公开(公告)号：CN108446160A

公开(公告)日：2018-08-24

申请号：CN201810081591.8

申请日：2018-01-29

申请人： 中国电子科技网络信息安全有限公司

发明人： 马晓旭 ,  张玲 ,  饶志宏 ,  牛长喜 ,  陈佳昕 ,  金鑫

IPC分类号： G06F9/455 ,  G06F21/53

摘要： 本发明提供了一种虚拟机隐藏进程检测方法及系统，通过获取用户态进程视图、基于进程链表的内核视图和基于CPU调度的可信内核态进程视图三类视图，进行交叉对比，实现对虚拟机隐藏进程的有效检测。实施本发明，无需重新编译及加载Hypervisor，不影响云平台租户自身业务，同时能够有效检测针对内核对象进行直接修改以隐藏自身进程等行为，进一步提升了虚拟机隐藏进程检测的全面度、准确率和高效性。