• شماره ركورد
    17223
  • شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
    17223
  • پديد آورنده

    فاطمه جمشيدي نيا

  • عنوان
    ارائه روشي براي كشف روت كيت ها مبتني بر درون بيني ماشين مجازي
  • مقطع تحصيلي
    كارشناسي ارشد
  • رشته تحصيلي
    نرم افزار
  • تاريخ دفاع
    اسفند 1395
  • استاد راهنما
    دكتر سعيد پارسا
  • دانشكده
    كامپيوتر
  • چكيده
    روت‌كيت هاي سطح هسته، به¬دليل رفتار پنهان¬كارانه خود، به تهديدات امنيتي جدي تبديل شده¬اند. اغلب روت¬كيت¬هاي سطح هسته، با قلاب¬اندازي اشاره¬گرهاي تابع موجود در هسته سيستم¬عامل، جريان كنترل سيستم را تغيير داده و به اهداف پنهان¬كارانه خود دست مي¬يابند. بررسي¬ها نشان مي¬دهد اكثر روش¬هاي ضدروت¬كيتي كه يكپارچگي اشاره¬گرهاي تابع موجود در حافظه هسته سيستم را بررسي مي¬كنند حافظه پوياي هسته را كه هدف حمله روت¬كيت¬هاي پيشرفته هستند، بررسي نمي¬كنند. از طرف ديگر روت¬كيت-هاي سطح هسته قادر به دستكاري ساختارهاي هسته سيستم¬عامل بوده و مي¬توانند در كار نرم¬افزارهاي ضد بدافزاري اختلال ايجاد كنند. بنابراين ابزارهاي كشف روت¬كيت پيشين، كه در داخل ماشين ميزباني كه آن را محافظت مي¬كنند، اجرا مي¬شوند، در برابر تغيير و دور زدن، آسيب¬پذير هستند. بنابراين در روش¬هاي اخير كشف بدافزارها از روش¬هاي مبتني بر نظارت ماشين مجازي در سطح ناظر ممتاز استفاده مي شود كه قادرند بدون دخالت بدافزارهاي ماشين مجازي، وضعيت سيستم در حال اجرا را بررسي كنند. در اين پايان نامه، روشي مبتني بر درون¬بيني ماشين مجازي، به¬منظور كشف روت¬كيت¬هايي كه با استفاده از راهكار تغيير جريان كنترل سيستم سعي در مخفي نمودن خود و بدافزارهاي جانبي‌شان در حافظه اصلي دارند، ارائه شده است. در روش پيشنهادي، تلاش مي¬شود با استفاده از درون¬بيني ماشين مجازي، اشاره¬گرهاي تابع در نواحي حافظه هسته سيستم¬عامل كه بيشترين هدف روت¬كيت¬ها هستند استخراج شده و در سطح ناظر ممتاز، يكپارچگي آن¬ها بررسي شود. روش پيشنهادي با يك مجموعه از روت¬كيت-هاي شناخته شده كه از روش¬هاي پيشرفته قلاب¬اندازي استفاده مي¬كنند، ارزيابي شده و قادر است همه آن¬ها را شناسايي كند.
  • تاريخ ورود اطلاعات
    1396/02/12
  • تاريخ بهره برداري
    1/1/1900 12:00:00 AM
  • دانشجوي وارد كننده اطلاعات

    فاطمه جمشيدي نيا

  • چكيده به لاتين
    Kernel rootkits have posed serious security threats due to their stealthy manner. To hide their presence an​d activities, many rootkits hijack control flows by modifying control data o​r hooks in the kernel space function pointers, especially those dynamically allocated from heaps an​d memory pools. These areas of kernel memory are currently not monitored by kernel integrity checkers. On the other hand, Traditional host-based detection tools execute inside the host they are protecting, therefore, since these tools execute within the kernel,they could be easily detected by the rootkits. To solve this problem, Current rootkit detection tools deploy virtual machine introspection technique that monitors the state of running virtual machine at hypervisor level, without rootkits interposition. The goal of this thesis is to present an approach based on virtual machine introspection, to detect rootkits which hide themselves an​d their associated malwares in main memory using modifying system control flow. The proposed approach monitors the integrity of Windows kernel function pointers that are potentially prone to malicious exploits, based entirely on virtual machine introspection. The approache is eva​luated with a set of rootkits which use advanced hooking techniques an​d show that it detects all of the stealth techniques utilized.
    • لينک به اين مدرک
    https://dl.iust.ac.ir/dl/search/default.aspx?Term=17223&Field=0&DTC=6