mfm.iranweb3.com

و اما حرف آخر...

1390|6|24|4 11|31

خب در اینجا وظیفه خودم می دونم که همازآقای دکتر کارگر قدردانی کنم ، بخاطر:

1)راهنمایی های ارزنده شون طی ارائه ی این گزارش.

2)یادآوری خاطرات خوش چند سال قبل از طریق راه اندازی مجدد iranweb3

و هم از دوستانیکه لطف کردن و با حسن نظرشون نسبت به این وبلاگ ، منو خوشحال کردن.

امیدوارم iranweb3 هر روز بهتر از قبل بشه و سال های سال ادامه پیدا کنه . بروز کردن این وبلاگ طی 24-25 روز گذشته واسه من یکی که تقریبا تبدیل به یه عادت شده بود و از اینکه واسش وقت می ذاشتم ، واقعا لذت می بردم. امیدوارم مطالب ارائه شده ، برای آقای دکتر کارگر قابل قبول و برای سایر بازدیدکنندگان هم مفید باشه.

برای همه تون آرزوی سلامتی و موفقیت دارم ،اگه عمری باقی موند برمی گردم ، اما فعلا باید بگم این وبلاگ :

زمینه های پیشنهادی برای کار آینده

1390|6|19|6 13|36

رویکرد کشفی که تو این تحقیق در موردش صحبت کردم ، فقط حضور rootkit را کشف می کرد اما سیستم رو به حالت امن اولیه برنمی گردوند ، می شه تو این زمینه تحقیقاتی رو انجام داد بطوری که بعد از کشف rootkit اقداماتی برای برگشت سیستم به حالت امن اولیه صورت بگیره.

همچنین امروزه سیستم عامل ها به دلیل پیشرفته و پیچیده تر شدنشان ، ساختار داده هایی رو برای عملیات مختلف خود تعریف می کنن و با آنها کار می کنن که هر یک از این ساختار داده ها می تواند به عنوان هدفی برای سوء استفاده مهاجمان تلقی بشه ، بنابراین می شه با تحقیقات بیشتر ، ساختار داده های گوناگون سیستم عامل رو شناسایی و راه نفوذ مهاجمان را سد کرد.

نتایج تجربی حاصل شده

1390|6|16|3 1|46

نتایج حاصل از اِعمال الگوی Gibraltar روی سیستم عامل آلوده به صورت زیر است :

1-دقت کشف

سودمندی Gibraltar برای کشف rootkit های عمومی ای که تو بروشورهای تحقیقاتی ، پیشنهاد شدن هم تست شده و مشخص شده که Gibraltar همه این rootkit ها رو کشف می کنه.

2-False positives

یادتونه که گفتم در طول فاز اجرا ، Gibraltar در صورت کشف تخطی از مقدار یک ثابت ، هشدار می ده. اگه تخطی به علت یک تغییر بدخواه نباشه ، هشدار داده شده یک Falsepositives است. (به زبان خودمون یعنی هشدار غلطی که قابل چشم پوشیه). میزان False positives مربوط به Gibraltar به طور متوسط حدود 0.65% است.

3-کارایی

سه جنبه از کارایی Gibraltar اندازه گیری و مشخص شده که سربارکاراییبسیارناچیزیدرحد 0.49% برای این معماری وجود داره.

ثابت های تعریف شده با استفاده از الگوی Gibraltar

1390|6|15|2 2|20

در تمامی حملات معرفی شده ، Gibraltar ثابتهای رضایت بخشی رو روی ساختار داده هایی که مورد حمله قرار گرفتن ، تعریف می کنه و به محض تخطی از مقادیر این ثابت ها هشداری مبنی بر کشف حمله نشان می ده.

ثابت های تعریف شده تو جدول زیر لیست شدن :

معماری Gibraltar

1390|6|14|1 0|04

به این شکل نگاه کنین :

این شکل ، معماری Gibraltar رو نشون می ده ، این معماری 2 تا مُد داره که عبارتند از :

1)training mode و 2) enforcement mode.

