خطرات سیستماتیك بر علیه داده های كرنل : تكنیكهای حمله و دفاع

خطرات سیستماتیك بر علیه داده های كرنل : تكنیكهای حمله و دفاع – ایران ترجمه – Irantarjomeh

مقالات ترجمه شده آماده گروه کامپیوتر

مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات رایگان

مطالعه 20 الی 100% رایگان مقالات ترجمه شده

1- قابلیت مطالعه رایگان 20 الی 100 درصدی مقالات 2- قابلیت سفارش فایل های این ترجمه با قیمتی مناسب مشتمل بر 3 فایل: pdf انگیسی و فارسی مقاله همراه با msword فارسی -- تذکر: برای استفاده گسترده تر کاربران گرامی از مقالات آماده ترجمه شده، قیمت خرید این مقالات بسیار کمتر از قیمت سفارش ترجمه می باشد.  

چگونگی سفارش

الف – پرداخت وجه بحساب وب سایت ایران ترجمه (شماره حساب) ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.com شامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر -- مقالات آماده سفارش داده شده عرفا در زمان اندک یا حداکثر ظرف مدت چند ساعت به ایمیل شما ارسال خواهند شد. در صورت نیاز فوری از طریق اس ام اس اطلاع دهید.

www.irantarjomeh.com

خطرات سیستماتیك بر علیه داده های كرنل : تكنیكهای حمله و دفاع

خطرات سیستماتیك بر علیه داده های كرنل : تكنیكهای حمله و دفاع

مشخص نمودن خطرات سیستماتیك بر علیه داده های كرنل

تكنیكهای حمله و دفاع

چكیده

در این مقاله كلاس جدیدی از حملات همراه با یك فناوری اتوماتیك جدید جهت تشخیص آنها عرضه می‌شود. این حملات به طور صریح معرف رفتاری مخفی نمی باشند اما در عین حال از نقطه نظر طراحی حالت مخفیانه و نهان شده را حفظ می‌كنند. آنها متكی به برنامه های فضای كاربر جهت  فراهم آوردن عملیات مغرضانه خود نمی باشند، بلكه روش آنها مشابه با رفتاری است كه سیستم به سادگی  با داده های كرنل دارد. این حملات به عنوان نمادی برای یك مشكل سیستماتیك بزرگتر در داخل كرنل به شمار می آیند، بنابراین نیازمند تجزیه وتحلیل جامع آن می‌باشد. تكنیك تشخیص روتكیت (rootkit) جدید ما بر مبنای درك اتوماتیك تغییر ناپذیری ساختار داده می باشد كه به طور اتوماتیك قابلیت تشخیص حملات مخفیانه پیشرفته بر علیه كرنل را خواهد داشت.

مقدمه

جامعیت كرنل سیستم عامل برای امنیت كلیه برنامه های كاربردی و داده ها بر روی سیستمهای كامپیوتری حیاتی تلقی می شود. تداخلات پنهانی در كرنل یا هسته سیستم عامل به طور متعارف به وسیله برنامه های مخربی صورت می گیرند كه به طور شایع تحت عنوان روتكیت ها خوانده می‌شوند. عبارت rootkit به طور اولیه برای رجوع به تولكیت یا جعبه ابزار توسعه یافته به وسیله مهاجمین به كار گرفته شد كه كمك می نمودند تا حضور این مهاجمین در سیستم به صورت مخفیانه باقی ماند. برنامه روتكیت غالباً به هنگامی نصب می گردد كه مهاجم كنترل سطح ریشه را به دست آورده  باشد و سعی نموده باشد تا آبجكت های مغرضانه خود، نظیر فایل ها، پردازش ها و اتصالات شبكه، را مخفی نگه دارد.

سیستمی كه بوسیله روتكیت آلوده شده باشد قابلیت بهره برداری مخفیانه و از راه دور را به فرد یا افراد مهاجم اعطا می‌نماید، نظیرفلترینگ اطلاعات حساس یا درگیری سیستم در فعالیت های مغرضانه و مخربانه و كلاهبرداری بدون اطلاع كاربر یا با اجازه وی. عدم وجود ابزارهای تشخیص مناسب بدین سیستم ها اجازه خواهند داد تا به صورت مخفیانه عملیات سیستمی را در یك محدوده زمانی نا مشخص در اختیار مهاجمین قرار دهند. مطالعات اخیر معرف تكوین پدیده ای در تعدادی از بد افزارها می باشد كه از تكنولوژی نهان كاری استفاده نموده اند، پدیده‌ای كه غالباً از روتكیت استفاده شده است. به طور مثال، گزارش منتشر شده  بوسیله آزمایشگاه‌های شركت مك‌آفی (MacAfee, 2006)، مشخص می سازد كه یك افزایش 600 درصدی در تعدادی روتكیت‌ها در خلال یك دوره سه ساله از 2004 الی 2006 بوقوع پیوسته است. در حقیقت، چنین روندی به صورت روزمره تداوم داشته است. گزارش فوروم اینترنتی antiroothit.com مشخص كننده كشف بیش از 200 روتكیت، در ابتدای فصل اول سال 2008 به تنهایی، می‌باشد.

ارتقای روتكیت –  Rootkit

تكنیك های هجومی روتكیت ها در خلال چندین سال گذشته به حد اعلای خود رسیده اند و بر این مبنا یك خطر واقعی را برای سیستم های عامل به وجود آورده اند. تشخیص جامع چنین روتكیت های پیشرفته ای هنوز به عنوان یك مشكل تحقیقاتی باز بشمار می آید. تكنیك های حمله جدید كه بوسیله روتكیت ها مورد استفاده قرار می گیرند سبب می شود تا فن‌آوریهای نوینی نیز جهت تشخیص حضور آنها عرضه شوند. ارتقای روتكیت ها وتكنیك های شناسایی آنها همچنان مبارزه بین مهاجمین و مدافعین را تداوم بخشیده است. شكل 1  معرف ارتقای تكنیك های حمله روتكیت می باشد. روتكیت ها سیر ترقی خود را از طریق دستكاری فضاهای باینری كاربران و كتابخانه های اشتراكی جهت جایگزینی كنترل و داده های غیر كنترلی دركرنل ادامه داده اند. روتكیت‌های جدیدی كه همین اواخر دیده شده‌اند قابلیت نصب خود در زیر سطح سیستم عامل  را خواهند داشت.

