OS Kernel Hashing

Navega tus respuestas
4

¿Alguien ha tenido experiencia o tiene conocimiento de algún producto que contenga el kernel del sistema operativo? Esto se usaría, idealmente, para observar los compromisos del sistema, la auditoría, la administración de cambios, etc. Estoy buscando productos, ya sean de código abierto o comerciales, que tengan esta capacidad. Si tal producto no existe, ¿alguien tiene alguna idea sobre cómo se podría hacer esto? Además, si esto no está disponible actualmente, ¿alguien sabe de alguna investigación académica que se haya realizado en este ámbito?

Gracias de antemano.

    
pregunta John 20.05.2011 - 01:49
fuente

3 respuestas

3

Sí, se llama un tripwire que protege el kernel y otros binarios. Ver el núcleo solo no es suficiente. Los módulos del kernel se pueden cargar en tiempo de ejecución y esto no afectaría al hash del kernel, pero los rootkits LKM ya no son un problema. Hoy en día, incluso con un tripwrire, la máquina aún puede verse comprometida con un rootkit de hipervisor y Tripwire no detectaría esto. ataque. Las nuevas Pautas de protección de NIST BIOS son interesantes.

    
respondido por el rook 20.05.2011 - 01:53
fuente
3

Si tiene una computadora con un TPM , debe tener en cuenta la función de arranque seguro.

Hay una opción en Microsoft Bitlocker para aprovechar las implementaciones de TPM 1.2 y obligar al TPM a liberar las claves solo si todas las comprobaciones de integridad están bien.

    
respondido por el john 20.05.2011 - 02:03
fuente
2

No tiene sentido hashear tu kernel, especialmente de Ring-3. Si alguien realmente tiene privilegios de kernel, entonces puede interceptar / modificar sus solicitudes para hacer hash del kernel y generar lo que su programa quiera ver.

    
respondido por el Marcin 20.05.2011 - 15:58
fuente

Lea otras preguntas en las etiquetas

Trabajando con datos confidenciales en la nube cómo proteger la clave pública de Android Market