上海网站建设 网站开发,友情链接的网站图片,辽宁网站建设专业学校,建设工程合同指什么关于VED-eBPF
VED-eBPF是一款功能强大的内核漏洞利用和Rootkit检测工具#xff0c;该工具基于eBPF技术实现其功能#xff0c;可以实现Linux操作系统运行时内核安全监控和漏洞利用检测。
eBPF是一个内核内虚拟机#xff0c;它允许我们直接在内核中执行代码#xff0c;而无…关于VED-eBPF
VED-eBPF是一款功能强大的内核漏洞利用和Rootkit检测工具该工具基于eBPF技术实现其功能可以实现Linux操作系统运行时内核安全监控和漏洞利用检测。
eBPF是一个内核内虚拟机它允许我们直接在内核中执行代码而无需修改内核源代码。eBPF程序可以绑定到跟踪点、kprobes和其他内核事件上以帮助广大研究人员更有效地分析代码执行并收集数据。 功能介绍
VED-eBPF使用了eBPF来跟踪安全敏感的内核行为并检测潜在安全漏洞或Rootkit所引发的异常。当前版本的VED-eBPF提供了下列两种检测功能 1、wCFI控制流完整性跟踪内核调用栈以检测控制流劫持攻击。它可以生成一个有效调用站点的位图并验证每个返回地址是否与已知调用站点匹配 2、PSD权限提升检测跟踪对内核中凭据结构的更改行为以检测未经授权的权限升级情况 工具运行机制
VED-eBPF会将eBPF程序绑定到内核函数上以跟踪执行流并提取安全事件信息。eBPF程序随后会通过perf缓冲区将这些事件信息提交到用户空间以进行后续分析。
wCFI
wCFI通过绑定到命令行指定的函数来跟踪调用栈每一次调用都会转储堆栈信息并分配一个栈ID然后用返回地址与与计算的位图进行对比验证如果返回的地址无效表明发生了栈崩溃最终生成一个wcfi_stack_event事件其中包含 * 栈跟踪数据 * 栈ID * 无效的返回地址 PSD
PSD可以通过绑定类似commit_creds和prepare_kernel_cred之类的函数来跟踪针对凭证结构的修改行为。每一次调用它都会提取下列信息 * 当前进程的凭证 * 凭证哈希和用户命名空间 * 调用栈数据 工具要求 1、Linux内核 v5.17 2、启用eBPF支持 3、BCC工具 工具下载
由于该工具基于C开发因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio。
接下来广大研究人员可以直接使用下列命令将该项目源码克隆至本地
git clone https://github.com/hardenedvault/ved-ebpf.git
打开Visual Studio将项目导入之后完成项目代码的构建和编译即可。
许可证协议
本项目的开发与发布遵循AGPL-3.0开源许可证协议。
项目地址
VED-eBPF【GitHub】
参考资料 PROTECTING LINUX AT KERNEL LEVEL WHY AND HOW GitHub - iovisor/bcc: BCC - Tools for BPF-based Linux IO analysis, networking, monitoring, and more