روتكیت های اولیه كار خود را از طریق تغییر سیستم باینری ها و كتابخانه های اشتراكی آغاز نموده و آنها را با نگارش های برنامه های تراجنی (trajan) خود جایگزین می نمودند. هدف از این باینری‌های تراجنی مخفی نمودن آبجكت ها یا موضوعات مخرب و مغرضانه و یا اعطای حق دسترسی به فرایندهای مخرب بوده است. به طور مثال، یك تراجن باینریPS  كوچك سبب نخواهد شد تا فرایند های تخریبی در حال اجرا بر روی سیستم  لیست شوند. فرایند لاگ‌این (login) تراجنی نیز می تواند سطح روت یا ریشه را در اختیار كاربر مغرض قرار دهد. جهت تشخیص باینری‌های سیستم تراجنی و كتابخانه های اشتراكی تراجنی، ابزارهای نظیر تریپ وایر (Trip-wire) و AIDE توسعه یافتند. این ادوات اقدام به تولید مجموعه های مقابله ای (Checksums) شناسایی باینری ها و به هنگامی می نمودند كه آنها بر روی سیستم تمیز یا آلوده نشده اجرا می‌شوند و آنها را در یك بانك اطلاعات ذخیره می نمایند، یك كاربر بعدا قابلیت بررسی سیستمی با استفاده از چنین ادواتی را خواهد داشت و می تواند نسبت به مقایسه مجموعه های مقابله ای باینری های سیستمی با اطلاعات قبلا ذخیره شده اقدام نماید. عدم انطباق در مجموعه مقابله ای معرف حضور باینری تراجنی خواهد بود. ادوات تشخیصی دیگر از یك رویه ضد ویروسی بهره می‌جویند، كه در آن حضور یك روتكیت  با استفاده از بانك اطلاعات دارای امضا های شناخته شده تشخیص داده می شود، نظیر توالی خاص بایت ها در حافظه، یا از طریق حضور فایل های خاص بر روی دیسك. این دیدگاه سبب محافظت سیستم در برابر روتكیت های ناشناخته جدیدتر نخواهد شد. روتكیت ها با استفاده از تكنیك های چند ریختی (پلی مورفی) و فرا ریختی (متا مورفی) در جهت مبهم سازی كد به منظور خنثی نمودن عملیات تشخیص اقدام می نمایند، تكنیك‌هایی كه به طور سنتی به وسیله ویروس ها جهت فرار از تشخیص از برنامه های ضد ویروس مورد استفاده قرار می ‌گرفت.

جهت فرار از تشخیص ناشی از كنترل كننده های جامعیت دیسك، روتكیت ها رویه های خود را به گونه ای ارتقا داده اند كه قابلیت تغییر در كد كرنل وجود داشته باشد و بتوانند برخی از ساختارهای داده ثابت در داخل كرنل، نظیر جدول ارجای سیستم را تغییر دهند تا آن كه به اهداف خود برسند. چنین روتكیت هایی تحت عنوان روتكیت های سطح كرنل شناخته می شوند چرا كه آنها اقدام به تغییركرنل یا هسته سیستم عامل می نمایند. تغییر كرنل سبب خواهد شد تا روتكیت توان كافی جهت كنترل كلیه سطوح كاربردی را به دست آورد. به طور مثال، تداخل در فراخوانی فایل سیستم‌ها، به روتكیت اجازه می دهد تا قابلیت كنترل كلیه رویه های دسترسی به فایل ها به وسیله كلیه برنامه های كاربردی بر روی سیستم را داشته باشد. روتكیت می تواند در این دسترسی ها دخالت نموده و اقدام به فیلترینگ مورد نظر جهت مخفی سازی آبجكت های مغرضانه خود نماید. از آن جایی كه روتكیت دست به تغییر كرنل می زند، كه خود به عنوان محل محاسباتی مطمئن سیستم به شمار می آید، چنین معضلی قابلیت تغییر هر گونه برنامه كاربردی سطح كاربر بر روی سیستم را نیز خواهد داشت. این برنامه های كاربردی شامل ادوات تشخیص روتكیت در فضای كاربر به فعالیت می پردازند. بنابراین، محقیقین رویه ایزوله سازی یا جداسازی تشخیص دهنده های روتكیت از سیستم عامل، از طریق جابجایی آنها با یك كمك پردازنده ایمن كه متكی به سیستم عامل نباشد، یا ایزوله سازی آنها با استفاده از معماری مجازی سازی، كه درآن تشخیص گر در یك ماشین مجازی مجزا اجرا می شود را پیشنهاد نموده اند. تشخیص گر های روتكیت، كه جهت تشخیص روتكیت های سطح كرنل به كار گرفته می شوند از یك روش مبتنی بر درهم سازی ایمن مجموعه مقابله ای جهت تشخیص خرابی كد كرنل یا دیگر ساختارهای داده ثابت شناخته شده در كرنل نظیر جدول فراخوانی سیستمی استفاده می نمایند. این سیستم های درهم در موقعیت های حافظه یك سیستم تمیز، به صورت از قبل محاسبه شده، عمل می نمایند، جایی كه كد و ساختارهای داده در آن ذخیره شده اند. آنها به صورت مقطعی و مجدد‌اً محاسبه گردیده و با داده‌های درهم ذخیره شده جهت تشخیص كد یا خرابی ساختارهای داده مقایسه  می شوند.

جهت خنثی کردن متعاقب ادوات تشخیص، نویسنده های روتکیت از فناوری های مخفیانه بهره جستند. از آنجایی که ادوات تشخیص به تنهایی اقدام به كنترل جامعیت کد کرنل و برخی از ساختارهای داده ای شناخته شده می نماید، همانند جدول فراخوانی سیستمی، توسعه دهنده های روتکیت به خوبی در کرنل نفوذ نموده و اقدام به جایگزینی ساختار اطلاعاتی می نمایند که کمتر شناخته شده هستند. به طور مثال، به جای تغییر فایل های فراخوانی سیستمی مرتبط با فایل در جدول فراخوانی سیستم، روتكیت ها اقدام به تغییر ماژول هایی تحت عنوان هوک یا قلاب در لایه فایل سیستم مجازی می‌نمایند. بر این مبنا مسابقه ای بین سازنده های روتکیت از یک طرف جهت بهره برداری از ساختار داده ای جدید، و تشخیص آن بوسیله برنامه های مربوطه همراه با كنترل جامعیت آن با داده های اکتشافی جدید در لیست تایید، از طرف دیگر وجود دارد. اغلب داده هایی که روتکیت ها اقدام به تغییر آنها می نمایند جز اطلاعات کنترلی غیر ثابت به شمار می آیند، همانند پوینترها یا اشاره گرهای تابع که به وسیله لایه های مختلف در کرنل استفاده می شوند. یک دیدگاه اتوماتیک بعدا جهت کنترل یکنواخت و به منظور کار با کلیه داده های کنترلی درکرنل توسعه یافت که کار آن تصدیق کلیه اشاره گرهای تابع در برابر آدرس تابع کرنل معتبر می‌باشد.

