Disons que j'ai un invité Linux en cours d'exécution dans Xen et je veux que Xen vérifie l'intégrité du noyau invité, de sorte que je sache qu'il n'y a pas de rootkits, ni similaire, actif.
Existe-t-il un moyen d'accomplir cela avec Xen ou d'autres hyperviseurs?
xM Dump-noyau -> Dump de la mémoire Xen
http://www.segmentationfault.fr/projets/volatilitux-physical-memory-analysis-linux-systems/
Recherche de processus actifs et de fichiers ouverts.
Foremost pour rechercher des fichiers
Dans le temps depuis que cette question a été posée, quelques-uns ont été libérés. De ceux-ci, un seul est en commun, qui est RKP de Samsung Knox. C'est une solution basée sur l'hyperviseur qui vérifie l'intégrité du noyau en cours d'exécution. Il fonctionne en détectant la modification des structures de noyau et de la surveillance des informations d'identification.
Il existe également des conceptions expérimentales, telles que SECICOR et capsule .
Le noyau Linux est en train de mettre en œuvre ROE pour KVM sur les systèmes X86:
ROE est un hypercall qui permet à un système d'exploitation hôte de limiter l'accès de l'invité à sa propre mémoire. Cela fournira un mécanisme de durcissement qui peut être utilisé pour arrêter les rootkits de manipuler des structures de données statiques du noyau et du code. Une fois qu'une région de mémoire est protégée, le noyau invité ne peut même pas demander de nuire à la protection.
blockwatch OS Guest Monitor's en inspectant des instantanés de mémoire.
Il utilise des instantanés car ils peuvent généralement être convertis en format commun (MiniDump), c'est le cas pour Hyper-V et VMware.
Blockwatch a également python Scripting pour automatiser l'instantané/Exportation/Nettoyage de la mémoire/Nettoyage. La validation de la mémoire est effectuée avec Hash cryptographiquement Secure (Tiger192). Actuellement valide les systèmes d'exploitation Windows 32 et 64 bits.