using hardware features for increased debugging
play

Using Hardware Features for Increased Debugging Transparency - PowerPoint PPT Presentation

Oct 20, 2022 •482 likes •772 views

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos Stavrou, Haining Wang, and Kun Sun. In S&P'15.

  1. Using ¡Hardware ¡Features ¡for ¡ Increased ¡Debugging ¡Transparency ¡ ¡ Fengwei ¡Zhang, ¡Kevin ¡Leach, ¡Angelos ¡Stavrou, ¡ Haining ¡Wang, ¡and ¡Kun ¡Sun. ¡In ¡S&P'15. ¡ ¡ ¡ Presented ¡by ¡Fengwei ¡Zhang ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 1 ¡

  2. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 2 ¡

  3. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 3 ¡

  4. MoOvaOon ¡ • Malware ¡aXacks ¡staOsOcs ¡ – Symantec ¡blocked ¡an ¡average ¡of ¡247,000 ¡aXacks ¡per ¡ day ¡[1] ¡ – McAfee ¡(Intel ¡Security) ¡reported ¡8,000,000 ¡new ¡ malware ¡samples ¡in ¡the ¡first ¡quarter ¡in ¡2014 ¡[2] ¡ – Kaspersky ¡reported ¡malware ¡threats ¡have ¡grown ¡34% ¡ with ¡over ¡200,000 ¡new ¡threats ¡per ¡day ¡last ¡year ¡[3] ¡ ¡ • Computer ¡systems ¡have ¡vulnerable ¡applicaOons ¡ that ¡could ¡be ¡exploited ¡by ¡aXackers. ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 4 ¡

  5. TradiOonal ¡Malware ¡Analysis ¡ Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 5 ¡

  6. TradiOonal ¡Malware ¡Analysis ¡ Malware Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 6 ¡

  7. TradiOonal ¡Malware ¡Analysis ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 7 ¡

  8. TradiOonal ¡Malware ¡Analysis ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware ¡ LimitaOons: ¡ • Depending ¡on ¡hypervisors ¡that ¡have ¡a ¡large ¡TCB ¡(e.g., ¡ Xen ¡has ¡500K ¡SLOC ¡and ¡245 ¡vulnerabiliOes ¡in ¡NVD) ¡ ︎ ¡ ¡ • Incapable ¡of ¡analyzing ¡rootkits ¡with ¡the ¡same ¡or ¡higher ¡ privilege ¡level ¡(e.g., ¡hypervisor ¡and ¡firmware ¡rootkits) ¡ ︎ ¡ ¡ • Unable ¡to ¡analyze ¡armored ¡malware ¡with ¡anO-­‑ virtualizaOon ¡or ¡anO-­‑emulaOon ¡techniques ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 8 ¡

  9. Our ¡Approach ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware ¡ We ¡present ¡a ¡bare-­‑metal ¡debugging ¡system ¡called ¡MalT ¡that ¡ leverages ¡System ¡Management ¡Mode ¡for ¡malware ¡analysis ¡ ︎ ¡ ¡ • Uses ¡System ¡Management ¡Mode ¡as ¡a ¡hardware ¡isolated ¡ execuOon ¡environment ¡to ¡run ¡analysis ¡tools ¡and ¡can ¡debug ¡ hypervisors ¡ ︎ ¡ ¡ • Moves ¡analysis ¡tools ¡from ¡hypervisor-­‑layer ¡to ¡hardware-­‑layer ¡ that ¡achieves ¡a ¡high ¡level ¡of ¡transparency ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 9 ¡

  10. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 10 ¡

  11. Background: ¡System ¡Management ¡ Mode ¡ System ¡Management ¡Mode ¡(SMM) ¡is ¡special ¡CPU ¡mode ¡ exisOng ¡in ¡x86 ¡architecture, ¡and ¡it ¡can ¡be ¡used ¡as ¡a ¡ hardware ¡isolated ¡execuOon ¡environment. ¡ • Originally ¡designed ¡for ¡implemenOng ¡system ¡funcOons ¡ (e.g., ¡power ¡management) ¡ ¡ • Isolated ¡System ¡Management ¡RAM ¡(SMRAM) ¡that ¡is ¡ inaccessible ¡from ¡OS ¡ ¡ • Only ¡way ¡to ¡enter ¡SMM ¡is ¡to ¡trigger ¡a ¡System ¡ Management ¡Interrupt ¡(SMI) ¡ • ExecuOng ¡RSM ¡instrucOon ¡to ¡resume ¡OS ¡(Protected ¡ Mode) ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 11 ¡

  12. Background: ¡System ¡Management ¡ Mode ¡ Approaches ¡for ¡Triggering ¡a ¡System ¡Management ¡Interrupt ¡(SMI) ¡ • Soiware-­‑based: ¡Write ¡to ¡an ¡I/O ¡port ¡specified ¡by ¡Southbridge ¡ datasheet ¡(e.g., ¡0x2B ¡for ¡Intel) ¡ • Hardware-­‑based: ¡Network ¡card, ¡keyboard, ¡hardware ¡Omers ¡ ¡ ¡ Protected Mode System Management Mode Highest privilege Trigger SMI SMM entry Software SMI or Isolated SMRAM SMM exit Handler Hardware RSM Interrupts disabled Normal OS Isolated Execution Environment Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 12 ¡