در مُد اول ، Gibraltar ثابت ها را با توجه به ساختار داده های هسته ی مقصد استنتاج می کنه و در مُد دوم Gibraltar مطمئن می شه که ساختار داده روی هسته ی مقصد رضایت بخش است یا نه.

همونطور که تو شکل بالا می بینین، Gibraltar ، چهار تا مولفه کلیدی داره که عبارتند از :

1) Page Fetcher.

2) Data Structure Extractor.

3) Invariant Generator.

4) Monitor .

گام ها در مُد اول :

الف)Page fetcher آدرس حافظه فیزیکی را به عنوان ورودی از Data Structure Extractor دریافت می کنه و صفحه حافظه متناظر با آن آدرس رو از مقصد فراهم می کنه.

ب)Data Structure Extractor مقادیر ساختار داده های روی هسته ی مقصد رو استخراج می کنه. این کار رو از طریق تحلیل 2 آیتم انجام می ده :

1-تحلیل صفحات حافظه فیزیکی خام.

2-تحلیل دو ورودی دیگه به نام های Kernel Data Definitions و Root Symbols .

توجه : این دو ورودی ، از طریق تحلیل آفلاین کد ورژن هسته ی اجرا شده روی ماشین مقصد به دست می آید وخروجی Data Structure Extractor مجموعه ای از ساختار داده های هسته مقصده که بعنوان ورودی به Invariant Genetaror داده می شه.

ج)Invariant Genetaror بعد از پردازش ساختار داده ها ، ثابت هایی رو از آنها نتیجه گیریمی کنه. Invariant Genetaror برای این کار از Diakon استفاده می کنه.

توجه : Diakon سعی می کنه ثابت های برنامه رو بر اساس پیروی از مقادیر متغیر ها ، در طول اجراهای چندگانه از برنامه و همچنین به صورت پویا ، تولید کنه.

و اما در مُد دوم فقط یک گام داریم و اونم اینه که :

مؤلفه ی Monitor از ثابت ها به عنوان خصوصیات ساختار داده یکپارچه هسته استفاده می کنه تا تخطی از آنها را شناسایی کنه ، و به این ترتیب در صورت بروز تخطی ، حضور rootkit ها کشف می شه.

الگوی Gibraltar

1390|6|12|6 18|02

عقیده کلیدی این الگو ، مانیتور کردن مقادیر ساختار داده های هسته در طول 2 فازه:

1- فاز آموزشی : تو این فاز ثابت های رضایت بخش به وسیله ساختار داده ها تولید می شه. به طوری که این ثابت ها به عنوان خصوصیات ساختار داده های بی نقص در نظر گرفته می شن.

2- فاز اجرا : تو این فاز ، ثابت های فاز قبل ، چک شده و در صورتی که تخطی از یکی از آنها رخ داده باشه ، حضور یک rootkit کشف می شه.

از آنجا که هدف Gibraltar کشف rootkit ها است ، باید روی موجودیتی که خارج از کنترلهسته ی مانیتور شده است ، اجرا بشه ، مثلا یا بعنوان یک coprocessor یاداخلیکماشین مجازی جداگانه . تو معماری مورد نظر این مقاله ، Gibraltar روی یک ماشین جدا (ناظر) اجرا شده و اجرای ماشین مقصد (هدف) را مانیتور می کنه که تو شکل زیر دقیقاً مشخصه .

هر دو (ناظر و مقصد) از طریق یک شبکه back-end امن با استفاده از کارت های شبکه هوشمند Myrinet PCI به هم متصل شدن. شبکه back-end به Gibraltar اجازه می ده تا از راه دور به حافظه فیزیکی هسته ی مقصد دستیابی پیدا کنه و ثابت ها را از ساختار داده ها استنتاج کنه.

کشف rootkit ها از طریق استنتاج اتوماتیک ثابت ها

1390|6|11|5 12|59

خب اگه مطالب قبلی این وبلاگ رو خونده باشین ، 5 تا حمله معرفی کردم که با دستکاری داده های هسته لینوکس ، تو سیستم خرابکاری می کردن ، حالا می خواییم بدونیم چطوری می شه این حملات رو شناسایی کرد.

