Интроспекция виртуальных машин

Интроспекция виртуальных машин (англ. Virtual machine introspection, VMI) (в компьютерах) — это технология для мониторинга внутреннего состояния виртуальной машины. Она может использоваться для отладки, расследования инцидентов или обнаружения вредоносного кода.[1][2][3]

Термин интроспекция по отношению к виртуальным машинам впервые был использован в работе Гарфинкеля и Розенблюма.[4] Они предложили подход к защите приложений от атак вредоносных программ. Сейчас интроспекция используется также для обозначения других методов анализа, наблюдения и отладки.[5]

Программные средства для интроспекции могут работать как внутри анализируемой системы, так и вне ее. Они могут отслеживать события машины (прерывания, обращения к памяти) или обращаться к гипервизору за необходимой информацией. Гипервизор обычно предоставляет низкоуровневую информацию о состоянии системы (например, содержимое ячеек памяти). Проблема преобразования этой низкоуровневой информации в высокоуровневую (например, выделение структур данных) известна как семантический разрыв. Эта проблема решается с помощью развития методов интроспекции виртуальных машин.[6]

Интроспекция внутри виртуальной машины

Программы, работающие в виртуальной машине могут получать информацию о других процессах, а затем передавать ее по сети для последующего анализа. Примеры таких программ — это сервисы отладчиков WinDbg[7] или GDB[8]. Они взаимодействуют с удаленным отладчиком, позволяя изучать процессы в виртуальной машине.

Основной недостаток такого подхода в том, что операционная система и ее сервисы должны функционировать. Отладить программу не удастся, если ОС еще не загружена или зависла.

Интроспекция извне виртуальной машины

Средства интроспекции могут быть реализованы в гипервизоре[9][10] или в виде внешнего приложения[11], получающего от гипервизора информацию. Эта информация должна интерпретироваться, чтобы определить какие именно процессы происходят внутри системы. Volatility framework — одно из средств для такой интерпретации.[12] Volatility позволяет анализировать содержимое дампов памяти для множества операционных систем, извлекая оттуда такие сведения, как дерево процессов или список объектов ядра.

References

  1. https://link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_647 Encyclopedia of Cryptography and Security: Virtual Machine Introspection
  2. https://github.com/libvmi/libvmi LibVMI: Simplified Virtual Machine Introspection
  3. http://www.novsu.ru/file/1180100 Интроспекция виртуальных машин
  4. https://suif.stanford.edu/papers/vmi-ndss03.pdf A Virtual Machine Introspection Based Architecture for Intrusion Detection
  5. OpenNews: Выпуск платформы виртуализации XenServer 7
  6. https://elibrary.ru/item.asp?id=30035372 Легковесный метод интроспекции виртуальных машин
  7. https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/remode-debugging-using-windbg Remote Debugging Using WinDbg
  8. https://sourceware.org/gdb/onlinedocs/gdb/Server.html Using the gdbserver Program
  9. https://wiki.xenproject.org/wiki/Virtual_Machine_Introspection VMI in Xen
  10. https://dl.acm.org/citation.cfm?id=3122817 QEMU-based framework for non-intrusive virtual machine instrumentation and introspection
  11. https://github.com/Cisco-Talos/pyrebox Python scriptable Reverse Engineering sandbox
  12. https://github.com/volatilityfoundation/volatility Volatile memory extraction utility framework
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.