Virtual machine introspection (VMI) describes the method of monitoring, analyzing, and manipulating the state of a virtual machine from the hypervisor level. This lends itself to many security applications, though they all share a single fundamental challenge: One must address the fact that the hypervisor has no semantic knowledge about what the system state means. Traditionally, this semantic knowledge is simply delivered to the hypervisor in the form of debugging symbols, symbol tables, etc. On the other hand, it is possible to derive information about the guest OS by considering hardware features and their specifications. The main contribution of this research is an examination of such derivative VMI methods and their strengths. This culminates in the introduction of a novel derivative method for collecting system calls from the hypervisor which is completely guest OS agnostic and cannot be evaded from within the guest.
«
Virtual machine introspection (VMI) describes the method of monitoring, analyzing, and manipulating the state of a virtual machine from the hypervisor level. This lends itself to many security applications, though they all share a single fundamental challenge: One must address the fact that the hypervisor has no semantic knowledge about what the system state means. Traditionally, this semantic knowledge is simply delivered to the hypervisor in the form of debugging symbols, symbol tables, etc....
»
Translated abstract:
Virtual-Machine-Introspection (VMI) bezeichnet die Überwachung, Analyse und Manipulation des Zustands einer virtuellen Maschine auf der Hypervisor-Ebene. Diese Methode eignet sich besonders für Sicherheitsanwendungen. Eine fundamentale Herausforderung dieses Ansatzes ist das Fehlen von semantischem Wissen über den Systemzustand innerhalb des Hypervisors. Traditionelle Methoden liefern dieses semantisches Wissen einfach an den Hypervisor in Form von Debugging-Symbolen, Symboltabellen usw. Es ist aber auch möglich, Wissen über das Gast-Betriebssystem aus den Hardwarefunktionen und ihren Spezifikationen abzuleiten. Der wichtigste Beitrag dieser Forschungsarbeit ist die Untersuchung von sogenannten derivativen VMI Methoden und ihren Stärken. Diese Untersuchung führt letztendlich zu der Einführung eines neuen derivativen Verfahrens zur Erfassung von System-Calls durch den Hypervisor.
«
Virtual-Machine-Introspection (VMI) bezeichnet die Überwachung, Analyse und Manipulation des Zustands einer virtuellen Maschine auf der Hypervisor-Ebene. Diese Methode eignet sich besonders für Sicherheitsanwendungen. Eine fundamentale Herausforderung dieses Ansatzes ist das Fehlen von semantischem Wissen über den Systemzustand innerhalb des Hypervisors. Traditionelle Methoden liefern dieses semantisches Wissen einfach an den Hypervisor in Form von Debugging-Symbolen, Symboltabellen usw. Es ist...
»