سال انتشار: ۱۳۹۱

محل انتشار: پانزدهمین کنفرانس دانشجویی مهندسی برق ایران

تعداد صفحات: ۸

نویسنده(ها):

حماد افضلی – آزمایشگاه امنیت سیستم عامل، دانشگاه الزهرا، تهران
رضا عزمی – گروه مهندسی کامپیوتر، دانشکده فنی، دانشگاه الزهرا، تهران
حامد نعمتی – دانشکده علوم کامپیوتر و ارتباطات، دانشگاه KTH استکهلم، سوئد

چکیده:

بسیاری از دادههای حافظه حاوی اشیا حیاتی هسته سیستم عامل است و همواره یکی از مهمترین اهداف مهاجمان و نفوذگران سیستم هستند. بنابراین داشتن یک دید مورد اعتماد و دقیق از وضعیت فعلی حافظه (فرایندهای اجرایی، فعالیتهای شبکه، فایلهای باز، ماژولهای بارگذاری) میتواند یک راهکار شناسایی و مقابله با حملات سطح هسته باشد. تاکنون روشهایی در این زمینه ارائه شده که اغلب قابلیت توسعه برای بازسازی هر داده ی دلخواه را نداشته و از سویی در جمع آوری و تحلیل دادهها به ماژولهای ناامن سطح هسته متکی هستند در این مقاله یک روش بازسازی پویا دادههای حافظه (DYMER)ارائه میشود که به صورت آنلاین به بازسازی ساختار دادهها و ثباتهای حیاتی سیستم می پردازد. این ابزار با استفاده از گراف وابستگی دادههای هسته و دیباگ کردن کد هسته میتواند به ردیابی مسیر جریان داده بپردازد. امکان توسعه DYMER در بازسازی حجم وسیعی از دادههای حیاتی هسته میتواند در ابزارهای تحلیل رفتار زمان اجرا و تشخیص روتکیت مورد استفاده قرار گیرد. پیاده سازی و ارزیابی اولیه DYMER نشان میدهد که کارایی و دقت آن مورد قبول بوده و قادر به معنا بخشی دقیق به ثباتها و دادههای حافظه در لایه ناظر ماشین مجازی است.