Leveraging relocations in ELF-binaries for Linux kernel version identification

Bhatt Manish; Ahmed Irfan

首页> 外文期刊>Digital investigation >Leveraging relocations in ELF-binaries for Linux kernel version identification

【24h】

Leveraging relocations in ELF-binaries for Linux kernel version identification

机译：利用ELF二进制文件中的重定位来确定Linux内核版本

获取原文

获取原文并翻译 | 示例

掌桥外文数据库（机构版） >>

开具论文收录证明 >>

文献代查 >>

页面导航

摘要
著录项
相似文献
相关主题

摘要

Identification of operating system kernel version is essential in a large number of forensic and security applications in both cloud and local environments. Prior state-of-the-art uses complex differential analysis of several aspects of kernel implementation and knowledge of kernel data structures. In this paper, we present a working research prototype codeid-elf for ELF binaries based on its Windows counterpart codeid, which can identify kernels through relocation entries extracted from the binaries. We show that relocation-based signatures are unique and distinct and thus, can be used to accurately determine Linux kernel versions and derandomize the base address of the kernel in memory (when kernel Address Space Layout Randomization is enabled). We evaluate the effectiveness of codeid-elf on a subset of Linux kernels and find that the relocations in kernel code have nearly 100% code coverage and low similarity (uniqueness) across various kernels. Finally, we show that codeid-elf, which leverages relocations in kernel code, can detect all kernel versions in the test set with almost 100% page hit rate and nearly zero false negatives. (C) 2018 The Author(s). Published by Elsevier Ltd on behalf of DFRWS.

机译：在云和本地环境中，对于大量取证和安全应用程序而言，操作系统内核版本的标识至关重要。现有技术水平使用对内核实现的几个方面和内核数据结构的知识进行复杂的差异分析。在本文中，我们根据ELF二进制文件的Windows对应代码ID提出了一个可工作的研究原型codeid-elf，它可以通过从二进制文件中提取的重定位条目来识别内核。我们展示了基于重定位的签名是唯一且独特的，因此可以用于准确确定Linux内核版本并在内存中对内核的基地址进行随机化（启用内核地址空间布局随机化时）。我们评估了codeid-elf在Linux内核子集上的有效性，发现内核代码中的重定位具有近100％的代码覆盖率以及各个内核之间的相似度（唯一性）低。最后，我们表明利用内核代码中的重定位的codeid-elf可以检测到测试集中的所有内核版本，其页面命中率几乎为100％，假阴性率几乎为零。（C）2018作者。由Elsevier Ltd代表DFRWS发布。

著录项

来源
《Digital investigation》 |2018年第7期|S12-S20|共9页
作者
Bhatt Manish; Ahmed Irfan;
展开▼
作者单位

Univ New Orleans, Dept Comp Sci, 2000 Lakeshore Dr, New Orleans, LA 70122 USA;

Univ New Orleans, Dept Comp Sci, 2000 Lakeshore Dr, New Orleans, LA 70122 USA;

展开▼
收录信息
原文格式 PDF
正文语种 eng
中图分类
关键词
Kernel version identification; Code fingerprinting; codeid-elf; Memory analysis; Derandomizing base address;

机译：内核版本标识;代码指纹;codeid-elf;内存分析;去随机化基址;

相似文献

外文文献
中文文献
专利

1. Deconvolution of several versions of a scene perturbed by different defocus blurs: influence of kernel diameters on restoration quality and on robustness to kernel estimation [J] . Francois Goudail, Olivier Ruch, Philippe Refregier Applied optics . 2000,第35期

机译：由不同的散焦模糊干扰的场景的多个版本的反卷积：核直径对恢复质量和核估计鲁棒性的影响
2. Discrete version of Dungey’s proof for the gradient heat kernel estimate on coverings (Version discrète d’une preuve de Dungey pour les estimations du gradient du noyau de la chaleur sur les revêtements) [J] . Satoshi Ishiwata Annales Mathematiques Blaise Pascal . 2007,第1期

机译：Dungey证明的离散版本，用于覆盖层上的梯度热核估计（Dungey证明的离散版本，用于涂层上的热核梯度的估计）
3. Leveraging malicious behavior traces from volatile memory using machine learning methods for trusted unknown malware detection in Linux cloud environments [J] . Panker Tomer, Nissim Nir Knowledge-Based Systems . 2021,第Auga17期

机译：利用Linux云环境中的机器学习方法利用Volatile Memory的恶意行为迹线
4. Advanced Linux Kernel Modules Parameters, Symbols and Versions - (PPT) [C] . Bill Gatliff Embedded Systems Conference . 2009

机译：高级Linux内核模块参数，符号和版本 - （PPT）
5. A Recurrent Neural Network Based Patch Recommender for Linux Kernel Bugs [D] . Bableshwar, Anusha Anand 2019

机译：基于经常性的基于神经网络的Linux内核错误的补丁推荐器
6. Leveraging syntactic and semantic graph kernels to extract pharmacokinetic drug drug interactions from biomedical literature [O] . Yaoyun Zhang, Heng-Yi Wu, Jun Xu, 2016

机译：利用句法和语义图核从生物医学文献中提取药代动力学药物相互作用
7. PatchNet: Hierarchical Deep Learning-Based Stable Patch Identification for the Linux Kernel [O] . Thong Hoang, Julia Lawall, Yuan Tian, 2020

机译：PARPNET：Linux内核的基于分层深度学习的稳定补丁识别

Leveraging relocations in ELF-binaries for Linux kernel version identification

摘要

著录项

相似文献

相关主题

期刊订阅