Please enable JavaScript.

Coggle requires JavaScript to display documents.

CHƯƠNG 3 - Coggle Diagram

- - - - Để thực hiện các cuộc tấn công mạng: socket, bind, kết nối, gửi
      - Để xóa / ghi đè tệp: hủy liên kết, mở, ghi
  - - - tien trình gọi: ptrace (…, pid_t pid,…)
      - và thức dậy khi pid gọi hệ thống.
  - - - màn hình phân nhánh va màn hình phân nhánh ứng dụng
    - - dir làm việc hiện tại (CWD), UID, EUID, GID
      - Khi ứng dụng thực hiện “cd path”
  - - - Example: symlink: me ⟶ mydata.dat
      - Lỗi TOCTOU cổ điển: thời gian kiểm tra / thời gian sử dụng
    - - Theo dõi tất cả các cuộc gọi hệ thống hoặc không có cuộc gọi nào
        
        không hiệu quả: không cần theo dõi lệnh gọi hệ thống "đóng"
      - Màn hình không thể hủy bỏ cuộc gọi hệ thống mà không giết ứng dụng
  - - - Bộ lọc kiểm tra các cuộc gọi hệ thống và quyết định xem có chặn hay không
      - Khó khăn với trạng thái đồng bộ hóa giữa ứng dụng và màn hình (CWD, UID, ..)
    - - Thay đổi nhân tối thiểu (… nhưng ứng dụng có thể tự gọi close ())
    - - Có thể được thực hiện mà không cần thay đổi ứng dụng
        (yêu cầu một lớp mô phỏng trong quy trình được giám sát)
  - - - Nếu chính sách không bao gồm một cuộc gọi hệ thống cụ thể, hãy hỏi người dùng
        … Nhưng người dùng không có cách nào để quyết định
      - Systrace có thể tự động tạo chính sách bằng cách tìm hiểu cách ứng dụng hoạt động trên đầu vào "tốt"
  - - - hộp cát bên ngoài: hạn chế các khả năng sử dụng xen kẽ cuộc gọi hệ thống
      - Hộp cát bên trong: sử dụng phân đoạn bộ nhớ x86 để cô lập bộ nhớ ứng dụng giữa các ứng dụng
- - - - Máy ảo trong những năm 1960:
        
        Ít máy tính, nhiều người dùng
        
        Máy ảo cho phép nhiều người dùng chia sẻ một máy tính
      - Máy ảo những năm 1970 - 2000: không tồn tại
      - Máy ảo từ năm 2000:
        
        Quá nhiều máy tính, quá ít người dùng: Máy chủ in, Máy chủ thư, Máy chủ web, Máy chủ tệp, Cơ sở dữ liệu,…
        
        Thật lãng phí khi chạy từng dịch vụ trên các phần cứng khác nhau
        
        Tổng quát hơn: Máy ảo được sử dụng nhiều trong điện toán đám mây
  - - - Không thể lây nhiễm hệ điều hành máy chủ
      - Không thể lây nhiễm các máy ảo khác trên cùng một phần cứng
    - - VMM đơn giản hơn nhiều so với hệ điều hành đầy đủ … Nhưng trình điều khiển thiết bị chạy trong Hệ điều hành máy chủ
  - - - Trạng thái khóa tệp, nội dung bộ nhớ đệm, ngắt,…
        Khó loại bỏ tất cả
  - - - Kernel root kit có thể tắt hệ thống bảo vệ
      - Thực tiễn phổ biến đối với phần mềm độc hại hiện đại
    - - Sự cố: không đủ khả năng hiển thị vào máy của người dùng
    - - VMM có thể giám sát phần cứng ảo để tìm các dị thường
      - VMI: Nội quan máy ảo
        
        Cho phép VMM kiểm tra nội bộ hệ điều hành khách
  - - - Đảm bảo tính toàn vẹn của hạt nhân Hệ điều hành khách
        
        ví dụ: phát hiện các thay đổi đối với sys_call_table
      - Máy dò tính toàn vẹn mã ứng dụng
        
        VMM tính toán mã băm của mã ứng dụng người dùng đang chạy trong VM
        
        So sánh với danh sách trắng các băm
        
        Giết máy ảo nếu chương trình không xác định xuất hiện
      - Kiểm tra phát hiện máy nói dối
        
        Mục tiêu: phát hiện phần mềm độc hại ẩn giấu các tien trình và hoạt động mạng
        
        Phương pháp:
        
        VMM liệt kê các tien trình đang chạy trong
        Hệ điều hành khách
        
        VMM yêu cầu Hệ điều hành khách liệt kê các tien trình (ví dụ: ps)
        
        Nếu không phù hợp
      - Máy dò chữ ký virus
        
        Chạy trình dò chữ ký vi rút trên bộ nhớ Hệ điều hành khách
- - - - ứng dụng tiếp xúc: pdf viewers, outlook
      - daemon kế thừa: sendmail, bind,honeypots
      - chương trình từ các trang Internet không đáng tin cậy:
        
        ứng dụng, tiện ích mở rộng, codec plug-in cho trình phát đa phương tiện
  - - - Có thể được thực hiện ở nhiều cấp độ:
        
        Quy trình: Vị trí cuộc gọi hệ thống
        
        Cô lập Máy ảo: cô lập hệ điều hành trên một máy ảo duy nhất ( chạy trê 1 máy ảo riêng )
        
        cô lập vật lý : không có kết nối mạng trên 1 máy , Cô lập một tiến trình trong một hệ điều hành duy nhất
        
