Intel TDT检测:英特尔®威胁检测技术(TDT),使用 GPU 扫描内存中的恶意软件,GPU加速,CPU 利用率从 20%降至 2%。
挖矿检测:PMU监视的重复数学计算,当恶意软件的算力达到某个阈值时,PMU就会生成预警信号,由机器学习引擎进行分析,确定该活动是否与加密货币矿工相关。
优势1:可以检测伪造CPU利用率高的挖矿木马
优势2:不受恶意软件常用的反分析技术(例如代码混淆或内存解密等手段)的影响
英特尔处理器的片上( on-chip)性能监视单元( PMU,Performance Monitoring Unit)通过采样硬件事件实现以极低的开销提高数据收集能力。因此,高级热点分析可以用PMU来识别很小的性能瓶颈并发现快速函数的性能瓶颈。
数据采集使用的PMU,然后我看到Stack Overflow上提了下pmu使用:
TDT给的一个数据采集示例:
https://github.com/JUSDJTIN/lib-tdt/blob/master/Application/library/configuration/linux/telemetry_collect_tdtlib.profile
该站点为英特尔性能监控单元 (PMU) 支持的性能监控事件提供参考。PMU 是内置于处理器内部的硬件,用于测量其性能参数,例如指令周期、高速缓存命中、高速缓存未命中、分支未命中等。性能监控事件提供了表征编程指令序列和微体系结构子系统之间交互的工具.
性能分析工具(例如英特尔® VTune™ Profiler)积极使用性能监控事件,这些工具提供基于事件的采样微架构分析类型,以了解代码如何有效地使用硬件资源并推荐相关的优化技术。
列出的事件是可以使用 Intel® 64 或 IA-32 处理器监控的性能监控事件。监控性能事件的能力和这些处理器中可以监控的事件大多是特定于模型的,除了单独列出的架构性能事件。
这些性能监控事件旨在用作性能调整的指南。性能监控事件报告的计数器值是近似值,被认为可用作调整软件的相关指南。在适用的情况下记录已知的差异。
给定处理器未记录的所有性能事件编码都被视为保留,并且它们的使用将导致未定义的计数器更新以及相关的溢出操作。
我们随便看一个CPU系列的数据吧,更全的可以看官网:
。。。还有更多。。。
针对TDT,我们再看下其api接口,以C++为例:
Original: https://www.cnblogs.com/bonelee/p/16542805.html
Author: bonelee
Title: Intel TDT检测 & PMU数据采集分析——todo,待使用实际恶意样本跑数据分析效果
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/8371/
转载文章受原作者版权保护。转载请注明原作者出处!