تو تحقیقی که من انجام دادم مشخص شد برای کشف اتوماتیک حملات مخفیانه روی هسته ، یک رویکرد جدید بر مبنای "automatic inference of data structure invariants" پیشنهاد شده. این رویکرد بر پایه ی یک فرضیه است به این معنی که ساختار های داده هسته ، در طول عملیات نرمال خودشون ، ثابت هایی رو تعریف می کنن. یک rootkit هسته وقتی تو سیستم نفوذ می کنه قطعا تغییراتی رو تو الگوریتم های هسته ایجاد کرده و با این تغییرات ، داره از بعضی از ثابت ها تخلف می کنه ، بنابراین به راحتی می تونه با استفاده از این رویکرد کشف بشه. این رویکرد می تونه به طور یکنواخت rootkit هایی که داده های با کنترل و یا بدون کنترل رو تغییر می دن ، کشف کنه. برای ارزیابی این فرضیه ، یک الگو ، طراحی شده بنام Gibraltar که در ادامه ، راجع بهش توضیح می دم...

حمله ی پنجم : اضافه کردن یک فرمت باینری جدید

1390|6|10|4 15|27

قبل از شرح حمله باید این نکات رو بدونیم که :

1-هسته سیستم عامل لینوکس فرمت های باینری ای که ساپورت می کنه رو تو لیست عمومی ای به نام formats نگه می داره.

2- هر زمان که فرمت جدیدی تو این لیست (formats) ثبت می شه ، یک handler معتبر بهش اختصاص پیدا می کنه.

3- هر زمان که فرآیند جدیدی روی سیستم ایجاد بشه ، هسته لینوکس ، "فضای آدرسی" فرآیند رو ایجاد کرده و تابع search_binary_handler رو فراخوانی می کنه.

توجه :تابع search_binary_handler مسئول لود کردن تصویر باینری فرآیند تو سیستم عامل لینوکسه.

4-این تابع همونطور که لیست formats رو برای پیدا کردن handler مربوطه مرور می کنه ، یکی یکی handler ها رو درخواست می کنه و در صورتی که یک handler کد خطای enoexec رو برگردونه ، handler بعدی تو لیست درخواست می شه و این کار ادامه پیدا می کنه تا نهایتا یک handler کد success رو تولید کنه.

و حالا نوبت شرح مکانیزمیه که حمله ی پنجم بکار می گیره تا تو سیستم خرابکاری بوجود بیاره :

این حمله بعد از ایجاد یک فرمت باینری جدید به عنوان اولین رکورد تو لیست formats و اختصاص یک handler غیر معتبر به آن ( توجه : این handler همیشه کد enoexec را بر می گردونه ) ، هر زمان که فرآیند جدیدی روی سیستم ایجاد بشه ، با فراخوانی آن handler بدخواه و غیرمعتبر ، یک کد ، که می تونه هر عمل مخربی تو سیستم بوجود بیاره ، رو اجرا می کنه.

عیدتون مبارک

1390|8|23|1 23|10

عید سعید فطر رو به آقای دکتر کارگر و همه کاربران محترم Iranweb3 تبریک می گم

حمله ی چهارم : غیرفعال کردن PRNG

1390|6|8|2 15|54

خب تو شرح حمله ی قبلی (سوم) یه مقدار راجع به PRNG توضیح دادم و گفتم که 2 تا واسط برای درخواست بیت های تصادفی تو سیستم عامل لینوکس وجود داره ، حالا حمله ی چهارم داره این واسط ها رو آلوده می کنه که در نهایت منجر به غیرفعال شدن PRNG می شه.

و اما شرح حمله ی چهارم :

هسته لینوکس توابعی رو برای خواندن و نوشتن دستگاه های /dev/random و /dev/urandom تولید می کنه. ساختار داده های استفاده شده برای ثبت آدرس این توابع به ترتیب random_state_ops و urandom_state_ops نامیده می شن. بعد از پیدا کردن این ساختار داده ها در حافظه و مطلع شدن از آدرس توابع ، ماژول حمله این آدرس رو با آدرس های تابع کد حمله باز نویسی می کنه. در واقع با این کار تابع اصلی هرگز فراخوانی نمی شه و هر زمان که از طریق واسط های /dev/random یا /dev/urandom بیت های تصادفی درخواست بشه ، توابع جایگزین ، صفر بر می گردانن و چون همه برنامه ها و توابع امن تو هسته برای فراهم کردن اعداد تصادفی به PRNG تکیه می کنن ، این حمله بطور مخفیانه امنیت سیستم رو بدون هیچ بدگمانی ای برای کاربر ، مختل می کنه.

