ارائه روشی برای کشف روت کیت ها مبتنی بر درون بینی ماشین مجازی

سال انتشار: 1398
نوع سند: مقاله ژورنالی
زبان: فارسی
مشاهده: 515

فایل این مقاله در 10 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

شناسه ملی سند علمی:

JR_SAPD-10-2_003

تاریخ نمایه سازی: 1 مهر 1398

چکیده مقاله:

 روت کیت­های سطح هسته، به­دلیل رفتار پنهان­کارانه خود، به تهدیدات امنیتی جدی تبدیل شده­اند. اغلب روت­کیت­های سطح هسته، با قلاب­اندازی اشاره­گرهای تابع موجود در هسته سیستم­عامل، جریان کنترل سیستم را تغییر داده و به اهداف پنهان­کارانه خود دست می­یابند. بررسی­ها نشان می­دهد اکثر روش­های ضدروت­کیتی که یکپارچگی اشاره­گرهای تابع موجود در حافظه هسته سیستم را بررسی می­کنند حافظه پویای هسته را که هدف حمله روت­کیت­های پیشرفته هستند، بررسی نمی­کنند. از طرف دیگر روت­کیت­های سطح هسته قادر به دست کاری ساختارهای هسته سیستم­عامل بوده و می­توانند در کار نرم­افزارهای ضد بدافزاری اختلال ایجاد کنند. بنابراین، ابزارهای کشف روت­کیت پیشین، که در داخل ماشین میزبانی که آن را محافظت می­کنند، اجرا می­شوند، در برابر تغییر و دور زدن، آسیب­پذیر هستند. بنابراین، در روش­های اخیر کشف بدافزارها از روش­های مبتنی بر نظارت ماشین مجازی در سطح ناظر ممتاز استفاده می شود که قادرند بدون دخالت بدافزارهای ماشین مجازی، وضعیت سیستم در حال اجرا را بررسی کنند. هدف از این پژوهش، ارائه روشی مبتنی بر درون­بینی ماشین مجازی، به­منظور کشف روت­کیت­هایی است که با استفاده از راهکار تغییر جریان کنترل سیستم سعی در مخفی نمودن خود و بدافزارهای جانبی شان در حافظه اصلی دارند. روش پیشنهادی سعی دارد با استفاده از درون­بینی ماشین مجازی، اشاره­گرهای تابع در نواحی حافظه هسته سیستم­عامل که بیشترین هدف روت­کیت­ها هستند را استخراج کرده و در سطح ناظر ممتاز، یکپارچگی آن­ها را بررسی کند. روش پیشنهادی با یک مجموعه از روت­کیت­های شناخته شده که از روش­های پیشرفته قلاب­اندازی استفاده می­کنند، ارزیابی شده و قادر است همه آن­ها را شناسایی کند.

کلیدواژه ها:

روت کیت ، درون بینی ماشین مجازی ، قلاب اندازی ، اشاره گرهای تابع

نویسندگان

سعید پارسا

دانشگاه علم و صنعت ایران

فاطمه جمشیدی نیا

دانشگاه علم و صنعت ایران

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :
  • C.-M. Chen, et al., A Methodology for Hook-Based Kernel Level ...
  • Z. Wang, et al., |Countering persistent kernel rootkits through systematic ...
  • H. Yin, et al., HookScout: proactive binary-centric hook detection,  International ...
  • G. Yan, et al., MOSKG: countering kernel rootkits with a ...
  • S. Vomel and L. Hermann, Visualizing indicators of Rootkit infections ...
  • M. Carbone, et al., Mapping kernel objects to enable systematic ...
  • J. Butler and H. Greg, VICE-Catch the hookers!(Plus new rootkit ...
  • IceSword, http://www.antirootkit.com/software/IceSword.htm ...
  • Jr. Petroni, L. Nick, and M. Hicks, Automated detection of ...
  • A. Baliga, V. Ganapathy, and L. Iftode, Automatic Inference and ...
  • http://www.sans.org/course/memory-forensics-in-depth.%22memory-forensics-in-depth%20%22.2014 ...
  • Z. Wang, X. Jiang, W. Cui, and P. Ning, Countering ...
  • F. Yangchun, Z. Lin, and D. Brumley, Automatically deriving pointer ...
  • C. Weng, et al., CloudMon: Monitoring Virtual Machines in Clouds, ...
  • A. Bianchi, et al., Blacksheep: detecting compromised hosts in homogeneous ...
  • H. Yin, Z. Liang, and D. Song, |HookFinder: Identifying and ...
  • I. Ahmed, et al., Integrity checking of function pointers in ...
  • S. Sparks, E. Shawn, and Z. Cliff, Windows Rootkits-a Game ...
  • Y. Liu, et al., Concurrent and consistent virtual machine introspection ...
  • A. Prakash, et al., On the Trustworthiness of Memory Analysis—An ...
  • M. H. Ligh, A. Case, J. Levy, and A. Walters, ...
  • rootkit.com, http://www.rootkit.com/ ...
  • نمایش کامل مراجع