実行可能ファイルの実行開始時(デジタル署名を使用)に実行可能ファイルの整合性を検証するLinuxセキュリティモジュールの作成が終了しました。今私は少し深く掘り下げて、実行時にファイルの整合性をチェックしたいと思っています(つまり、定期的にチェックしてください - 攻撃者が起動して永久に実行するプロセスを扱っているためです)。主メモリ内のファイルを識別することなく変更することができます(少なくともしばらくしてから)。実行ファイルの実行時の整合性チェック
ここで問題となるのは、ファイルの現在のメモリイメージをどのように確認できるかわかりません。上記の私の認証方法は、実行前にファイルがmmapされるたびに呼び出されるmmap-hookを利用しますが、LSMフレームワークは定期的なチェックのためのツールを提供していません。
私の質問:どのように私はこれを始めるshoudlのヒントがありますか?私はどのようにメモリイメージを読み取り、その整合性をチェックできますか?
は、私はあなたが何をしようとして理解し、私は、これはあなたに正当な理由なく、暖かいファジーな感じを与えるセキュリティ機能であり得ることを本当に心配しているあなたに
ヒープ、スタックスペース、mallocのメモリなどに変数を作成して格納するアプリケーションを処理する方法を提案しますか? – fpmurphy1
メモリのこの部分は動的なので、プログラムが実行されると、この部分を検証する良い方法はないと思います。おそらく、固定セクションに固執して、攻撃者がそこで何も変更していないことを確認しなければならないでしょう。 – Chris
セキュリティモジュールはHLOSまたはカーネルに常駐していますか? カーネルの場合は、vmallocではなくkmallocを使用してアドレスが連続していることを確認してください。 –