基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

基于内核函数监控的Linux系统防护方法的研究与实现

伴随Linux操作系统在服务器市场所占份额的迅速增长及其内核漏洞曝光率的不断增加,Linux内核安全已成为计算机系统安全领域的研究焦点之一。文章以运行Linux系统的服务器为研究对象,提出了一种基于内核函数监控的系统防护模型,试图通过限制相关服务进程所能访问的内核函数范围,使恶意攻击的难度加大进而增强Linux内核安全,同时通过对内核函数各种异常调用情况的分级分类实时处理,从而提升整个服务器系统的安全水平。原型实验结果表明,文章所提方法能够及时检测到相关服务进程对内核函数的异常调用情况,并给以适当的报警或拦截处理,而且由此带来的额外开销完全可以承受,从而验证了本文方法的可行性和有效性。与内核安全防护的其他研究工作相比,文章所提方法所涉内核防护覆盖范围更大且无需重新编译构建内核映像,并切实做到了监测与防护的有机结合。