حماد افضلی ننیز - آزمایشگاه امنیت سیستم عامل، دانشگاه الزهرا، تهران
رضا عزمی - استادیار گروه مهندسی کامپیوتر، دانشکده فنی، دانشگاه الزهرا، تهران

بدافزارهای پنهان هسته ی سیستم عامل (روتکیت ها) می توانند سیستم های کامپیوتری را تا مدت ها در معرض آسیب های امنیتی قرار دهند. اغلب روتکیت ها برای پنهان ماندن از دید ابزارهای نظارتی، داده های کنترلی سیستم را تغییر می دهند و برخی دیگر به جعل داده های غیرکنترلی می پردازند. تاکنون برای مقابله با روتکیت ها روش هی مختلفی ارایه شده که اغلب از دید روتکیت ها شفاف نبوده (نتایج قابل اطمینانی از وضعیت اجرایی سیستم ارایه نمی کنند) و یا به بررسی تغییرات در داده های کنترلی اکتفا می کنند. در این مقاله، یک روش شفاف کنترل جامعیت داده های هسته (شناسایی روتکیت ها) ارایه می شود که با استفاده از بازسازی اشیا پویا هسته و طی رویکردی چند مرحله ای، بر تغییرات داده های حیاتی هسته ی سیستم عامل نظارت دارد. بررسی صحت ثبات های پردازنده، جدول فراخوانی سیستمی، فیلدهای حساس ساختار داده ها، لیست های پیوندی و همچنین ارتباطات بین ساختاری، مراحل کنترل جامعیت را تشکیل می دهند. یک نمونه اولیه از روش پیشنهادی ما بنام TINC در سطح مانیتور ماشین مجازی نوع اول (ناظر) و بر بستر سیستم عامل لینوکس پیاده سازی شده است که اشیاء حساس و پویا هسته را در مدت 38 میلی ثانیه بازسازی می کند. ارزیابی TINC با یازده روتکیت حقیقی نشان داد که روش پیشنهادی ما در مدت 29 میلی ثانیه، عملیات کنترل جامعیت و شناسایی انواع روتکیت ها را انجام می دهد.

روتکیت، ساختار داده ی هسته، روابط بین ساختاری، کنترل جامعیت داده ها، شناسایی روتکیت ها، ماشین ناظر