This dissertation proposes an extensible integrity framework which: 1. forms a continuous trust chain from the firmware to applications, 2. while providing continuous runtime monitoring of the kernel. Such a solution would be necessary to provide an effective non-signature based detection of rootkit. To overcome the problem of code modification due to relocation and linking, a pre-processing stage is designed to extract information from a known Linux kernel and windows kernel so that it can be efficiently verified against the kernel’s memory footprint in runtime. Then, an in-memory verification scheme is integrated with both a software and hardware-based virtualization technique to achieve near-native performance. The verification results from the kernel runtime monitoring is integrated with upstream measurement of a trusted boot process using techniques developed from Trusted Computing.     «

This dissertation proposes an extensible integrity framework which: 1. forms a continuous trust chain from the firmware to applications, 2. while providing continuous runtime monitoring of the kernel. Such a solution would be necessary to provide an effective non-signature based detection of rootkit. To overcome the problem of code modification due to relocation and linking, a pre-processing stage is designed to extract information from a known Linux kernel and windows kernel so that it can...     »

Das Ziel dieser Dissertation ist es ein entsprechendes erweiterbares, integriertes Framework zu entwickeln: 1. Bereitstellung von komponentenuebergreifenden, kontinuierlichen Sicherungsschutzmechanismen von Firmware bis hin zu Anwendungen. 2. Kontinuierliches Überwachen des Betriebssystemkerns zur Laufzeit. Solch eine Lösung ist notwending um eine nicht-Signatur-basierende Erkennung von Rootkits zu ermöglichen. Um das Problem der Code-Änderung zu bewältigen, wird eine Pre-Processing-Phase entwickelt. Solch eine zusätzlich Phase extrahiert Informationen von das Betriebssystemkernen, damit diese während der Laufzeit effizient bezüglich ihres Profiles im Speicher verifiziert werden können. Dann durch ein In-Memory-Verifizierungsschema ist sowohl in einer Software-basierten sowie einer Hardware-basierten Virtualisierungstechnik integriert, um eine bestmöglichste Leistungsfähigkeit zu erreichen. Verifizierungsergebnisse von der Laufzeitüberwachung werden mit den Messung, die während eines vertrauenswürdigen Systemstarts genommen wurden integriert.     «

Das Ziel dieser Dissertation ist es ein entsprechendes erweiterbares, integriertes Framework zu entwickeln: 1. Bereitstellung von komponentenuebergreifenden, kontinuierlichen Sicherungsschutzmechanismen von Firmware bis hin zu Anwendungen. 2. Kontinuierliches Überwachen des Betriebssystemkerns zur Laufzeit. Solch eine Lösung ist notwending um eine nicht-Signatur-basierende Erkennung von Rootkits zu ermöglichen. Um das Problem der Code-Änderung zu bewältigen, wird eine Pre-Processing-Phase en...     »