Sanal makine iç gözlem - Virtual machine introspection

Hesaplamada, sanal makine iç gözlem (VMI), " Çalışma süresi sistem düzeyinin durumu sanal makine (VM) ", hata ayıklama veya adli analiz için yararlıdır.[1][2]

Dönem iç gözlem sanal makinelere uygulamada ise Garfinkel ve Rosenblum tarafından tanıtıldı.[3] "Bir güvenlik uygulamasını kötü amaçlı yazılımların saldırılarından korumak" için bir yaklaşım icat ettiler ve buna VMI adını verdiler. Artık VMI, farklı sanal makine adli tıp ve analiz yöntemleri için ortak bir terimdir. VMI tabanlı yaklaşımlar, güvenlik uygulamaları, yazılım hata ayıklama ve sistem yönetimi için yaygın olarak kullanılmaktadır.[1]

VMI araçları, sanal makinenin içine veya dışına yerleştirilebilir ve olayları izleyerek hareket edebilir (keser, bellek yazar vb.) veya istekleri sanal makineye gönderebilir. Sanal makine monitörü genellikle belleğin ham baytları gibi düşük seviyeli bilgiler sağlar. Bu düşük düzeyli görüşü kullanıcı için anlamlı bir şeye dönüştürmek, anlamsal boşluk sorun. Bu sorunu çözmek, izlenmekte olan sistemlerin analiz edilmesini ve anlaşılmasını gerektirir.

Sanal makine içindeki VMI

VM içinde çalışan programlar, diğer işlemler hakkında bilgi sağlayabilir. Bu bilgiler ağ arabirimi veya seri bağlantı noktası gibi bazı sanal aygıtlar aracılığıyla gönderilebilir. In vivo iç gözlem programlarının örnekleri şunlardır: WinDbg[4]veya GDB[5] uzaktan hata ayıklayıcıyla etkileşim kuran sunucular.

Bu yaklaşımın dezavantajı, VM içinde çalışan bir işletim sistemi gerektirmesidir. İşletim sistemi kilitleniyorsa veya henüz yüklenmemişse, iç gözlem aracısı çalışamaz.

Sanal makinenin dışındaki VMI

VMI araçları, sanal makine monitöründe uygulanabilir[6][7] veya ayrı programlar olarak[8]Bu, sanal makine monitöründen bilgileri (örneğin, belleğin içeriği) yakalar.Sonra bu veriler, sistemdeki süreçleri anlamak için yorumlanmalıdır. Bu tür yorumlar için popüler araçlardan biri Volatilite çerçevesidir.[9] Bu çerçeve, birçok popüler işletim sistemi için profiller içerir ve işlem ağacı veya çekirdek nesnelerinin listesi gibi farklı bilgileri çıkarabilir.

Referanslar

  1. ^ a b https://link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_647 Şifreleme ve Güvenlik Ansiklopedisi: Sanal Makine İç Gözlem
  2. ^ https://github.com/libvmi/libvmi LibVMI: Basitleştirilmiş Sanal Makine İç Gözlemi
  3. ^ https://suif.stanford.edu/papers/vmi-ndss03.pdf Saldırı Tespiti için Sanal Makine İç Gözlem Tabanlı Mimari
  4. ^ https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/remode-debugging-using-windbg WinDbg Kullanarak Uzaktan Hata Ayıklama
  5. ^ https://sourceware.org/gdb/onlinedocs/gdb/Server.html Gdbserver Programını Kullanma
  6. ^ https://wiki.xenproject.org/wiki/Virtual_Machine_Introspection Xen'de VMI
  7. ^ https://dl.acm.org/citation.cfm?id=3122817 Müdahaleci olmayan sanal makine enstrümantasyonu ve iç gözlem için QEMU tabanlı çerçeve
  8. ^ https://github.com/Cisco-Talos/pyrebox Python için komut dosyası yazılabilir Tersine Mühendislik korumalı alanı
  9. ^ https://github.com/volatilityfoundation/volatility Geçici bellek çıkarma yardımcı programı çerçevesi