ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в выборочном инструментировании (Иван Васильев, ISPRASOPEN-2018)

Материал из 0x1.tv

Докладчик
Иван Васильев

В настоящее время динамический бинарный анализ является одной из ключевых и самых перспективных техник в анализе программ и систем. В основе динамического бинарного анализа как правило лежит техника динамического бинарного инструментирования. Наиболее интересна техника полносистемного инструментирования, так как она позволяет анализировать операции, происходящие на уровне ядра и отслеживать взаимодействия между разными процессами.

Полносистемное инструментирование позволяет выполнять широкий ряд задач, стоящих перед аналитиком, но при этом имеет недостатки — инструментирование всей системы способствует большим накладным расходам как по скорости работы исследуемой системы, так и по количеству полученных для анализа данных, что в значительной мере затрудняет работу аналитика. Одним из путей решения данной проблемы является выборочное инструментирование — объектом инструментирования становится отдельный процесс, поток в исследуемой системе.

Аналитик имеет возможность конкретизировать интересующую его информацию для исследования, при этом не теряя потенциальных возможностей полносистемного анализа. Для реализации выборочного инструментирования возникает необходимость решить задачу идентификации текущих процессов, потоков, или более высокоуровневых абстракций, чтобы впоследствии определить область применения инструментирования. В рамках данной статьи мы рассмотрим ряд существующих фреймворков и способы получения интересующей нас информации в них, выявим возникающие при этом проблемы и недостатки существующих реализаций, опишем реализацию выборочного инструментирования для отдельных процессов для ARM и x86 и предложим вариант для реализации выборочного инструментирования для потоков.

Видео

Посмотрели доклад? Понравился? Напишите комментарий! Не согласны? Тем более напишите.

Презентация

ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании.pdf
ОС-независимая идентификация процессов и потоков в условиях полносистемного эмулятора для применения в инструментировании!.jpg

Примечания и ссылки