|
|
|
|
ارائه روشی برای کشف روت کیت ها مبتنی بر درون بینی ماشین مجازی
|
|
|
|
|
|
|
|
نویسنده
|
پارسا سعید ,جمشیدی نیا فاطمه
|
|
منبع
|
پدافند غيرعامل - 1398 - دوره : 10 - شماره : 2 - صفحه:33 -42
|
|
|
|
|
چکیده
|
روتکیت های سطح هسته، به دلیل رفتار پنهان کارانه خود، به تهدیدات امنیتی جدی تبدیل شده اند. اغلب روت کیت های سطح هسته، با قلاب اندازی اشاره گرهای تابع موجود در هسته سیستم عامل، جریان کنترل سیستم را تغییر داده و به اهداف پنهان کارانه خود دست می یابند. بررسی ها نشان می دهد اکثر روش های ضدروت کیتی که یکپارچگی اشاره گرهای تابع موجود در حافظه هسته سیستم را بررسی می کنند حافظه پویای هسته را که هدف حمله روت کیت های پیشرفته هستند، بررسی نمی کنند. از طرف دیگر روت کیت های سطح هسته قادر به دستکاری ساختارهای هسته سیستم عامل بوده و می توانند در کار نرم افزارهای ضد بدافزاری اختلال ایجاد کنند. بنابراین، ابزارهای کشف روت کیت پیشین، که در داخل ماشین میزبانی که آن را محافظت می کنند، اجرا می شوند، در برابر تغییر و دور زدن، آسیب پذیر هستند. بنابراین، در روش های اخیر کشف بدافزارها از روش های مبتنی بر نظارت ماشین مجازی در سطح ناظر ممتاز استفاده میشود که قادرند بدون دخالت بدافزارهای ماشین مجازی، وضعیت سیستم در حال اجرا را بررسی کنند. هدف از این پژوهش، ارائه روشی مبتنی بر درون بینی ماشین مجازی، به منظور کشف روت کیت هایی است که با استفاده از راهکار تغییر جریان کنترل سیستم سعی در مخفی نمودن خود و بدافزارهای جانبیشان در حافظه اصلی دارند. روش پیشنهادی سعی دارد با استفاده از درون بینی ماشین مجازی، اشاره گرهای تابع در نواحی حافظه هسته سیستم عامل که بیشترین هدف روت کیت ها هستند را استخراج کرده و در سطح ناظر ممتاز، یکپارچگی آن ها را بررسی کند. روش پیشنهادی با یک مجموعه از روت کیت های شناخته شده که از روش های پیشرفته قلاب اندازی استفاده می کنند، ارزیابی شده و قادر است همه آن ها را شناسایی کند.
|
|
کلیدواژه
|
روتکیت، درونبینی ماشین مجازی، قلاباندازی، اشارهگرهای تابع
|
|
آدرس
|
دانشگاه علم و صنعت ایران, دانشکده مهندسی کامپیوتر, ایران, دانشگاه علم و صنعت ایران, دانشکده مهندسی کامپیوتر, ایران
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
An approach to rootkit detection based on virtual machine introspection
|
|
|
|
|
Authors
|
|
|
Abstract
|
Kernel rootkits have posed serious security threats due to their stealthy manner. To hide their presence and activities, many rootkits hijack control flows by modifying control data or hooks in the kernel space function pointers, especially those dynamically allocated from heaps and memory pools. These areas of kernel memory are currently not monitored by kernel integrity checkers. On the other hand, traditional hostbased detection tools are executed inside the host they are protecting, therefore, since these tools are executed within the kernel, they could be easily detected by the rootkits. To solve this problem, current rootkit detection tools deploy virtual machine introspection technique that monitors the state of running virtual machine at hypervisor level, without rootkits interposition. The goal of this thesis is to present an approach based on virtual machine introspection, to detect rootkits which hide themselves and their associated malwares in the main memory using system control flow modification. The proposed approach monitors the integrity of windows kernel function pointers that are potentially prone to malicious exploits, based entirely on virtual machine introspection. This approach is evaluated with a set of rootkits which use advanced hooking techniques and it is shown that it detects all of the stealth techniques utilized
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|