，判斷中斷類型，并把內(nèi)核切換到In-VM Kernel space（通過(guò)改變CR3的值來(lái)實(shí)現(xiàn)）。在In-VM Kernel space中，當(dāng)需要調(diào)用內(nèi)核函數(shù)或改寫內(nèi)核變量時(shí)，也會(huì)觸發(fā)不可執(zhí)行或不可寫中斷，VMM捕獲到該中斷，并根據(jù)中斷類型分別處理。圖3是在In-VM Kernel space中調(diào)用內(nèi)核函數(shù)或改寫內(nèi)核變量的處理過(guò)程，對(duì)于不可寫中斷，VMM直接改寫內(nèi)核數(shù)據(jù)并返回In-VM Kernel space，對(duì)于不可執(zhí)行中斷，VMM需要切換CR3的值，轉(zhuǎn)入Process Kernel space中。

4 實(shí) 驗(yàn)

本文的實(shí)驗(yàn)環(huán)境為：Thinkpad T400，測(cè)試使用的客戶操作系統(tǒng)為Windows SP2，開(kāi)源虛擬機(jī)

KVM（Kernel Virtual Machine）[14]，處理器為Intel Core 2 P8600，物理內(nèi)存為2GB。在此基礎(chǔ)之上，本文實(shí)現(xiàn)了上述模型的原型系統(tǒng)，能夠分析惡意模塊調(diào)用內(nèi)核函數(shù)及改寫內(nèi)核全局變量的行為。

內(nèi)核惡意代碼的主要功能有三個(gè)方面[15]：①修改內(nèi)核數(shù)據(jù)，以達(dá)到隱藏自身活動(dòng)的目的；②修改內(nèi)核數(shù)據(jù)或代碼，以達(dá)到HOOK內(nèi)核系統(tǒng)函數(shù)的目的；③直接調(diào)用內(nèi)核函數(shù)，以達(dá)到獲取系統(tǒng)信息的目的。表1是針對(duì)多款rootkit的實(shí)驗(yàn)結(jié)果，本文選取了多款常用的rootkit來(lái)檢驗(yàn)上述原型系統(tǒng)，實(shí)驗(yàn)結(jié)果表明本文提出的原型系統(tǒng)能夠成功分析惡意模塊調(diào)用內(nèi)核函數(shù)及改寫內(nèi)核全局變量的行為。

5 結(jié)束語(yǔ)

隨著安全技術(shù)的發(fā)展和計(jì)算機(jī)用戶安全意識(shí)的提高，完全用戶層的惡意代碼越來(lái)越難生存，于是一部分有能力的黑客把眼光投向了系統(tǒng)底層——ring 0層，該類型惡意代碼運(yùn)行在ring 0級(jí)別，擁有與系統(tǒng)核心同等級(jí)的權(quán)限。但是當(dāng)前自動(dòng)化的惡意行為捕獲方法存在難以分析內(nèi)核模塊的缺陷，本文針對(duì)該缺陷，利用虛擬機(jī)的隔離特點(diǎn)，提出了一種基于“In-VM”思想的內(nèi)核模塊惡意行為分析方法，并實(shí)現(xiàn)了該模型的原型系統(tǒng)，實(shí)驗(yàn)表明該方法能夠分析內(nèi)核模塊的系統(tǒng)函數(shù)調(diào)用和內(nèi)核數(shù)據(jù)操作行為。

參考文獻(xiàn)

[1] 第26次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R].2010，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心。

[2] 林清陽(yáng)，基于虛擬化的惡意代碼行為捕獲技術(shù)研究[D]. 鄭州：解放軍信息工程大學(xué)，2010.

[3] 溫研. 隔離運(yùn)行環(huán)境關(guān)鍵技術(shù)研究[D]. 長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)， 2008.

[4] JIANG X，XU D，WANG X.Stealthy malware detection through vmm-based “out-of-the-box” semantic view reconstruction. In Proceedings of the ACM Conference on Computer and Communications Security， 2007.

[5] Norman Sandbox. Norman SandBox Technology[EB/OL]. 2010. http：//www.norman.com/technology/norman_sandbox/the_technology/en

[6] Carsten Willems， Thorsten Holz， Felix Freiling. Toward Automated Dynamic Malware Analysis Using CWSandbox[J]. IEEE Security and Privacy.2007， 5（2）： 32-39

[7] Joebox. Joebox a secure Sandbox Application for Windows to analyse the Behaviour of Malware[EB/OL]. 2010. http：//www.joebox.org/concept.php

[8] BAYER U，KRUEGEL C，KIRDA E.TTAnalyze： A Tool for Analyzing Malware[C]. 15th Annual Conference of the European Institute for Computer Antivirus Research.2006： 180-192.

[9] OLIVEIRA D A， CRANDALL J R，WASSERMANN G， et al. ExecRecorder： VM-Based Full-System Replay for Attack Analysis and System Recovery[C]. Workshop on Architectural and System Support for Improving Software Dependability （ASID'06， with ASPLOS 2006）， 2006： 66-71.

[10]ANDREAS M，CHRISTOPHER K，ENGIN K. Exploring Multiple Execution Paths for Malware Analysis[C]. 2007 IEEE Symposium on Security and Privacy （S&P'07）， 2007： 231-245.

[11]CRANDALL J R，WASSERMANN G，OLIVEIRA D A， et al. Temporal Search： Detecting Hidden Malware Timebombs with Virtual Machines[C]. Proceeedings of 12th International Conference on Architectural Support for Programming Languages and Operating Systems （ASPLOS'06）， San Jose， California， USA. 2006： 25-36.

[12]SHARIF M，LEE W，CUI W，LANZI A.Secure In-VM Monitoring Using Hardware Virtualization. In Proceedings of the 16th ACM Conference on Computer and Communications Security， November 2009.

[13]RUSSINOVICH M E，SOLOMON D A. Microsoft Windows Internals， Fourth Edition： Microsoft Windows Server 2003， Windows XP， and Windows 2000[M]. Microsoft Press， 2004.

[14]Kernel based Virtual Machine[EB/OL]. http：//www.linux-kvm.org/page/Main_Page. Last accessed Apr. 20， 2009.

[15]Greg Hoglund， James Butler. Rootkits—Windows內(nèi)核的安全防護(hù)[M]. 北京：清華大學(xué)出版社， 2007.