انتخاب واحد

1390|6|8|2 2|51

اینم بگم که :

آموزش کل واحد علوم و تحقیقات یزد تقویم آموزشی نیمسال اول سال تحصیلی 1391-1390 رو آماده و در سایت اینترنتی این واحد قرار داده ، از طریق این لینک هم می تونید اطلاعیه مربوطه رو مشاهده کنید.

مشکل برطرف شد

1390|6|8|2 2|21

سلام و عرض ادب خدمت اهالی محترم iranweb3

خوشبختانه بعد از گذشت 3-4 روز ، مشکل فنی iranweb3 برطرف شد و دوباره شاهد تکاپوی کاربران محترم برای بروز نگه داشتن وبلاگ ها هستیم ، یعنی امیدوارم باشیم.

جا داره از آقای دکتر کارگر هم بخاطر پیگیری های مستمرشون تشکر کنم.

خب دیگه عرضی نیست ، انشااله بزودی با مطالب جدید خدمت می رسم.

فعلا...

حمله ی سوم : آلوده کردن Entropy pool

1390|6|4|5 2|22

خب برگردیم سراغ بقیه ی حملات ، 2 تا حمله رو گفتم ، حالا نوبت سومیه.

و اما نکاتی که قبل از شرح حمله باید بدونیم:

1-(pseudo-random number generator (PRNG اعداد تصادفی مورد نیاز برای اهداف گوناگون هسته ی سیستم عامل لینوکس و کاربران مثل تولید کلید (Key) ، شناسه های تصادفی ، پسورد ، session idهای امن و ... رو تولید می کنه.

2-برای استفاده از این اعداد تصادفی ، 2تا واسط به نام های/dev/random و /dev/urandom در نظر گرفته شده ، یعنی این 2 تا واسط به کاربر و هسته لینوکس امکان درخواست بیت های تصادفی رو می دن.

3-تفاوت این 2تا واسط تو 2 چیزه :1) سطح امنیتی بیت های تولید شده و 2) زمان تاخیر یا انتظار.

طاعاتتون قبول

1390|6|2|3 14|28

تقدیری سراسر خیر ، سلامتی و سعادت دنیا و آخرت ، توشه ی شب قدرتان باد

حمله ی دوم : اتلاف منابع

1390|6|2|3 14|08

1- لینوکس همه ی حافظه فیزیکی نصب شده رو سیستم رو به بخش هایی به نام node تقسیم می کنه.

2- هر node متناظر با یک بانک حافظه است و به 3 ناحیه : 1) dma (2 normal و 3) highmem تقسیم می شه.

3- هر ناحیه همیشه به وسیله "تخصیص دهنده حافظه هسته" به نام buddy allocator و صفحه مبادله kswapd تراز نگه داشته می شه.

4- این تراز با استفاده از واترمارک های ناحیه به دست می آید. واترمارک ها تو استارآپ،متناسب با تعداد صفحات موجود تو هر ناحیه مقداردهی می شه.

5- این 3 واترمارک عبارتند از:pages_min , pages_low و pages_high که به ترتیب تو شکل زیری نمایش داده شده.

6- وقتی که تعداد صفحات خالی تو هر کدوم از نواحی ، کم تر از pages_low بشه ، صفحه kswapd بیدار میشه و سعی می کنه صفحات آن- ست شده را از طریق مبادله آزاد کنه و این فرآیند تا رسیدن تعداد صفحات به pages_high ادامه پیدا می کنه ، بعد ، صفحه kswapd به حالت خواب بر می گرده.

7- وقتی که تعداد صفحات به pages_min برسه buddy allocator سعی می کنه همون کار صفحه kswapd را منتها بصورت همزمان انجام بده.

