虛擬機(jī)逃逸的檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息技術(shù)領(lǐng)域����,特別是涉及一種虛擬機(jī)逃逸的檢測(cè)方法及裝置。
【背景技術(shù)】
[0002]隨著信息技術(shù)的不斷發(fā)展�����,計(jì)算機(jī)軟件開發(fā)技術(shù)越來越普及���,其中����,虛擬機(jī)逃逸變成研發(fā)人員急需解決的問題。虛擬機(jī)逃逸是指利用虛擬機(jī)軟件或者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊�,以達(dá)到攻擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的。
[0003]目前�����,虛擬機(jī)中的程序只能在虛擬機(jī)中運(yùn)行�,當(dāng)虛擬機(jī)系統(tǒng)出現(xiàn)漏洞時(shí)���,虛擬機(jī)中的程序?qū)⑼黄铺摂M機(jī)的界限�����,讀取虛擬機(jī)以外的資源�����。例如����,虛擬機(jī)逃逸可以通過一個(gè)虛擬出的U盤�����,將逃逸程序攜帶進(jìn)宿主機(jī)中,對(duì)宿主機(jī)中的資源進(jìn)行占用;還可以虛擬出一個(gè)仿真指令進(jìn)行攜帶逃逸程序��。無論哪種逃逸方式都不是系統(tǒng)運(yùn)行的正常情況�,所以要及時(shí)對(duì)逃逸進(jìn)行防護(hù)。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本發(fā)明提供了一種虛擬機(jī)逃逸的檢測(cè)方法及裝置����,主要目的在于可以及時(shí)檢測(cè)出虛擬機(jī)的逃逸行為�����,以便進(jìn)行安全防護(hù)���。
[0005]依據(jù)本發(fā)明一個(gè)方面��,提供了一種虛擬機(jī)逃逸的檢測(cè)方法�����,該方法包括:
[0006]獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件��;
[0007]計(jì)算所述二進(jìn)制文件對(duì)應(yīng)的MD5值�����;
[0008]檢測(cè)所述MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配���,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值�����;
[0009]若是,則確定存在虛擬機(jī)逃逸�。
[0010]依據(jù)本發(fā)明另一個(gè)方面,提供了一種虛擬機(jī)逃逸的檢測(cè)裝置����,該裝置包括:
[0011 ]獲取單元,用于獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件����;
[0012]計(jì)算單元,用于計(jì)算所述獲取單元獲取的二進(jìn)制文件對(duì)應(yīng)的MD5值���;
[0013]檢測(cè)單元����,用于檢測(cè)所述計(jì)算單元計(jì)算的MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值��;
[0014]確定單元����,用于若所述檢測(cè)單元檢測(cè)出所述MD5值與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配,則確定存在虛擬機(jī)逃逸����。
[0015]借由上述技術(shù)方案,本發(fā)明實(shí)施例提供的技術(shù)方案至少具有下列優(yōu)點(diǎn):
[0016]本發(fā)明提供的一種虛擬機(jī)逃逸的檢測(cè)方法及裝置��,首先獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件;然后計(jì)算所述二進(jìn)制文件對(duì)應(yīng)的MD5值;最后檢測(cè)所述MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配��,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值;若是����,則確定存在虛擬機(jī)逃逸。本發(fā)明通過對(duì)虛擬機(jī)當(dāng)前執(zhí)行的二進(jìn)制文件對(duì)應(yīng)的MD5值�,具體檢測(cè)是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配,可以判斷出虛擬機(jī)是否存在逃逸��,進(jìn)而可以及時(shí)檢測(cè)出虛擬機(jī)的逃逸行為���,以便進(jìn)行安全防護(hù)�����。
[0017]上述說明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施�,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂��,以下特舉本發(fā)明的【具體實(shí)施方式】�����。
【附圖說明】
[0018]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了��。附圖僅用于示出優(yōu)選實(shí)施方式的目的�����,而并不認(rèn)為是對(duì)本發(fā)明的限制���。而且在整個(gè)附圖中�,用相同的參考符號(hào)表示相同的部件��。在附圖中:
[0019]圖1示出了本發(fā)明實(shí)施例提供的一種虛擬機(jī)逃逸的檢測(cè)方法流程示意圖����;
[0020]圖2示出了本發(fā)明實(shí)施例提供的另一種虛擬機(jī)逃逸的檢測(cè)方法流程示意圖;
[0021]圖3示出了本發(fā)明實(shí)施例提供的一種虛擬機(jī)逃逸的檢測(cè)裝置結(jié)構(gòu)示意圖����;
[0022]圖4示出了本發(fā)明實(shí)施例提供的另一種虛擬機(jī)逃逸的檢測(cè)裝置結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0023]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解�,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反�,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員�。
[0024]本發(fā)明實(shí)施例提供了一種虛擬機(jī)逃逸的檢測(cè)方法,如圖1所示���,所述方法包括:
