Lepsza ochrona przed rootkitami
Xuxian Jiang i Peng Ning z North Carolina State University (NCSU) we współpracy z Windongiem Cui z Microsoft Research opracowali metodę skuteczniejszej ochrony jąder systemów operacyjnych przed rootkitami.
Wiele rootkitów ukrywa się przed użytkownikiem przejmując kontrolę nad hookami w jądrze systemu. Istotną sprawą jest ochrona hooków przed takim działaniem, jednak problem w tym, że w jądrze systemu mogą ich być tysiące, a ponadto wiele z nich jest dynamicznie alokowanych.
Specjaliści opracowali system nazwany HookSafe, który wykorzystuje hyperwizora do zarządzania hookami. Umożliwia on przeniesienie hooków do określonego obszaru pamięci i regulowanie dostępu do nich z poziomu sprzętowego. Prototyp HookSafe jest w stanie chronić ponad 5900 hooków w jądrze Linuksa. Testy na dziewięciu rootkitach wykazały, że system był w stanie ochronić jądro przed wszystkimi. Taki poziom ochrony uzyskano kosztem 6-procentowego spadku wydajności systemu.
Komentarze (2)
dk.log, 5 listopada 2009, 00:46
Bardzo przekonujące... zachęcające...
Czy da się to już zainstalowac??
Jesli tak to skąd?? Może jakieś repo??
Swoją drogą ciekawe nazewnictwo poziomu user'a - może zamiast newbie poprostu noob??
Mariusz Błoński, 5 listopada 2009, 01:33
Za tydzień podczas 16th ACM Conference on Computer and Communications Security odbędzie się oficjalna prezentacja wyników prac badawczych. Może wtedy udostępnią kod.