8- واترمارک های هر ناحیه تو ساختار داده ای به نام zone_table ذخیره شده اند.

خب حالا ببینیم این حمله چطوری همه چیزو به هم می ریزه :

حمله مورد نظر به طور خاص ، واترمارک های ناحیه normal رو دستکاری می کنه به این صورت که مقدار واترمارک های pages_min و pages_low رو خیلی بیشتر از واترمارک pages_high و واتر مارک pages_high رو خیلی بیشتر از تعداد کل صفحات موجود تو ناحیه ، تنظیم می کنه تا از این طریق تضمین کنه که همیشه صفحات آزاد کافی و قابل دسترس تو حافظه سیستم وجود داره اما در واقع فقط مقدار کمی از حافظه استفاده می شه و مابقی به عنوان حافظه آزاد حفظ می شه که این امر باعث می شه برنامه ها به طور پیوسته روی دیسک جابجا بشن. این حمله یک سربار کارایی قابل توجه تو سیستم به وجود میاره.

حمله ی اول : غیر فعال کردن Firewall

1390|5|31|1 16|24

قبل از شرح حمله باید چنتا نکته رو بدونیم :

1- لینوکس برای مدیریت فایروال از ابزاری به نام iptables استفاده می کنه.

2-iptables برای تنظیم قوانین فایروال جهت ورود و خروج packet ها از فریم ورکی به نام netfilter استفاده می کنه.

3-netfilter ، فریم ورک فیلتر کننده packet تو هسته لینوکسه که hook هایی رو تو قسمت های مختلف پشته ی شبکه تولید می کنه تا عملیاتی مثل فیلتر کردن packet ،بریدنآنوترجمه آدرس شبکه رو انجام بدن. لازم به ذکره که این hook ها به ازای هر پروتکلی که تو شبکه پشتیبانی می شه ، تولید می شه.

4- اشاره گر مربوط به این hook ها تو جدولی به نام nf_hooks ذخیره می شه.(در واقع nf_hooks آرایه ای از اشاره گر هایی است که به handle های ثبت شده ، برای دستیابی به hook های پروتکل اشاره می کنه.)

شکل زیر hook هایی که فریم ورک netfilter برای پروتکل IP تعریف کرده رو نشون می ده:

خب حالا ببینیم این حمله چطوری همه چیزو به هم می ریزه :

این حمله بطور خاص ، hook متناظر با پروتکل IP رو تغییر می ده و اونو به کد ساختگی (آلوده) ریدایرکت می کند و باعث غیرفعال شدن فایروال می شود و از اون به بعد با اجرای دستور iptables (برای لیست کردن قوانین فایروال) همچنان همون قوانین اولیه و درست به کاربر نمایش داده می شه یعنی کاربر هیچ راهی برای فهمیدن این مسئله که فایروال غیرفعال شده ، نداره. تا زمانی هم که ماژول حمله بتونه همه packet ها رو بدون پاس کردن اونا به فایروال ، فیلتر کنه ، می تواند دستوراتی رو برای پذیرش packet ویژه حمله ( که از راه دور توسط مهاجم فرستاده می شه ) رو اجرا کنه.

شرحی کوتاه از آنچه که قراره در ادامه درباره اش بنویسم

1390|5|30|0 0|50

خب تا اینجا یه کم با سیر تکاملی ای که روت کیت ها طی کردن آشنا شدیم ، لازمه بگم که این گزارش به طور خاص رو حملاتی متمرکز شده که کد و ساختار داده رو تو هسته ی سیستم عامل لینوکس تغییر می ده .در واقع تو این گزارش 5 حمله خاص معرفی و تکنیک اتوماتیک جدیدی برای کشف حضور این حملات ارائه شده . برای ارزیابی این رویکرد ، الگویی به نام Gibraltar ساخته شده که بطور اتوماتیک علاوه بر کشف روت کیت هایی که در ادامه مورد بحث قرار می گیره ، روت کیت های عمومی رو هم به خوبی کشف می کنه.

تکامل rootkit (ادامه ...)

