| کد مقاله | کد نشریه | سال انتشار | مقاله انگلیسی | نسخه تمام متن |
|---|---|---|---|---|
| 10342441 | 696078 | 2014 | 8 صفحه PDF | دانلود رایگان |
عنوان انگلیسی مقاله ISI
Robust Linux memory acquisition with minimal target impact
ترجمه فارسی عنوان
اکتساب حافظه قوی با حداقل تاثیر ضربه
دانلود مقاله + سفارش ترجمه
دانلود مقاله ISI انگلیسی
رایگان برای ایرانیان
کلمات کلیدی
پزشکی قانونی، گرفتن حافظه لینوکس، گرفتن حافظه، پاسخ حادثه، زنده ماندن
ترجمه چکیده
دریافت نرم افزار مبتنی بر حافظه در سیستم های مدرن معمولا نیاز به قرار دادن یک ماژول هسته در هسته در حال اجرا دارد. در لینوکس، ماژولهای هسته ای باید در برابر نسخه دقیق سرصفحه های هسته و پیکربندی دقیق هسته ای که برای ساختن هسته در حال اجرا اجرا می شود، کامپایل شوند. بدین ترتیب، بدست آوردن حافظه لینوکس به طور قابل توجهی پیچیده تر از سیستم عامل های دیگر است، زیرا تعدادی از تغییرات نسخه ها و تنظیمات هسته، به ویژه هنگام پاسخ دادن به حوادث. هسته لینوکس یک قسمتی از نسخه کرنل را نگه می دارد و به طور کلی از بارگیری یک ماژول که در برابر یک نسخه متفاوت هسته ای کامپایل شده است را رد می کند. اگر چه برخی از تکنیک ها برای لغو این چک وجود دارد، یک خطر ذاتی منجر به یک هسته ناپایدار و سقوط هسته امکان پذیر است. این مقاله روش جدیدی را برای ایمن سازی یک ماژول هسته پیش کامپایل شده برای دستیابی به طیف گسترده ای از نسخه های لینوکس و پیکربندی هسته ارائه می دهد. تکنیک ما یک ماژول جذب حداقل (انگل) را به یکی دیگر از ماژول هسته معتبر (میزبان) که در سیستم هدف یافت شده است تزریق می کند. سپس ماژول ترکیبی حاصل از آن به نحوی مجاز به اعطای کد و کنترل ساختارهای داده حیاتی به کد خرید می شود، در حالی که ماژول میزبان در طول زمان اجرا خاموش می شود.
موضوعات مرتبط
مهندسی و علوم پایه
مهندسی کامپیوتر
شبکه های کامپیوتری و ارتباطات
چکیده انگلیسی
Software based Memory acquisition on modern systems typically requires the insertion of a kernel module into the running kernel. On Linux, kernel modules must be compiled against the exact version of kernel headers and the exact kernel configuration used to build the currently executing kernel. This makes Linux memory acquisition significantly more complex in practice, than on other platforms due to the number of variations of kernel versions and configurations, especially when responding to incidents. The Linux kernel maintains a checksum of kernel version and will generally refuse to load a module which was compiled against a different kernel version. Although there are some techniques to override this check, there is an inherent danger leading to an unstable kernel and possible kernel crashes. This paper presents a novel technique to safely load a pre-compiled kernel module for acquisition on a wide range of Linux kernel versions and configuration. Our technique injects a minimal acquisition module (parasite) into another valid kernel module (host) already found on the target system. The resulting combined module is then relinked in such a way as to grant code execution and control over vital data structures to the acquisition code, whilst the host module remains dormant during runtime.
ناشر
Database: Elsevier - ScienceDirect (ساینس دایرکت)
Journal: Digital Investigation - Volume 11, Supplement 1, May 2014, Pages S112-S119
Journal: Digital Investigation - Volume 11, Supplement 1, May 2014, Pages S112-S119
نویسندگان
Johannes Stüttgen, Michael Cohen,