Tappan Zee (north) bridge

“…Для сокращения этого разрыва применяется интроспекция виртуальных машин (virtual machine introspection, VMI) [8,9]. Современные подходы к интроспекции сопоставляют исходный код ядра ОС с выполняемыми инструкциями, чтобы получить сведения о расположении структур данных в памяти и их содержимом [10,11] или встраивают свои модули в гостевую систему [4]. Первый подход привязывает алгоритмы анализа к конкретным операционным системам и даже их недокументированным внутренним структурам, если исходные коды ОС недоступны.…”

“…Для построения профиля интроспекции применяются методы восстановления структур данных ядра. Такие методы можно разбить на 5 категорий: (1) с помощью компилятора [13,14], (2) с помощью отладчика [15,16], (3) с помощью гостевой программы [3,4,17,18,19], (4) с помощью бинарного анализа [20,21,22], (5) ручные подходы [23,24]. Первые две категории предполагают наличие у пользователя исходного кода ядра или отладочных символов в сборке, что может быть доступно не для всех систем.…”

“…Например, если изначально помечались данные из недоверенных источников, попадание пометки в счётчик команд может свидетельствовать о попытке перехвата управления. В открытом доступе есть два инструмента для полносистемного динамического анализа помеченных данных для архитектуры x86-64: DECAF [3] и Panda [4]. Оба инструмента основаны на эмуляторе QEMU и используют динамическую бинарную трансляцию для отслеживания пометок.…”

“…При этом инструменты характеризуются строгой ОС зависимостью и не обеспечивают необходимой в вопросах безопасности изоляции инструмента и предмета анализа. Среди систем, реализующих полносистемный анализ, можно выделить: Virtuoso [17], TEMU [30], DECAF [3,31], PANDA [4], PyREBox [32], PEMU [33]. Virtuoso [17] применяет внедряемую программу-агент для обращения к интересующим данным.…”

“…Для выделения из выполняющегося кода процессов, модулей, функций и других абстракций существуют методы интроспекции виртуальных машин [2]. В открытом доступе есть два инструмента для полносистемного динамического анализа помеченных данных для архитектуры x86-64: DECAF [3] и Panda [4]. Оба инструмента основаны на эмуляторе QEMU и используют динамическую бинарную трансляцию для отслеживания пометок.…”

Natch: using virtual machine introspection and taint analysis for detection attack surface of the software

“…Для сокращения этого разрыва применяется интроспекция виртуальных машин (virtual machine introspection, VMI) [8,9]. Современные подходы к интроспекции сопоставляют исходный код ядра ОС с выполняемыми инструкциями, чтобы получить сведения о расположении структур данных в памяти и их содержимом [10,11] или встраивают свои модули в гостевую систему [4]. Первый подход привязывает алгоритмы анализа к конкретным операционным системам и даже их недокументированным внутренним структурам, если исходные коды ОС недоступны.…”

“…Для построения профиля интроспекции применяются методы восстановления структур данных ядра. Такие методы можно разбить на 5 категорий: (1) с помощью компилятора [13,14], (2) с помощью отладчика [15,16], (3) с помощью гостевой программы [3,4,17,18,19], (4) с помощью бинарного анализа [20,21,22], (5) ручные подходы [23,24]. Первые две категории предполагают наличие у пользователя исходного кода ядра или отладочных символов в сборке, что может быть доступно не для всех систем.…”

“…Например, если изначально помечались данные из недоверенных источников, попадание пометки в счётчик команд может свидетельствовать о попытке перехвата управления. В открытом доступе есть два инструмента для полносистемного динамического анализа помеченных данных для архитектуры x86-64: DECAF [3] и Panda [4]. Оба инструмента основаны на эмуляторе QEMU и используют динамическую бинарную трансляцию для отслеживания пометок.…”

“…При этом инструменты характеризуются строгой ОС зависимостью и не обеспечивают необходимой в вопросах безопасности изоляции инструмента и предмета анализа. Среди систем, реализующих полносистемный анализ, можно выделить: Virtuoso [17], TEMU [30], DECAF [3,31], PANDA [4], PyREBox [32], PEMU [33]. Virtuoso [17] применяет внедряемую программу-агент для обращения к интересующим данным.…”

“…Для выделения из выполняющегося кода процессов, модулей, функций и других абстракций существуют методы интроспекции виртуальных машин [2]. В открытом доступе есть два инструмента для полносистемного динамического анализа помеченных данных для архитектуры x86-64: DECAF [3] и Panda [4]. Оба инструмента основаны на эмуляторе QEMU и используют динамическую бинарную трансляцию для отслеживания пометок.…”

Natch: using virtual machine introspection and taint analysis for detection attack surface of the software

Multi-layered Monitoring for Virtual Machines

Whiteboxgrind – Automated Analysis of Whitebox Cryptography