Hash del kernel OS

4

Qualcuno ha avuto esperienza o conoscenza di prodotti che hanno il kernel del sistema operativo? Questo sarebbe usato, idealmente, per la visione di compromessi del sistema, auditing, gestione dei cambiamenti, ecc. Sto cercando prodotti, sia open source che commerciali, che abbiano questa capacità. Se un tale prodotto non esiste, qualcuno ha qualche idea su come questo potrebbe essere fatto? Inoltre, se questo non è attualmente disponibile, qualcuno sa di qualche ricerca accademica che è stata eseguita in questa arena?

Grazie in anticipo.

    
posta John 20.05.2011 - 01:49
fonte

3 risposte

3

Sì, si chiama tripwire che protegge il kernel e altri binari. Guardare il kernel da solo non è abbastanza. I moduli del kernel possono essere caricati in fase di esecuzione e ciò non influisce sull'hash del kernel, ma i rootkit LKM non sono più un problema. Oggi, anche con un tripudio, la macchina può ancora essere compromessa con un Hypervisor rootkit e un tripwire non rileva questo attacco. Le nuove le linee guida sulla protezione del BIOS NIST sono interessanti.

    
risposta data 20.05.2011 - 01:53
fonte
3

Se hai un computer con un TPM dovresti cercare la funzione Secure Boot.

Esiste un'opzione in Microsoft Bitlocker per sfruttare le implementazioni di TPM 1.2 e imporre al TPM di rilasciare le chiavi solo se tutti i controlli di integrità sono soddisfacenti.

    
risposta data 20.05.2011 - 02:03
fonte
2

Non ha senso fare un hashing del kernel, specialmente da Ring-3. Se qualcuno ha effettivamente i privilegi del kernel, allora possono intercettare / modificare le tue richieste per hash il kernel e produrre tutto ciò che il tuo programma vorrebbe vedere.

    
risposta data 20.05.2011 - 15:58
fonte

Leggi altre domande sui tag