تعاملات و راهکارهای ما

نقطه تمرکز این فصل بر روی حملاتی است که اقدام به جایگزینی ساختار کد و اطلاعات در هسته سیستم عامل می نمایند. به طور متعارف، روتکیت ها فراهم آورنده کلیه اقدامات تخریبی و مغرضانه به عنوان برنامه های فضای کاربر می باشند. جهت مخفی کردن حضور خود، روتکیت ها خود را در کرنل مخفی می نمایند. چنین پدیده ای شامل تغییر کد یا ساختارهای داده کرنل در مسیرهای فراخوانی سیستمی می باشد که قابلیت تاثیر گذاری بر روی بازبینی سیستمی از طریق کاربر را خواهد داشت. به طور متعارف ، روتكیت ها در امر کنترل از طریق نصب هوک ها در داخل مسیر کنترل فراخوانی سیستم اقدام می نمایند، که سبب خواهد شد تا قابلیت فیلترینگ درخواست ها و پاسخ ها برای آنها بوجود آید. شایع ترین ساختار اطلاعاتی که بوسیله روتكیت ها بدین منظور دستکاری می شود جدول فراخوانی سیستم است. با توجه به بلوغ تکنیک های تشخیص جهت نظارت بر ساختارهای داده ای کاملا شناخته شده که بوسیله روتكیت ها هدف قرار میگیرند، آنها خود را به گونه ای ارتقا داده اند تا قابلیت تغییر ساختارهایی را داشته باشند که از معروفیت کمتری در زمینه تداخل کنترلی برخوردار می‌باشند. انواع دیگر نیز خود را به گونه ای ارتقا داده اند تا توان تغییر داده های غیر کنترلی را داشته باشند تا آنکه به اهداف مشابهی دست یابند.

با توجه به تغییر ساختارهای داده دستکاری شده در خلال سالیان اخیر، تمایل به رویه های پنهان کاری همچنان باقی مانده است که غالبا شامل مخفی نمودن فایل های مخرب و اتصالات شبکه و پردازش های مربوطه خواهد بود. این روتکیت ها به راحتی قابلیت شناسایی بوسیله ادواتی را خواهند داشت که از رفتار نهان به عنوان علامتی برای تشخیص استفاده می نمایند. در حقیقت، ابزارهایی نظیر Strider Ghostbuster قابلیت تشخیص روتکیت ها را خواهند داشت که دلیل تشخیص نیز عمدتا تلاش جهت مخفی سازی می باشد.

در این فصل، ما کلاس جدیدی از حملات را نشان داده و همچنین فناوری اتوماتیک جدیدی را جهت تشخیص آنها عرضه می نماییم. چنین حملاتی به طور صریح سبب نشان دادن رفتار نهان نخواهد شد، اما از نقطه نظر طراحی می توانند حالت مخفی کاری داشته باشد. آنها متکی به برنامه‌های فضای کاربر جهت فراهم آوردن اقدامات مخربانه خود نمی باشند. آنها چنین کاری را به طور ساده با دستکاری داده های کرنل انجام می دهند. این حملات به طور سمبولیک به عنوان یک مشکل سیستماتیک بزرگ در داخل کرنل به شمار می آید و بر این مبنا نیازمند تجزیه و تحلیل جامعی می باشند. فناوری تشخیص روتکیت جدید ما بر مبنای درک اتوماتیک ساختارهای تغییر ناپذیر داده می‌باشد که قابلیت تشخیص اتوماتیک حملات نهان پیشرفته در داخل کرنل را خواهد داشت. ما اقدام به ایجاد یک پروتوتایپ گیبرالتر (Gibraltar) می نماییم که قابلیت ارزیابی دیدگاه ما را خواهد داشت. گیبرالتر به طور اتوماتیک کلیه روتکیت های شناخته شده عمومی را تشخیص داده و همچنین قادر به تشخیص حملات نهان دیگری خواهد بود که بوسیله ما مورد بحث قرار گرفته و در مباحث دیگر تحقیقاتی نیز ارائه شده اند.

حملات

دراین بخش ما اقدام به معرفی حملات نهانی می نماییم که آنها را خود طراحی نموده و یا بوسیله گروه های تحقیقات دیگری  طراحی شده اند. کلیه آنها به اهداف مخربانه خود از طریق تغییر صرف داده های کرنل می‌رسند. هیچ کدام از آنها به طور صریح رفتار نهانی را از خود نشان نداده و از این رو نمی توان آنها را بوسیله ادواتی که تنها رفتار نهان را به عنوان علامت تشخیص مورد بررسی قرار میدهند شناسایی کرد. طیف این حملات مجموعه‌ای از زیرسیستم های مختلف را در کرنل هدف قرار داده و معرف وجود خطر سیستماتیکی بیشتری میباشند که بوسیله روتکیت های آتی اعمال خواهند شد.

غیر فعال سازی دیوار آتش یا فایروال –  Firewall

این حمله خود را بداخل چارچوب نت‌فیلتر (netfilter) کرنل لینوکس قلاب نموده و به صورت مخفیانه اقدام به غیر فعال سازی فایروالی خواهد نمود که بر روی سیستم نصب شده است. بر این مبنا کاربر قابلیت تشخیص چنین معضلی، از طریق استفاده از Iptables ، را نخواهد داشت. چنین مواردی هنوز نیز به عنوان مسائل معتبر مطرح بوده و ظاهرا فایروال ها تحت تاثیر این معضل قرار دارند. در طراحی این حمله، هدف مهاجم غیر فعال سازی مکانیزم های دفاع شبکه می باشد که بوسیله سیستم های هدف بکار گرفته شده اند و از این رو آنها در معرض خطر حملات دیگری نیز در شبکه قرار خواهند گرفت.

