Virtual mashinaning introspektsiyasi - Virtual machine introspection

Hisoblashda, virtual mashinaning introspektsiyasi (VMI) - bu "monitoringni o'tkazish texnikasi ish vaqti tizim darajasining holati virtual mashina (VM) "deb nomlangan, bu disk raskadrovka yoki sud ekspertizasi uchun foydalidir.[1][2]

Atama introspektsiya Garfinkel va Rozenblum tomonidan virtual mashinalarda qo'llanilgan.[3] Ular "xavfsizlik dasturini zararli dasturiy ta'minot hujumidan himoya qilish" usulini ixtiro qildilar va uni VMI deb atashdi. Endi VMI turli xil virtual mashinalar sud ekspertizasi va tahlil usullari uchun keng tarqalgan atama hisoblanadi. VMI-ga asoslangan yondashuvlar xavfsizlik dasturlari, dasturiy ta'minotni tuzatish va tizimlarni boshqarish uchun keng qo'llaniladi.[1]

VMI vositalari virtual mashinaning ichida yoki tashqarisida joylashgan bo'lishi va voqealarni kuzatish orqali harakat qilishi mumkin (uzilishlar, xotira yozadi va hokazo) yoki so'rovlarni virtual mashinaga yuborish. Virtual kompyuter monitor odatda xotiraning xom baytlari kabi past darajadagi ma'lumotlarni taqdim etadi. Ushbu past darajadagi ko'rinishni foydalanuvchi uchun mazmunli narsaga aylantirish semantik bo'shliq muammo. Ushbu muammoni hal qilish nazorat qilinadigan tizimlarni tahlil qilishni va tushunishni talab qiladi.

VMI virtual mashinasida

VM ichida ishlaydigan dasturlar boshqa jarayonlar haqida ma'lumot berishi mumkin. Ushbu ma'lumotlar tarmoq interfeysi yoki ketma-ket port kabi ba'zi virtual qurilmalar orqali yuborilishi mumkin. In vivo jonli introspektsiya dasturlarining namunalari WinDbg[4]yoki GDB[5] masofadan disk raskadrovka bilan ishlaydigan serverlar.

Ushbu yondashuvning kamchiligi shundaki, u VM tizimida ishlashni talab qiladi. Agar OS to'xtab qolsa yoki hali yuklanmagan bo'lsa, introspection agenti ishlamay qoladi.

VMI virtual mashinadan tashqarida

VMI vositalari virtual kompyuter monitorida amalga oshirilishi mumkin[6][7] yoki alohida dastur sifatida[8]Virtual mashina monitoridan ma'lumotlarni (masalan, xotira tarkibini) ushlab turadigan va tizimdagi jarayonlarni tushunish uchun ushbu ma'lumotlarni izohlash kerak. Bunday talqin qilishning mashhur vositalaridan biri bu o'zgaruvchanlik doirasi.[9] Ushbu ramka ko'plab mashhur operatsion tizimlar uchun profillarni o'z ichiga oladi va jarayon daraxti yoki yadro ob'ektlari ro'yxati kabi turli xil ma'lumotlarni chiqarishi mumkin.

Adabiyotlar

  1. ^ a b https://link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_647 Kriptografiya va xavfsizlik ensiklopediyasi: virtual mashinaning introspektsiyasi
  2. ^ https://github.com/libvmi/libvmi LibVMI: soddalashtirilgan virtual mashinaning introspektsiyasi
  3. ^ https://suif.stanford.edu/papers/vmi-ndss03.pdf Hujumni aniqlash uchun virtual mashinaning introspektiv asosidagi arxitekturasi
  4. ^ https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/remode-debugging-using-windbg WinDbg yordamida masofadan disk raskadrovka
  5. ^ https://sourceware.org/gdb/onlinedocs/gdb/Server.html Gdbserver dasturidan foydalanish
  6. ^ https://wiki.xenproject.org/wiki/Virtual_Machine_Introspection Xen shahridagi VMI
  7. ^ https://dl.acm.org/citation.cfm?id=3122817 Intuziv bo'lmagan virtual mashinalar asboblari va introspektsiya uchun QEMU asosidagi tizim
  8. ^ https://github.com/Cisco-Talos/pyrebox Python-ning skriptli teskari muhandislik muhiti
  9. ^ https://github.com/volatilityfoundation/volatility Xotirani uchirish uchun yordamchi dastur