ارائه روشی برای کشف روت کیت ها مبتنی بر درون بینی ماشین مجازی
Publish place: Inactive Defense Magazine، Vol: 10، Issue: 2
Publish Year: 1398
نوع سند: مقاله ژورنالی
زبان: Persian
View: 378
This Paper With 10 Page And PDF Format Ready To Download
- Certificate
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
JR_SAPD-10-2_003
تاریخ نمایه سازی: 1 مهر 1398
Abstract:
روت کیتهای سطح هسته، بهدلیل رفتار پنهانکارانه خود، به تهدیدات امنیتی جدی تبدیل شدهاند. اغلب روتکیتهای سطح هسته، با قلاباندازی اشارهگرهای تابع موجود در هسته سیستمعامل، جریان کنترل سیستم را تغییر داده و به اهداف پنهانکارانه خود دست مییابند. بررسیها نشان میدهد اکثر روشهای ضدروتکیتی که یکپارچگی اشارهگرهای تابع موجود در حافظه هسته سیستم را بررسی میکنند حافظه پویای هسته را که هدف حمله روتکیتهای پیشرفته هستند، بررسی نمیکنند. از طرف دیگر روتکیتهای سطح هسته قادر به دست کاری ساختارهای هسته سیستمعامل بوده و میتوانند در کار نرمافزارهای ضد بدافزاری اختلال ایجاد کنند. بنابراین، ابزارهای کشف روتکیت پیشین، که در داخل ماشین میزبانی که آن را محافظت میکنند، اجرا میشوند، در برابر تغییر و دور زدن، آسیبپذیر هستند. بنابراین، در روشهای اخیر کشف بدافزارها از روشهای مبتنی بر نظارت ماشین مجازی در سطح ناظر ممتاز استفاده می شود که قادرند بدون دخالت بدافزارهای ماشین مجازی، وضعیت سیستم در حال اجرا را بررسی کنند. هدف از این پژوهش، ارائه روشی مبتنی بر درونبینی ماشین مجازی، بهمنظور کشف روتکیتهایی است که با استفاده از راهکار تغییر جریان کنترل سیستم سعی در مخفی نمودن خود و بدافزارهای جانبی شان در حافظه اصلی دارند. روش پیشنهادی سعی دارد با استفاده از درونبینی ماشین مجازی، اشارهگرهای تابع در نواحی حافظه هسته سیستمعامل که بیشترین هدف روتکیتها هستند را استخراج کرده و در سطح ناظر ممتاز، یکپارچگی آنها را بررسی کند. روش پیشنهادی با یک مجموعه از روتکیتهای شناخته شده که از روشهای پیشرفته قلاباندازی استفاده میکنند، ارزیابی شده و قادر است همه آنها را شناسایی کند.
Keywords:
Authors
سعید پارسا
دانشگاه علم و صنعت ایران
فاطمه جمشیدی نیا
دانشگاه علم و صنعت ایران
مراجع و منابع این Paper:
لیست زیر مراجع و منابع استفاده شده در این Paper را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود Paper لینک شده اند :