پس زمینه: نت فیلتر یک چارچوب فیلترینگ پاکتی  در هسته لینوکس می باشد. این سیستم فراهم آورنده قلاب ها یا هوک هایی در نقاط مختلف در پشته شبکه بندی است. چنین موردی برای ماژول های کرنل طراحی شده است تا قابلیت چنگ اندازی به و همچنین فراهم آوردن عملکردهای مختلف نظیر فیلترینگ پاکت، تخریب پاکت و انتقال آدرس شبکه وجود داشته باشد. این قلاب ها برای هر یک از پروتکل های پیش بینی شده بوسیله سیستم فراهم شده اند. قلاب های نت‌فیلتر برای پروتکل IP در شکل  2 نشان داده شده است. هر یک از این قلاب ها، شامل مسیریابی قبلی، ورودی، ارسال، خروجی و مسیریابی متعاقب، جز قلاب های در نقاط مختلف در پیمایش پاکت ها به شمار می آیند. Iptables نیز به عنوان ابزار خط دستور مدیریت فایروال به شمار می آید که بر روی لینوکس مهیا میباشد. Iptables را می توان به منظور مشخص نمودن قواعد دیوار آتش برای پاکت های در حال ورود و خروج به کار گرفت. Iptables از چارچوب نت فیلتر جهت اعمال قواعد فایر وال استفاده می نماید. پاکت ها بر حسب قواعد ارائه شده بوسیله این فایروال یا دیواره آتش فیلتر خواهند شد.

تشریح حمله: پوینترها یا اشاره گرها به هوک ها یا قلاب های نت فیلتر در یک جدول عمومی تحت عنوان nf_hooks ذخیره می شوند. این جدول آرایه ای از اشاره گرهایی می باشد که به هندل‌گر‌ها یا اداره کننده های رجیستر شده به وسیله ماژول های کرنل اشاره دارد تا آنکه قابلیت اداره قلاب های پروتکل مختلف ایجاد شود. این ساختار داده ای حتی پس از آخرین نگارش6/2 کرنل لینوکس نیز همچنان بکار گرفته می شود. ما اقدام به تغییر قلاب مترادف با پروتکل IP نموده و مسیر آنرا به سمت کد ساختگی خود تغییر میدهیم و بدین صورت به طور موثر فایروال را غیر فعال می سازیم. قواعد دیوار آتشی که ما در طی این آزمایش استفاده نمودیم در شکل 3 نشان داده شده است. قواعد ورودی (INPUT) از پذیرش ترافیک  ورودی به سرور وبی که بر روی سیستم در حال اجرا میباشد جلوگیری به عمل می آورند. قبل از حمله، ما قابلیت دسترسی به این وب سرور به صورت خارجی را نداشتیم.

تاثیر: حمله مخفیانه همانند نمونه ای که تشریح شد قابلیت تشخیص به وسیله مجموعه ادوات موجود را نخواهد داشت. از آنجایی که ماژول حمله ما قابلیت فیلتر نمودن کلیه پاکت ها بدون عبور آن به فایروال را دارد، چنین سیستمی قابلیت اجرای دستورات دیگر در خلال دریافت یک پاکت خاصی که بوسیله مهاجم از راه دور ارسال شده است را خواهد داشت.

اتلاف منابع

این حمله سبب به بار آمدن مشكلات مربوط به اتلاف منابع و تنزل عملكرد برنامه های كاربردی از طریق ایجاد فشار تصنعی بر روی حافظه می تواند سبب بروز تراشینگ یا مشكل در اتلاف وقت بواسطه صفحه بندی خواهد شد. هدف این حمله نشان دادن این موضوع است كه تنها از طریق دستكاری مقادیر ساده ای می‌توان بطور مخفی بر الگوریتم های كرنل تاثیر گذاشت. چنین حمله ای لاجیك تراز بندی (بالانس) ناحیه، كه خود سبب می گردد  این اطمینان حاصل شود كه غالباً صفحات آزاد كافی در دسترس حافظه سیستمی خواهد بود، را هدف قرار می‌دهد.

پس زمینه: لینوكس اقدام به تقسیم مجموعه حافظه فیزیكی نصب شده در داخل یك ماشین به یك سری از گره ها نموده است. هر گره مترادف با یك بانك حافظه می‌باشد. پس از آن گره خود به سه ناحیه تقسیم می گردد.. ناحیه dma، ناحیه نرمال و ناحیه highmem. ناحیه dma در ابتدا دارای 16 مگابایت فضا را برای انتقالات دسترسی مستقیم حافظه DME)) رزرو می‌كند. حوزه نرمال ناحیه از 16 مگابایت تا 896 مگابایت می باشد. این حوضه ای است كه به وسیله برنامه های كاربردی و درخواست های پویای داده در داخل كرنل مورد استفاده قرار می گیرد. این ناحیه و ناحیه dma  به صورت خطی با فضای آدرس مجازی كرنل نگاشت می شوند. مموری بالا یا highmem نیز جزء ناحیه ای به شمار می آید كه حافظه آن بالای 896 مگابایت خواهد بود.

تشریح حمله: واترمارك ها یا شاخص های ناحیه برای هر منطقه در ساختار كلی اطلاعات تحت عنوان zone_table ذخیره می شوند. این ساختار در حقیقت آرایه ای ازساختارهای اطلاعاتی zone_t خواهد بود كه مترادف با هر ناحیه می باشد. شاخص‌های ناحیه ای در داخل این ساختار اطلاعاتی ذخیره می شوند. این شاخص حتی به وسیله كرنل نگارش6/2 نیز اعمال می گردد. تخصیص این جدول را می توان با مراجعه به فایل System.map مشخص نمود.

تأثیر: چنین حمله ای مشابه با یك نگارش مخفی حمله تحلیل برنده منابع می باشد كه به طور متعارف در خلال شبكه رخ می دهد. ما سعی می نماییم تا هدف مشابه ای را در این زمینه پیگیری كنیم، به طور مثال درهم شكستن وضعیت متناسب یك سیستم آن هم تنها با بوجود آوردن فشار تصنعی بر حافظه آن. چنین مسأله ای منجر به سربار عملكرد قابل توجه ای بر سیستم خواهد شد.

آنتروپی آلایندگی انباره

این حمله اقدام به آلوده سازی انباره آنتروپی و چند اسمی هایی می نماید كه بوسیله تولید كننده اعداد شبه تصادفی (PRNG) جهت تحرك انباره ها استفاده می‌شود. هدف از این حمله تنزل كیفیت اعداد شبه تصادفی می باشد كه به وسیله PRNG تولید می‌شوند. كرنل جهت تأمین اعداد شبه تصادفی با كیفیت متناسب به PRNG وابسته است، كه خود به وسیله كلیه توابع ایمنی در كرنل و همچنین سیستم های كاربردی برای ایجاد كلید، تولید شناسه های مطمئن نشست ایمن و غیره مورد استفاده قرار می‌گیرد. كلیه برنامه های كاربردی و توابعی كرنل كه وابسته به PRNG هستند در مقابل در می توانند در معرض حمله قرار گیرند.

