ارائه روشي براي كشف روت كيت ها مبتني بر درون بيني ماشين مجازي

روت‌كيت هاي سطح هسته، به دليل رفتار پنهان كارانه خود، به تهديدات امنيتي جدي تبديل شده اند. اغلب روت كيت هاي سطح هسته، با قلاب اندازي اشاره گرهاي تابع موجود در هسته سيستم عامل، جريان كنترل سيستم را تغيير داده و به اهداف پنهان كارانه خود دست مي يابند. بررسي ها نشان مي دهد اكثر روش هاي ضدروت كيتي كه يكپارچگي اشاره گرهاي تابع موجود در حافظه هسته سيستم را بررسي مي كنند حافظه پوياي هسته را كه هدف حمله روت كيت هاي پيشرفته هستند، بررسي نمي كنند. از طرف ديگر روت كيت هاي سطح هسته قادر به دست‌كاري ساختارهاي هسته سيستم عامل بوده و مي توانند در كار نرم افزارهاي ضد بدافزاري اختلال ايجاد كنند. بنابراين، ابزارهاي كشف روت كيت پيشين، كه در داخل ماشين ميزباني كه آن را محافظت مي كنند، اجرا مي شوند، در برابر تغيير و دور زدن، آسيب پذير هستند. بنابراين، در روش هاي اخير كشف بدافزارها از روش هاي مبتني بر نظارت ماشين مجازي در سطح ناظر ممتاز استفاده مي‌شود كه قادرند بدون دخالت بدافزارهاي ماشين مجازي، وضعيت سيستم در حال اجرا را بررسي كنند. هدف از اين پژوهش، ارائه روشي مبتني بر درون بيني ماشين مجازي، به منظور كشف روت كيت هايي است كه با استفاده از راهكار تغيير جريان كنترل سيستم سعي در مخفي نمودن خود و بدافزارهاي جانبي‌شان در حافظه اصلي دارند. روش پيشنهادي سعي دارد با استفاده از درون بيني ماشين مجازي، اشاره گرهاي تابع در نواحي حافظه هسته سيستم عامل كه بيشترين هدف روت كيت ها هستند را استخراج كرده و در سطح ناظر ممتاز، يكپارچگي آن ها را بررسي كند. روش پيشنهادي با يك مجموعه از روت كيت هاي شناخته شده كه از روش هاي پيشرفته قلاب اندازي استفاده مي كنند، ارزيابي شده و قادر است همه آن ها را شناسايي كند.