Виртуалды машинаның интроспекциясы - Virtual machine introspection

Есептеу кезінде, виртуалды машинаның интроспекциясы (VMI) - бұл мониторингтің әдістемесі жұмыс уақыты жүйе деңгейінің күйі виртуалды машина (VM) «, ол түзетуге немесе сот-медициналық сараптамаға пайдалы.[1][2]

Термин интроспекция Гарфинкель мен Розенблюм виртуалды машиналарға қолдануды енгізді.[3] Олар «қауіпсіздік бағдарламасын зиянды бағдарламалық жасақтама шабуылынан қорғау» тәсілін ойлап тапты және оны VMI деп атады. Қазір VMI әр түрлі виртуалды машиналық криминалистика және талдау әдістерінің жалпы термині болып табылады. VMI негізіндегі тәсілдер қауіпсіздік қосымшалары, бағдарламалық жасақтаманы жөндеу және жүйені басқару үшін кеңінен қолданылады.[1]

VMI құралдары виртуалды машинаның ішінде немесе сыртында орналасуы мүмкін және оқиғаларды бақылау арқылы әрекет етуі мүмкін (үзілістер, жад жазады және т.б.) немесе виртуалды машинаға сұраныстар жіберу. Виртуалды машиналық монитор әдетте жадының бастапқы байттары сияқты төмен деңгейлі ақпаратты ұсынады. Бұл төмен деңгейлі көріністі пайдаланушы үшін мағыналы нәрсеге айналдыру ретінде белгілі мағыналық алшақтық проблема. Бұл мәселені шешу бақыланатын жүйелерді талдауды және түсінуді қажет етеді.

Виртуалды машинадағы VMI

VM ішінде жұмыс істейтін бағдарламалар басқа процестер туралы ақпарат бере алады. Бұл ақпарат желілік интерфейс немесе сериялық порт сияқты кейбір виртуалды құрылғылар арқылы жіберілуі мүмкін. In vivo интроспекция бағдарламаларының мысалдары келтірілген WinDbg[4]немесе GDB[5] қашықтан түзеткішпен өзара әрекеттесетін серверлер.

Бұл тәсілдің кемшілігі мынада, ол VM ішінде ОЖ-нің жұмыс істеуін қажет етеді. Егер ОС ілулі болса немесе әлі жүктелмеген болса, интроспекция агенті жұмыс істей алмайды.

VMI виртуалды машинадан тыс

VMI құралдары виртуалды машина мониторында жүзеге асырылуы мүмкін[6][7] немесе жеке бағдарламалар ретінде[8]виртуалды компьютер мониторынан ақпаратты (мысалы, жад мазмұнын) түсіретін, содан кейін бұл жүйеде процестерді түсіну үшін интерпретациялау керек. Мұндай интерпретацияның танымал құралдарының бірі - құбылмалылық шеңбері.[9] Бұл құрылым көптеген әйгілі операциялық жүйелерге арналған профильдерді қамтиды және процесс ағашы немесе ядро ​​нысандарының тізімі сияқты әртүрлі ақпаратты шығаруы мүмкін.

Әдебиеттер тізімі

  1. ^ а б https://link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_647 Криптография және қауіпсіздік энциклопедиясы: виртуалды машинаның интроспекциясы
  2. ^ https://github.com/libvmi/libvmi LibVMI: Виртуалды машинаның қарапайымдылығы
  3. ^ https://suif.stanford.edu/papers/vmi-ndss03.pdf Интернетке кіруді анықтауға арналған виртуалды машинаның интроспекциясына негізделген сәулет
  4. ^ https://docs.microsoft.com/kk-us/windows-hardware/drivers/debugger/remode-debugging-using-windbg WinDbg көмегімен қашықтан түзету
  5. ^ https://sourceware.org/gdb/onlinedocs/gdb/Server.html Gdbserver бағдарламасын пайдалану
  6. ^ https://wiki.xenproject.org/wiki/Virtual_Machine_Introspection Ксендегі VMI
  7. ^ https://dl.acm.org/citation.cfm?id=3122817 Интрузивті емес виртуалды машиналық құралдар мен интроспекцияға арналған QEMU негіздері
  8. ^ https://github.com/Cisco-Talos/pyrebox Python сценарийі бар кері инженерлік құм жәшігі
  9. ^ https://github.com/volatilityfoundation/volatility Тұрақты жадыны шығарудың қызметтік бағдарламасы