تشریح حمله: این حمله به صورت پیوسته ای سبب آلوده سازی انباره های آنتروپی از طریق نوشتن صفرها دركلیه انباره ها می گردد. چنین عملی از طریق بارگیری یك ماژول حمله محقق می شود كه شامل یك رشته كرنل می باشد. این رشته به صورت پیوسته فعال شده و اقدام به نوشتن به صفرها در انباره های آنتروپی می نماید. به علاوه اقدام به حمله به چند اسمی هایی خواهد نمود كه در جریان انباره مورد استفاده قرار می گیرند. صفر نمودن این چند اسمی ها سبب پوچ سازی بخشی از الگوریتم استخراج استفاده شده كه بوسیله PRNG استفاده شده است.

تأثیر: پس از این حمله، اعداد شبه تصادفی تولیدی از كیفیت ضعیفی برخوردار بوده و بنابراین سیستم و برنامه های كاربردی درمعرض حملات مرتبط با تحلیل مسائل رمز نگارانه قرار خواهند گرفت.

غیر فعال سازی مولد اعداد شبه تصادفی

این حمله اقدام به بازنویسی آدرس های توابع ابزار رجیستر شده بوسیله مولد اعداد شبه تصادفی (PRNG) با تابعی می نماید که حاوی آدرس های کد حمله می باشد. بنابر این توابع اولیه هرگز اعمال نمی گردند. این توابع به هنگامی که واحدهای تصادفی از ادوات /dev/random یا /dev/urandom درخواست می گردند، غالبا صفر را برمی گردانند. توجه شود که با وجود آنکه چنین مبحثی مشابه با حمله بوسیله روتکیت های متعارفی می باشد که به اشاره گرهای تابع قلاب می شوند، تفاوت مشخصی بین آنها وجود دارد. از آنجایی که این ابزار خاص بر روی نگرش سطح کاربر این آبجکت ها تاثیر نمی گذارد، چنین موردی را به عنوان هدف برای حاصل آوردن رفتار مخفیانه به شمار نیاورده و از این رو به وسیله سیستم های کنترل کننده جامعیت کرنل تحت مراقبت قرار نخواهد گرفت.

پس زمینه: لینوکس فراهم آورنده یک معماری انعطاف پذیر میباشد که در آن فایل سیستم ها و ابزارهای مختلف قابلیت استفاده از یک رابط مشترک را خواهند داشت. این رابط بوسیله سطحی تحت عنوان سطح فایل سیستم مجازی (VFS) فراهم می شود. یک فایل سیستم جدید یا ابزار جدید فراهم آورنده تعدادی از این قلاب ها و به هنگامی می باشد که اقدام به رجیسترینگ با لایه VFS می نمایند.

تشریح حمله: این کرنل فراهم آورنده توابعی برای خواندن و نوشتن به ابزارهای /dev/random و /dev/urandom  می باشد. ساختارهای داده ای استفاده شده جهت رجیسترینگ توابع ابزار تحت عنوان random_state_ops و urandom_state_ops برای ابزارهای /dev/random و /dev/urandom به ترتیب خوانده می شوند. این علائم به وسیله کرنل 4/2 صادر می شوند اما امكان صدور آنها درکرنل 6/2 وجود ندارد. ما قابلیت یافتن این ساختار داده ای از طریق پویش اولیه برای کدهای عملیاتی تابع و یا توابع مشخص شده در random_state_ops و urandom_state_ops  را خواهیم داشت.

اضافه سازی یك فرمت باینری جدید

هدف از این حمله تحریك كد مخرب در هر زمانی است كه یك فرآیند جدید بر روی سیستم تولید می شود. در حالیكه روتكیت ها به طور معمول این فرم از روش هوكینگ یا قلاب زنی را با استفاده از تغییر داده های كنترلی كرنل انجام می دهند، نظیر جدول فراخوانی سیستم، چنین حمله ای از طریق درج یك فرمت باینری جدید درسیستم اعمال می گردد.

حمله. این حمله از طریق ارائه یك فرمت باینری جدید در لیست فرمت های پشتیبانی شده به وسیله سیستم اجرا می شود. اجرا كننده جهت پشتیبانی  این  فرمت  در حقیقت یك سیستم مخرب می باشد یك فرمت باینری كه به وسیله این سیستم پشتیبانی شده است به وسیله كرنل در یك لیست لینك كلی تحت عنوان فرمت ها حفظ می شود. این هندلر یا اجرا كننده باینری، كه مختص فرمت باینری مشخص شده است، همچنین به هنگامی كه فرمت جدید رجیستر می شود نیز اعمال می گردد.

تشخیص روتكیت از طریق استنتاج تغییر ناپذیری اتوماتیك

جهت شناسایی اتوماتیك حملات مخفیانه‌ای كه بر روی كرنل، نظیر موردی كه در بخش آخر بحث شد، انجام می‌شوند، ما یك دیدگاه جدید، بر اساس استنتاج اتوماتیك پارامترهای تغییر ناپذیر در ساختار های داده، را عنوان می نماییم. این دیدگاه بر مبنای این فرضیه است كه ساختارهای داده كرنل معرف تغییرناپذیری در طی عملیات معمولی آنها می باشد. یك روتكیت كرنل كه رفتار الگوریتم های كرنل را در بر دارد اقدام به نادیده گرفتن برخی از این موارد نموده و بنابر این می‌تواند خود را مخفی سازد. چنین دید گاهی می تواند به صورت یكنواخت آن دسته از روتكیت‌هایی را تشخیص دهد كه اقدام به تغییر داده های كنترلی و غیر كنترلی می‌نمایند. جهت ارزیابی این فرضیه، ما یك پروتوتایپ گیبرالتر (Gibraltar) را ایجاد می نماییم كه با طراحی و اجرای آن می توان موارد ذیل را تشریح نمود.

 سیستم واكشی صفحه

گیبرالتر بر روی سیستمی اجرا می شود كه به صورت مجزا از سیستم هدف كار می نماید. سیستم واكشی صفحه گیبرالتر در حقیقت مولفه ای به شمار می آید كه از آدرس حافظه فیزیكی به عنوان ورودی استفاده نموده و صفحات حافظه منطبق را از ماشین هدف حاصل می آورد. این هدف از یك كارت Myrinet PCI استفاده می نماید كه برای آن یك واكش صفحه درخواستی را برای یك صفحه حافظه فیزیكی ارسال داشته است. در پی دریافت این درخواست، سفت افزار موجود بر روی هدف یك درخواست  DMAرا برای صفحه مشخص شده درخواست می نماید. بر این مبنا محتویات صفحه فیزیكی به سیستم كنترل كننده در پی تكمیل DMA ارسال می شود. كارت Myrinet بر روی ماشین هدف یك نگارش ارتقا یافته از سفت افزار اصلی را اجرا می نماید. رویه ارتقا ما این اطمینان را خواهد داد كه به هنگامی كه كارت مربوطه درخواستی را از واكش صفحه درخواست نمود، این درخواست به طور مستقیم به وسیله سفت افزار تفسیر و خدمات مربوطه عرضه می شود.