1390|5|29|6 14|19

تو 2 تا پست قبل ، مرحله 1 از 5 مرحله ی طی شده در تکامل روت کیت ها رو براتون توضیح دادم و حالا نوبت مراحل بعدیه:

مرحله یا شماره 2:

بعد از کشف روت کیت هایی که به روش اول به سیستم عامل نفوذ می کردن ، روت کیت ها روش دیگه ای در پیش گرفته و کد هسته و ساختار داده های تغییر ناپذیر شناخته شده در هسته مثل جدول فراخوانی سیستم را تغییر دادن. در واقع روت کیت ها از ناحیه ی کاربر به ناحیه هسته منتقل شدن. کشف کننده های rootkit هم به همین سمت حرکت کرده و با استفاده از متد checksum/secure hash based نادرستی و فساد کد هسته یا ساختار داده های تغییر ناپذیر شناخته شده تو هسته را شناسایی کردن.

شب های پر برکت قدر

1390|5|28|5 23|38

"فرق عدالت را در شامی سیاه شکافتند و نخواستند آفتاب ، ظلمت شب‌هایشان را روشن کند"

التمـــــاس دعــــــا

فراخوان (علوم و تحقیقات یزد)

1390|5|27|4 15|23

سلام

با اجازه آقای دکتر کارگر ، می خوام یه ذره راجع به iranweb3 توضیح بدم:

همونطور که آقای دکتر تو وبلاگشون اشاره کردن ، iranweb3 چند سال قبل هم فعال بود البته با یه نمای دیگه. اون موقع هم ، هر کدوم از دانشجوها تو iranweb3 یک وبلاگ واسه خودشون داشتن و علاوه بر بروز نگه داشتن وبلاگشون و ارائه مطالب اغلب علمی ، تعامل خوبی هم با سایر وبلاگ ها داشتن. نحوه تعامل به این شکل بود ( البته تو این سیستم هم باید یه همچین تعاملی وجود داشته باشه ):

- بازدید از سایر وبلاگ ها.

- ارائه ی نظر (چه پیشنهاد چه انتقاد) در مورد سایر وبلاگ ها و مطالبشون (البته اون موقع فقط کافی بود به سیستم وارد بشیم و با ثبت نظر ، اون نظر به نام خودمون ثبت می شد ، اما تو این سیستم فکر کنم علاوه بر ورود به سیستم باید آدرس کامل وبلاگ رو هم توی فیلد مربوطه وارد کنیم تا نظر به اسم خودمون تو سیستم ثبت بشه)

- اضافه کردن وبلاگ دیگران به لیست پیوندهای وبلاگ خودمون.

- امتیاز دادن به مطالب سایر وبلاگ ها.

و ...

که همه ی اینا ، اهداف پژوهشی این سیستم رو برآورده می کنه .

همین جا از آقای دکتر کارگر تقاضا دارم اگه لازم می دونن ، عرایض بنده رو تصحیح یا تکمیل کنن.

راستش من اغلب وبلاگ هایی که تو این سیستم ساخته شده رو دیدم ، بعضی از دوستان که اصلا مطلبی تو وبلاگشون نبود که بشه بهش نظر یا امتیاز داد ، بعضی ها هم که مطلب داشتن ، من می خواستم نظر بدم اما گفتم نکنه به خاطر عدم اطلاع شما از اهداف پژوهشی این سیستم ، سوءبرداشتی واستون پیش بیاد که مثلا رو چه حساب فلانی اومده نظر (پیشنهاد یا انتقاد) داده!!!

پس همین جا اعلام می کنم ، با اجازه تون به وبلاگ هاتون سر می زنم و نظر می دم!!!

در ضمن دوستانی که تمایل دارن ، وبلاگشون توی لیست پیوندهای وبلاگ من درج بشه ، لطفا آدرس وبلاگ و عنوان مورد نظرشونو بعنوان نظر برای همین پُست اعلام کنن.

از توجه شما سپاسگزارم ،روز خوش.

تکامل rootkit

1390|5|27|4 1|41

خب تو پُست های قبلی ، راجع به موضوع ، مراجع و همینطور مباحثی که قراره بهش بپردازم یه چیزایی نوشتم.