[0025]101�、獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件。
[0026]其中�,所述二進(jìn)制文件包含在ASCII及擴(kuò)展ASCII字符中編寫的數(shù)據(jù)或程序指令的文件。計(jì)算機(jī)文件基本上分為二種:二進(jìn)制文件和ASCII(也稱純文本文件)�����,圖形文件及文字處理程序等計(jì)算機(jī)程序都屬于二進(jìn)制文件����。這些文件含有特殊的格式及計(jì)算機(jī)代碼。對(duì)于本發(fā)明實(shí)施例���,所述二進(jìn)制文件可以為ERF文件��、驅(qū)動(dòng)文件等�����。
[0027]需要說明的是�,對(duì)于本發(fā)明實(shí)施例的執(zhí)行主體可以為安裝在虛擬機(jī)中的輕代理客戶端��,用于對(duì)虛擬機(jī)的逃逸行為進(jìn)行監(jiān)控�����。
[0028]102�����、計(jì)算二進(jìn)制文件對(duì)應(yīng)的MD5值���。
[0029]其中�,所述MD5(Message_Digest Algorithm 5�,信息摘要算法5)是計(jì)算機(jī)廣泛使用的散列算法之一。
[0030]103����、檢測(cè)MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配。
[0031 ]其中��,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值�����。
[0032]進(jìn)一步地���,可以預(yù)先從云服務(wù)器中獲取得到不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值�,并可以保存在本地緩存中的預(yù)設(shè)逃逸列表當(dāng)中��,用于進(jìn)行訪數(shù)據(jù)匹配校驗(yàn),進(jìn)而可以實(shí)現(xiàn)對(duì)虛擬機(jī)的逃逸行為進(jìn)行檢測(cè)����。
[0033]104、若檢測(cè)出MD5值與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配����,則確定存在虛擬機(jī)逃逸。
[0034]需要說明的是����,當(dāng)檢測(cè)出MD5值與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配時(shí),可以確定當(dāng)前虛擬機(jī)中存在逃逸行為����,會(huì)對(duì)宿主機(jī)造成安全威脅,需要對(duì)該逃逸行為進(jìn)行及時(shí)防護(hù)����,并輸出提示信息,用于提示用戶當(dāng)前虛擬機(jī)中存在逃逸行為��,并已對(duì)其進(jìn)行安全防護(hù)����。
[0035]本發(fā)明實(shí)施例提供的一種虛擬機(jī)逃逸的檢測(cè)方法,首先獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件;然后計(jì)算所述二進(jìn)制文件對(duì)應(yīng)的MD5值;最后檢測(cè)所述MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配��,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值;若是�,則確定存在虛擬機(jī)逃逸。本發(fā)明通過對(duì)虛擬機(jī)當(dāng)前執(zhí)行的二進(jìn)制文件對(duì)應(yīng)的MD5值����,具體檢測(cè)是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配,可以判斷出虛擬機(jī)是否存在逃逸����,進(jìn)而可以及時(shí)檢測(cè)出虛擬機(jī)的逃逸行為,以便進(jìn)行安全防護(hù)���。
[0036]本發(fā)明實(shí)施例提供了另一種虛擬機(jī)逃逸的檢測(cè)方法�,如圖2所示���,所述方法包括:
[0037]201���、獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件。
[0038]其中���,所述二進(jìn)制文件的概念解釋可以參考步驟101中的相應(yīng)描述���,在此不再贅述��。
[0039]需要說明的是��,對(duì)于本發(fā)明實(shí)施例的執(zhí)行主體可以為安裝在虛擬機(jī)中的輕代理客戶端�����,用于對(duì)虛擬機(jī)的逃逸行為進(jìn)行監(jiān)控���。
[0040]202、計(jì)算二進(jìn)制文件對(duì)應(yīng)的MD5值��。
[0041 ] 203����、檢測(cè)MD5值是否與預(yù)設(shè)逃逸列表中的預(yù)置MD5值匹配。
[0042]其中�����,所述預(yù)設(shè)逃逸列表中保存有不同逃逸文件分別對(duì)應(yīng)的預(yù)置MD5值���。
[0043]進(jìn)一步地����,在執(zhí)行所述步驟203之后,還可以包括:若檢測(cè)出二進(jìn)制文件對(duì)應(yīng)的MD5值與預(yù)設(shè)逃逸列表中的預(yù)置MD5值不匹配����,則提取所述二進(jìn)制文件中的關(guān)鍵片段信息;檢測(cè)所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度是否大于或等于預(yù)設(shè)閾值;若是����,則確定存在虛擬機(jī)逃逸。其中����,所述關(guān)鍵片段信息中包含多個(gè)關(guān)鍵片段,所述預(yù)置關(guān)鍵片段信息中包含多個(gè)預(yù)置關(guān)鍵片段����,所述預(yù)置關(guān)鍵片段為可以確定存在逃逸行為的關(guān)鍵片段,具體可以根據(jù)實(shí)際需求進(jìn)行配置�。所述預(yù)設(shè)閾值可以按照用戶的實(shí)際需求進(jìn)行配置,也可以由系統(tǒng)默認(rèn)進(jìn)行配置����,本發(fā)明實(shí)施例不做限定。
[0044]例如����,提取的二進(jìn)制文件的關(guān)鍵片段信息中包含100個(gè)關(guān)鍵片段�����,預(yù)設(shè)閾值為70%����,將該關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息進(jìn)行匹配��,當(dāng)檢測(cè)出75個(gè)關(guān)鍵片段與預(yù)置關(guān)鍵片段信息中的關(guān)