استخراج كننده ساختار داده

این مولفه اقدام به بازسازی یك نسخه فوری یا اسنپ‌شوت (Snapshot) از ساختارهای داده كرنل هدف از صفحات حافظه خام فیزیكی می نماید. استخراج كننده ساختار داده با استفاده از دو ورودی جهت تشخیص ساختارهای داده در داخل این صفحات اقدام به پردازش صفحات حافظه خام فیزیكی خواهد نمود. در ابتدا، این سیستم یك سری از علائم ریشه ای را مورد استفاده قرار می‌دهدكه متشكل از داده های كرنلی، كه موقعیت های فیزیكی آنها ثابت می باشند و همچنین ساختارهای داده ای كه بر روی بخش هدف قابل دسترسی هستند، می‌باشند. در رویه اجرایی ما، از علائم داخل سیستمی استفاده شد. فایل نگاشت كرنل هدف/ مقصد به عنوان مجموعه ای از روت ها یا مسیر‌ها مشخص گردید. در وهله دوم، از یك سری از تعاریف نوعی ساختارهای داده در كرنل هدف استفاده شد. تعاریف نوعی همانگونه كه ذیلاً تشریح می شوند جهت مشخص نمودن كلیه ساختارهای داده قابل دسترسی به كار گرفته می شوند. ما به طور اتوماتیك اقدام به استخراج 1292تعریف نوعی از طریق تحلیل كد اصلی كرنل  لینوكس-20-4-2 مقصد با استفاده از ماژول CIL نمودیم.

مولد اقلام تغییرناپذیر

در این حالت فراگیری، خروجی استخراج كننده ساختار داده به وسیله مولد اقلام تغییرناپذیر مورد استفاده قرار می گیرد كه به صورت مشابه موارد نامتغیر ساختار داده را مشخص می سازد. این موارد به عنوان مشخصه های جامعیت ساختارداده به كار گرفته می شوند.

مانیتور

در طی فاز اجرا، مانیتور این اطمینان را خواهد داد كه ساختارهای داده در حافظه مقصد قابلیت ارضای اقلام تغییر ناپذیر حاصله در طی فاز فراگیری را خواهند داشت. همانند مولد موارد تغییر ناپذیر، این مانیتور اقدام به حاصل آوردن نسخه‌های فوری از سیستم استخراج كننده ساختار داده می نماید و همچنین ساختارهای داده در هر نسخه‌ فوری را در برابر این پارامترهای تغییر ناپذیر كنترل می كند. چنین عملی این اطمینان را بوجود خواهد آورد كه هرگونه تغییر مخربانه ای در حافظه كرنل كه می تواند سبب نقض یك مورد تغییر ناپذیر شود را بتوان به صورت اتوماتیك تشخیص داد.

مداومت در برابر تغییر ناپذیری گذار

پارامترهای تغییر ناپذیر یا ثابت مشخص شده بوسیله گیبرالتر را می توان به دو دسته مداومت پایدار و گذرا تقسیم كرد. موارد دارای مداومت یا پایداری از ویژگی هایی برخوردار می باشند كه در خلال ریبوت های ماشین مقصد، به شرط آنكه كرنل هدف بطور مجدد پیكر بندی نشده باشد، و یا بین این بوت های مجدد كامپایل نشده باشد، معتبر می‌باشند. كلیه مثال های شكل 11 الی 15 معرف مداومت یا پایداری هستند.

نتایج تجربی

این بخش ارائه دهنده نتایج تجربی در زمینه آزمایش میزان تأثیر و عملكرد نظر گیبرالتر در مبحث تشخیص روتكیت هایی است كه قابلیت تغییر هر دو مورد ساختارهای داده ای كنترلی و غیر كنترلی را خواهند داشت. بر این مبنا ما بر روی سه مبحث تمركز خواهیم نمود.

دقت تشخیص. ما میزان تأثیر گیبرالتر را با استفاده از آن جهت تشخیص حضور نرم افزارهای مخرب روتكیت و همچنین موارد ارائه شده در مباحث تحقیقاتی دیگر را عرضه می نماییم. گیبرالتر قابلیت تشخیص كلیه این روتكیت ها را دارد (بخش 2 ـ 4).

مثبت های كاذب. در طی اعمال این موارد، به هنگامی كه یك نقض تغییر ناپذیر مشاهده شده باشد، گیبرالتر هشداری را صادر می‌كند. در صورتی كه این نقض بواسطه تغییر مخربانه نباشد، چنین هشداری به عنوان مثبت كاذب تلقی خواهد شد. آزمایشات ما نشان دهنده آن است كه گیبرالتر دارای نرخ مثبت كاذب صفر به 65/0 درصد می باشد (بخش 3ـ4).

عملكرد. ما سه ویژگی عملكرد گیبرالتر را مورد سنجش قرار داده و دریافتیم كه چنین موردی سبب به بار آمدن یك رویه نظارتی نادیده انگاشته شده ای در زمینه بررسی سربار خواهد شد (بخش4ـ4).

روش شناسی تجربی

آزمایشات ما همراه با گیبرالتر به شرح ذیل انجام شد. در ابتدا ما گیبرالتر را در مد آموزشی اجرا نموده و سپس اقدام به اجرای یك بار كاری نمودیم كه رفتار كاربر (به شرح ذیل) بر روی سیستم مقصد را تقلید می نمود. ما گیبرالتر را پیكر بندی نموده تا آنكه توانایی حاصل آوردن 15 نسخه فوری در طی دوره آموزشی را داشته باشیم. گیبرالتر این نسخه‌های فوری را مورد بررسی قرار داده و موارد تغییر ناپذیر را از آنها استنتاج نمود. پس از آن ما گیبرالتر را بگونه‌ای پیكر بندی نمودیم تا آن را در مد اجرایی با استفاده از پارامترهای تغییر ناپذیر حاصله از این رویه فراگیری اجرا كنیم. در طی این اجرا، ما روتكیت هایی را بر روی سیستم هدف نصب نموده و هشدار های ایجادی بوسیله گیبرالتر را مشاهده نمودیم. در نهایت، ما نرخ مثبت كاذب گیبرالتر، از طریق اجرای یك بار كاری سازگار با كاربردهای سالم، را مورد مطالعه قرار دادیم.

