В работе были исследованы особенности создания защищенной программной среды для запуска «недоверенного» программного обеспечения (это могут быть как заведомо вредоносные программы, так и программы с неизвестной функциональностью), и создана про­граммная реализация защищенной среды для операционных систем семейства WindowsNT.

 

Работа программы основана на следующих принципах. В опера­ционной системе пользовательские процессы не имеют непосредст­венного доступа к оборудованию, объектам операционной системы, системным таблицам и т. д., так как эти операции являются потенци­ально опасными для безопасности и стабильности системы. Эта ра­бота возложена на доверенный код самой операционной системы. Поэтому когда процессу необходимо, например, прочитать файл с диска, он обращается с соответствующим запросом к операционной системе. Эти запросы осуществляются через механизм системных вызовов (системных сервисов). Таким образом, для контроля над приложением достаточно контролировать выполнение его систем­ных вызовов. Существует множество методов слежения за систем­ными вызовами. В работе был использован способ замены адресов системных вызовов, являющихся функциями ядра операционной к истемы, в таблице системных вызовов, так как этот метод обеспе­чивает большую гибкость обработки системного вызова.

Разработанное программное обеспечение предоставляет сле­дующие возможности:

  1. отслеживание потенциально опасных действий исследуемого приложения;
  2. получение детальной информации о выполняемых приложе­нием действиях;
  3. контроль над системными операциями приложения:

-       запрет операций,

-       модификация передаваемых приложением параметров (может и шенить суть выполняемой операции),

-       модификация возвращаемых приложению данных;

      - протоколирование действий приложения.

Разработанное программное обеспечение позволяет исследовать приложения на более высоком уровне абстракции, чем отладчики. Появляется возможность работать на уровне интерфейса операцион­ной системы (системные вызовы), а не на уровне интерфейса про­цессора (машинные команды). Это может бьггь полезным, когда не­обходимо следить за операциями над системными ресурсами (файлами, сетевыми соединениями, процессами, системными таблицами и т. д.), и при этом не важны операции над конкретными регистрами и ячейками памяти.

|
Copyright © 2020 Профессиональный педагог. All Rights Reserved. Разработчик APITEC
Template Settings
Select color sample for all parameters
Red Green Blue Gray
Background Color
Text Color
Google Font
Body Font-size
Body Font-family
Scroll to top