روت کیت رو تعریف کردم و حالا نوبت به شرح سیر تکاملی ای هست که روت کیت ها از ابتدا تا الان طی کردن که من قصد دارم در این پُست و احتمالا چند پُست آینده راجع بهش بنویسم.

یک مهاجم یا به عبارتی یک ناشر روت کیت همیشه دنبال راه نفوذی می گرده که دیرتر کشف بشه. اگه به این شکلی که براتون گذاشتم ، یه نگاه بکنید ، می بینید که 3 تا ناحیه توی سیستم عامل ، مشخص شده و اون شماره گذاری های 1 تا 5 هم داره سیر تکاملی روت کیت ها رو نشون می ده که همشو براتون توضیح می دم:

مراجع تحقیق

1390|5|26|3 3|01

هر کسی وقتی تحقیقی رو انجام می ده حتما باید مراجع مورد استفاده رو هم ذکر کنه در غیر اینصورت که هیچ کس نمی تونه به این تحقیق ، استناد کنه!!!

منم قصد دارم یه کم راجع به مراجعی که واسه این تحقیق استفاده کردم بنویسم.

اگه خاطرتون باشه ، آقای دکتر کارگر اوایل ترم ، یه کتاب مجموعه مقالات تحت عنوان

" Advanced Operating Systems and Kernel Applications_Techniques and Technologies "

نوشته ی Yair Wiseman و Song Jiang معرفی کردن که هر کدوم از فصل های این کتاب در واقع یک مقاله ی جامع راجع به یک موضوع خاصه.

مقدمه

1390|5|25|2 13|41

از اونجایی که ممکنه این وبلاگ بازدیدکنندگانی داشته باشه که دانشجوی کلاسمون نیستن ، لازم می دونم یه مقدمه ی کوتاه راجع به کلاس و همینطور ماهیت کاری که قراره از طریق این وبلاگ انجام بشه ، عرض کنم.

دانشگاه : واحد علوم و تحقیقات یزد

مقطع-رشته-گرایش : کارشناسی ارشد مهندسی نرم افزار

درس : سیستم عامل پیشرفته

استاد : آقای دکتر محمد جواد کارگر

قراره هر کدوم از دانشجوها تو وبلاگشون راجع به موضوعی که ابتدای ترم انتخاب و در طول ترم در موردش تحقیق کردن ، گزارش بدن.

موضوع من :

" آشنایی با نوع خاصی از حملات وارده به داده های هسته ی سیستم عامل و روش های دفاع "

خب حالا من باید یه کم راجع به این موضوع توضیح بدم :

همه ی ما می دونیم که سیستم عامل به عنوان سرپرست کل سیستم محسوب می شه ، بنابراین حفظ امنیتش بی نهایت مهمه . موضوع منم (همونطور که از عنوانش پیداست) بررسی نوع خاصی از حملاتی هست که به هسته ی سیستم عامل وارد می شه ، به این حملات rootkit گفته می شه . درواقع rootkit ها مجموعه ای از بدافزارها هستن که می تونن با دستکاری ساختار برنامه ها و کدهای هسته ی سیستم عامل ، خرابکاری هایی رو تو سیستم به وجود بیارن . مطالعات اخیر افزایش فوق العاده ای تو تعداد این نرم افزار های مخرب نشان داده بطوری که بر اساس اعلام انجمن untirootkit.com فقط در 3 ماهه ی اول سال 2008 بیشتر از 200 تا rootkit کشف شده ، که تعداد کمی نیست!!!

افتتاحیه ی وبلاگ

1390|5|25|2 3|02

سلام و عرض ادب خدمت آقای دکتر کارگر ، همکلاسی های محترم و سایر بازدیدکنندگان

***مجددا راه اندازی مجدد iranweb3.com رو تبریک می گم***

خب همونطور که آقای دکتر کارگر هم تو وبلاگشون اشاره کردن ، پایگاه داده ی سیستم به دلایل فنی ریست شد و من مجددا برای ساخت وبلاگ اقدام کردم.

اما باید بگم ، قالب این وبلاگ حتما عوض می شه ...

لحظات خوشی رو براتون آرزو می کنم