دقت تشخیص

در این مبحث ما نتایج حاصله در استفاده از داده های تغییر ناپذیر جهت تشخیص روتكیت های متعارف و حملات نهان كارانه مدرن كه بوسیله ما و دیگر محققین پیشنهاد شده است را گزارش می‌كنیم.

تشخیص روتكیت های متعارف. ما از 14 روتكیتی كه بصورت عام در دسترس می باشند جهت تغییر ساختارهای داده كرنل به منظور تست میزان تاثیر گیبرالتر استفاده می كنیم. اغلب این روتكیت ها آبجكت های سطح كاربر را از طریق تغییر اشاره گرهای تابع به كرنل مخفی می سازند. ما همچنین یكی از روتكیت های پیشنهاد شده در مبحث تحقیقاتی پترونی،2006، را نیز شامل نمودیم كه این روتكیت قابلیت مخفی سازی فرایند های مخربانه از طریق جایگزینی داده های غیر كنترلی را خواهد داشت. این روتكیت بر مبنای این حقیقت استوار است كه كه یوتیلیتی های پردازش حسابداری نظیر ps و برنامه های زمان بندی وظایف كرنل دارای لیست های فرایندی مختلفی هستند.

تشخیص حملات مخفیانه مدرن. ما از پنج حمله مخفی توسعه یافته بوسیله ما و دیگر موارد به بحث گذاشته شده در مقوله قبلی جهت تست گیبرالتر استفاده نمودیم. جدول 5 این حملات را خلاصه كرده و نشان دهنده ساختارهای داده تغییر یافته بوسیله این حمله، نوع تغییر ناپذیری (مجموعه/آبجكت) كه شامل موارد نقص شده هستند و قالبی كه اقدام به دسته بندی چنین مواردی می نماید، می‌باشد. تمامی این موارد بصورت مداوم بوده كه به هنگام بوت مجدد ماشین مقصد نیز همچنان تداوم می یابند. ما اقدام به بحث موارد نقص شده بوسیله هر حمله به تفصیل خواهیم نمود. جزئیات اولین چهار حمله ذكر شده ذیل قبلاً در بخش 2 توصیف شده است.

غیر فعال سازی حمله فایروال

گیبرالتر اقلام تغییر ناپذیری که در شکل 11 در چهارچوب netfilter برای غیر فعال نمودن حمله فایروال مشخص شده است را استنتاج نموده است. این حمله اقدام به رونویسی هوک/ قلاب با تابع حمله می نماید و از این طریق اقدام به نقض اقلام تغییر ناپذیری می‌نماید. در عین حال اشاره گر تابع nf_hooks[2][1].next.hook یک ثابت است. از آنجایی که این حمله اقدام به تغییر اشاره گرهای تابع کرنل می نماید، این معضل را می توان بوسیله SBCFI تشخیص داد، که بصورت اتوماتیک اقدام به استخراج و اعمال جامعیت جریان کنترل کرنل می نماید. در حقیقت، پارامترهای تغییر ناپذیر اشاره گر تابع که بوسیله گیبرالتر مشخص شده اند، بطور تلویحی مشخص کننده یک خط مشی جامعیت جریان کنترل می باشند که مساوی با SBCFI است.

حمله اتلاف منابع

گیبرالتر مشخص کننده پارامترهای تغییر ناپذیری است که در شکل 12 برای سه مورد از حملاتی که موجب اتلاف منابع می شوند نشان داده شده است. این مقادیر در زمان شروع بکار سیستم آغاز شده و بطور معمول در یک کرنل عادی تغییر نمی یابند. این حمله اقدام به تغییر معیارهای صفحات میانی، صفحات پایینی و صفحات بالایی به 210000، 215000 و 220000 بترتیب می‌نماید. مقادیر این معیارها نزدیک به 225280 می باشند که مجموعه کل صفحات موجود در سیستم ما است. گیبرالتر این حمله را تشخیص می دهد که چراکه موارد تغییر ناپذیر نشان داده شده در شکل 12 نقص شده اند.

حمله آلوده کننده انباره آنتروپی

شکل 13 نشان دهنده موارد تغییر ناپذیری است که گیبرالتر برای ضرایب چند اسمی مشخص ساخته است و جهت تحرک انبارهای آنتروپی در یک کرنل معمولی و بدون مشکل بکار گرفته می‌شود (ساختار داده ای poolinfo كه در این شکل نشان داده شده است بوسیله کرنل بصورت random_state->poolinfo / sec_random_state->pooinfo نشان داده شده است. این ضرایب در زمان آغاز بکار سیستم راه اندازی شده و نباید در طی اجرای کرنل تغییر كنند. این حمله اقدام به نقض این موارد تغییر ناپذیر و به هنگامی می نماید که ضرایب چند اسمی ها صفر می گردند. گیبرالتر این حمله را زمانی تشخیص می دهد که پارامترهای تغییر ناپذیر نقص می شوند.

حمله غیر فعال سازیPRNG

پارامترهای تغییر ناپذیر حاصله از سوی گیبرالتر برای سیستم ما در زمینه random fops و urandom fops در شکل 14 نشان داده شده است. کد حمله اقدام به تغییر مقادیر دو اشاره گر تابع فوق نموده و از این طریق سبب نقص پارامترهای تغییر ناپذیر می شود. همانند حمله 1، این حمله نیز با استفاده از SBCFI قابل تشخیص می باشد.

حمله اضافه نمودن فرمت باینری

پارامترهای تغییر ناپذیر حاصل آمده از گیبرالتر که در شکل 15 در لیست فرمت های سیستمی ما نشان داده شده است دارای دو فرمت باینری رجیستر شده می‌باشند. اندازه این لیست پس از شروع بکار سیستم ثابت می باشد و تنها زمانی تغییر می یابد که یک فرمت باینری جدیدی نصب شده باشد. از آنجایی که این حمله یک فرمت باینری جدید را درج می کند، سبب تغییر طول لیست فرمتها شده و از این طریق موجب نقص پارامترهای تغییر ناپذیر در شکل 10 شده و از این طریق گیبرالتر توانایی تشخیص این حمله را خواهد داشت.