        Chủ đề: Cách ly lỗi phần mềm (SFI)
        
        Cô lập các chuỗi chia sẻ cùng một không gian địa chỉ Ứng dụng: v.d. hạn chế dựa trên trình duyệt
  - - - Thực hiện chính sách bảo vệ
      - Thực thi cách ly và giam giữ
    - - Mọi yêu cầu ứng dụng phải được dàn xếp
    - - Màn hình tham chiếu không thể bị giết
      - … Hoặc nếu bị giết, thì quá trình được giám sát cũng bị giết
  - - - jk_init: tạo môi trường tù
      - jk_check: kiểm tra jail env để tìm các vấn đề bảo mật
        
        kiểm tra mọi chương trình đã sửa đổi,
        
        kiểm tra các thư mục có thể ghi trên thế giới, v.v.
      - jk_lsh: trình báo bị hạn chế được sử dụng trong tù
  - - - open( “../../etc/passwd”, “r”) ⇒ open(“/tmp/guest/../../etc/passwd”, “r”)
    - - nếu không, ứng dụng bị bỏ tù có thể làm:
        
        tạo tệp giả “/ aaa / etc / passwd” ,,, chạy chroot “/ aaa”,,, chạy su root để trở thành root
    - - Tạo thiết bị cho phép bạn truy cập đĩa thô
      - Gửi tín hiệu đến tiến trình không theo thứ tự
      - Hệ thống khởi động lại
      - Liên kết với các cổng đặc quyền
    - - chay : jail jail-path hostname IP-addr cmd
        
        gọi chroot được làm cứng (không có “../../” thoát)
        
        chỉ có thể liên kết với các ổ cắm có địa chỉ IP được chỉ định và các cổng được ủy quyền
        
        chỉ có thể giao tiếp với các quy trình bên trong tù
        
        root bị giới hạn, ví dụ: không thể tải các mô-đun hạt nhân
    - - Các chương trình có thể chạy trong tù:
        
        audio player
        web server
      - Các chương trình không thể:
        
        web browser
        mail client
    - - Các vấn đề với chroot và jail
        
        Tất cả hoặc không có quyền truy cập vào các phần của hệ thống tệp
        
        Không thích hợp cho các ứng dụng như trình duyệt web
        
        Cần quyền truy cập đọc vào các tệp bên ngoài tù (ví dụ: để gửi tệp đính kèm trong Gmail)
      - Các vấn đề với chroot và jail
        
        Truy cập mạng và gây rối với các máy khác
        
        Cố gắng làm hỏng hệ điều hành máy chủ
- - - - Đề xuất tắt các tính năng ảo hóa phần cứng theo mặc định cho các hệ thống phía máy khách
    - - Hệ điều hành khách có thể phát hiện ra rằng nó đang chạy trên VMM
  - - - Máy dò virus có thể phát hiện VMBR
      - Virus bình thường (không phải VMBR) có thể phát hiện VMM
        
        từ chối chạy để tránh kỹ thuật đảo ngược
      - Phần mềm liên kết với phần cứng (ví dụ: MS Windows) có thể từ chối chạy trên VMM
      - Hệ thống DRM có thể từ chối chạy trên VMM
  - - - VMWare mô phỏng chipset i440bx cổ xưa
        … Nhưng báo cáo RAM 8GB, CPU kép, v.v.
    - - Hệ điều hành khách có thể phát hiện kích thước TLB giảm
    - - Hành vi bộ nhớ đệm khác nhau khi có VMM
      - Kết quả là các biến thể thời gian tương đối cho hai hoạt động bất kỳ
  - - - Khả năng tương thích: đảm bảo phần mềm tắt hoạt động
      - Hiệu suất: giảm thiểu chi phí ảo hóa
    - - Sự bất thường cho thấy sự tồn tại của VMM
- - - - Mã để giải mã không được can thiệp vào trình phát đa phương tiện
      - Trình điều khiển thiết bị không được làm hỏng nhân
    - - Vấn đề: chậm nếu các ứng dụng giao tiếp thường xuyên
      - yêu cầu chuyển đổi ngữ cảnh cho mỗi tin nhắn
    - - Tìm các hướng dẫn không an toàn: jmp, tải, lưu trữ
        
        Tại thời điểm biên dịch, hãy thêm bảo vệ trước các hướng dẫn không an toàn
        
        Khi tải mã, hãy đảm bảo tất cả bảo vệ đều có mặt
  - - - bảo vệ jmp phải đảm bảo [addr] không bỏ qua bảo vệ tải
  - - - Địa chỉ được mã hóa cứng, phân đoạn chỉ đọc
  - - - ánh xạ cùng một trang vật lý thành hai phân đoạn trong không gian addr
    - - Thường tốt: mpeg_play, 4% làm chậm
    - - hướng dẫn độ dài thay đổi: không rõ ràng nơi đặt lính canh
      - ít đăng ký: không thể dành ba đăng ký cho SFI
      - nhiều hướng dẫn ảnh hưởng đến bộ nhớ: cần nhiều bảo vệ hơn
  - - - Chỉ định chính sách: ứng dụng có thể làm gì và không làm gì
      - Ngăn chặn các kênh bí mật
    - - Khoảng cách không khí vật lý, Khoảng cách không khí ảo (VMM),
      - Vị trí cuộc gọi hệ thống, Cách ly lỗi phần mềm
      - Ứng dụng cụ thể (ví dụ: Javascript trong trình duyệt)
    - - Các ứng dụng cần giao tiếp thông qua các giao diện được quản lý