اقلام تغییر ناپذیر و مثبت کاذب

پارامترهای تغییر ناپذیر. همانگونه که در بخش 3 بحث شد گیبرالتر از نظریه دیکون جهت استنتاج این موارد استفاده نموده و ویژگی های آبجک های منفرد و همچنین مجموعه آبجکت ها را مشخص نمود (نظیر آبجک های دارای نوع یکسان، پارامترهای تغییر ناپذیر مشخص شده در لیست‌های لینک نیز به عنوان موارد تغییر ناپذیر در این مجموعه مشخص شده اند).جدول 6 نشان دهنده تعداد موارد تغییر ناپذیر استنباط شده بوسیله گیبرالتر بر روی آبجکت های واحد و همچنین آبجکت های جمعی می باشد. جدول 6 همچنین معرف دسته بندی پارامترهای تغییر ناپذیر از طریق تمپلت ها یا قالب ها است. طول و زیر مجموعه این موارد تنها در لیست های لینک شده بکار گرفته می شوند. همانگونه که این جدول نشان می دهد، گیبرالتر بطور اتوماتیک چندین هزار مورد از اقلام تغییر ناپذیر در ساختارهای داده کرنل را مشخص می‌سازد.

عملکرد

ما اقدام به اندازه گیری سه ویژگی عملکرد گیبرالتر نمودیم: (الف) زمان فراگیری، یعنی زمانی كه بوسیله گیبرالتر صرف می شود تا آنكه قابلیت مشاهده هدف و استنتاج موارد تغییر ناپذیر بوجود آید، (ب) زمان تشخیص، یعنی زمانی كه صرف شده تا آنكه هشداری پس از مشخص شدن روتكیت اعلام شود (ج) سربار عملكرد، یعنی سرباری كه بر روی سیستم مقصد در نتیجه واكشی مقطعی صفحه از طریق DMA بوجود می آید.

زمان فراگیری یا آموزش. زمان فراگیری به عنوان مجموع زمان مشخص شده بوسیله گیبرالتر به منظور حاصل آوردن نسخه فوری از ساختار داده کرنل و استنتاج پارامترهای تغییر ناپذیر در زمان اجرا در حالات آموزشی صرف می شود. بطور کلی، فرایند کسب 15 مورد از نسخه‌های فوری از حافظه کرنل مقصد تقریباً نیازمند 25 دقیقه زمان می باشد و در پی آن 31 دقیقه  جهت استنتاج موارد تغییر ناپذیر مورد نیاز می باشد که مجموع آن 56 دقیقه را برای آموزش طلب می کند.

نتیجه گیری

 به طور متعارف، برنامه های روتكیت اقدام به ورود مخفیانه خود به داخل كرنل نموده تا آنكه بتوانند اقدامات نهانی خود را كه دارای بیشترین عملكرد مخربانه می باشد را از طریق همراه سازی آنها با برنامه های فضایی كاربر پیاده كنند. بنابراین، رویه نهانی كاری از طریق سعی در مخفی سازی آبجكت ها نظیر فایلها، پردازش ها و اتصالات شبكه موجود در فضای كاربر و اتصال آن به فرد مهاجم اعمال می شود. از آنجایی كه برنامه فضای كاربر قابلیت دسترسی و تغییر آبجكت های فضای كاربر با استفاده از تابع فراخوانی سیستمی را خواهند داشت، روتكیت تنها محدود به دستكاری كد یا ساختارهای داده ای هستند كه تنها از طریق مسیرهای فراخوانی سیستم قابل دسترسی می باشند.

ما كلاس جدیدی از حملات مخفیانه را ارائه نمودیم كه از رفتار مخفی كاری سنتی استفاده نكرده و بر این مبنا روتكیت ها با تكنیك های جدید سعی در طراحی روشهای مخفیانه نوینی نموده اند. آنها اقدام به دستكاری داده ها در داخل چندین زیر مجموعه مختلف در كرنل نموده تا آنكه اهداف مخربانه خود را انجام دهند. آنها بر مبنای این مشاهده فعالیت می كنند كه روتكیت های كرنل الزاماً محدود به دستكاری ساختارهای داده، كه در داخل مسیرهای فراخوانی سیستمی قرار گرفته‌اند، نمی باشند. دیگر زیر سیستم ها در داخل كرنل نیز در معرض خطر این حملات خواهند بود. جهت نمایش این خطر، ما اقدام به ایجاد چندین حمله جدید نمودیم. ما پروتوتایپ‌ها یا نمونه‌های حمله را طراحی نموده تا آنكه نشان دهیم كه چنین حملاتی واقعی بوده و مشخص كننده مشكلات بیشتر سیستماتیك در كرنل می باشند.

تكنیك های تشخیص روتكیت ارائه شده قبلی به میزان زیادی قابلیت تشخیص حملاتی را داشتند كه اقدام به تغییر داده های کنترلی کرنل می نمودند. تکنیکهایی که توانایی تشخیص حملات داده‌ای غیر کنترلی را دارند، مخصوصاً بر روی ساختارهای داده ای كه بطور اتوماتیك تخصیص می‌یابند، نیازمند مشخصات جامعیت ساختاری داده ای هستند که باید آن را بصورت دستی تأمین نمود. در این مبحث، ما یک روش تشخیص روتکیت جدید را ارائه نمودیم که قابلیت تشخیص روتکیت ها بصورت یکنواخت در خلال داده های کنترلی و غیر کنترلی را خواهد داشت. این دیدگاه بر مبنای این فرضیه استوار است که چندین پارامتر تغییر ناپذیر بوسیله ساختارهای داده کرنل در زمان اجرا در طی عملیات صحیح آن وجود دارند. روتکیتی که اقدام به تغییر رفتار الگوریتم های کرنل می نماید برخی از این پارامترهای تغییر ناپذیر یا ثابت را نقص خواهد نمود. ما پروتوتایپ گیبرالتر، بعنوان ابزاری برای استنتاج اتوماتیك و بررسی مشخصه های جامعیت ساختار داده کرنل،  را عرضه نمودیم. گیبرالتر می تواند جامعیت و یکنواختی این  خصیصه های تغییر ناپذیر، در خلال داده های کنترلی و غیر کنترلی کرنل، را مشخص نموده و از آنها به عنوان مشخصه های جامعیت ساختار داده استفاده نماید. تجارب ما معرف آن است که گیبرالتر بصورت موفقیت آمیزی توانایی تشخیص روتکیت هایی را خواهد داشت که اقدام به تغییر هر دو حالت کنترلی و غیر کنترلی ساختارهای داده می نمایند و همچنین این عمل را با یک نرخ مثبت کاذب پایین و سربار عملکرد قابل اغماض انجام می دهند.

خطرات سیستماتیك بر علیه داده های كرنل : تكنیكهای حمله و دفاع