  13. Background: ¡Soiware ¡Layers ¡ Application Operating System Hypervisor (VMM) Firmware (BIOS) SMM Hardware Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 13 ¡

  14. Background: ¡Hardware ¡Layout ¡ Memory slots Keyboard Mouse Super I/O BIOS Memory bus Serial port LPC bus IDE SATA Northbridge Front-side bus Internal bus Southbridge Audio CPU (memory controller hub) (I/O controller hub) USB MMU and IOMMU CMOS PCIe bus PCI bus Graphic card slot PCI slots Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 14 ¡

  15. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 15 ¡

  16. System ¡Architecture ¡ • TradiOonally ¡malware ¡debugging ¡uses ¡virtualizaOon ¡ or ¡emulaOon ¡ ︎ ¡ ¡ • MalT ¡debugs ¡malware ¡on ¡a ¡bare-­‑metal ¡machine, ¡and ¡ remains ¡transparent ¡in ¡the ¡presence ¡of ¡exisOng ¡anO-­‑ debugging, ¡anO-­‑VM, ¡and ¡anO-­‑emulaOon ¡techniques. ¡ Debugging Client Debugging Server 1) Trigger SMI SMI handler Inspect 2) Debug command Breakpoint application GDB-like Debugged Debugger application 3) Response message Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 16 ¡

  17. Step-­‑by-­‑step ¡Debugging ¡in ¡MalT ¡ • Debugging ¡program ¡instrucOon-­‑by-­‑instrucOon ¡ ︎ ¡ ¡ • Using ¡performance ¡counters ¡to ¡trigger ¡an ¡SMI ¡for ¡ each ¡instrucOon ¡ Protected Mode System Management Mode CPU control flow SMM entry inst 1 SMI Handler Trigger SMI inst 2 SMM exit RSM inst 3 EIP Trigger SMI ... SMM entry SMI Handler inst n SMM exit RSM Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 17 ¡

  18. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 18 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos Stavrou, Haining Wang, and Kun Sun. In S&P'15. Fengwei Zhang Wayne State University CSC 6991 Topics in Computer Security 1 Overview

451 views • 28 slides
Language-specific debugging Most languages include some features/support for debugging, good

Language-specific debugging Most languages include some features/support for debugging, good

Language-specific debugging Most languages include some features/support for debugging, good idea to know what they are Special variables with key information Special functions/libraries that can be used Special options that can be

422 views • 7 slides
Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab Wayne State University May 21, 2019 Understanding the Security of ARM Debugging Features, S&P 19 1 Outline Introduction Obstacles in

1.03k views • 63 slides
Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab Wayne State University May 21, 2019 Understanding the Security of ARM Debugging Features, S&P 19 1 Outline Introduction Obstacles for

679 views • 65 slides
Hardware Debugging CSE/ISE 311: Systems Administra5on How to

Hardware Debugging CSE/ISE 311: Systems Administra5on How to

CSE/ISE 311: Systems Administra5on Hardware Debugging CSE/ISE 311: Systems Administra5on How to troubleshoot a hardware failure Later lectures will deal with

512 views • 47 slides
Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging

Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging

Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging Instrumentation Profiling and Hardware Outline Debugging Instrumentation Profiling and Hardware Debugging Instrumentation Profiling and Hardware Today

826 views • 55 slides
3D compact profiler Table top instrument with fixed configuration Key hardware features Compact

3D compact profiler Table top instrument with fixed configuration Key hardware features Compact

3D compact profiler Table top instrument with fixed configuration Key hardware features Compact design All integrated: Sensor head, Controller and Support Stand New developments Key hardware features B&W camera 1360x1024 One LED

350 views • 10 slides
On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why

On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why

Intro Why FPGA (and what the FPGA is all about) Software approach simulation first Going to the hardware Whats next Contact info On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why FPGA (and

770 views • 12 slides
Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and

Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and

Chapter 15 Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and set values in memory Execute portions of program Stop execution when (and where) desired Want debugging tools to operate on

274 views • 9 slides
Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

CS 240 Stage 2 Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging Machine code, assembly language, program translation Control flow Procedures, stacks Data layout, security, linking and loading Program,

822 views • 29 slides
Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

CS 240 Stage 2 Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging Machine code, assembly language, program translation Control flow Procedures, stacks Data layout, security, linking and loading Program,

415 views • 30 slides
Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production

Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production

Welcome to Advanced .NET Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production Challenges in debugging Production issues Production Environment Debugging Timeline Tools for .NET Debugging Review 3

622 views • 47 slides
Hardware Debugging Problems: Machine wont power on No

Hardware Debugging Problems: Machine wont power on No

3/4/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on How to troubleshoot a hardware failure Later lectures will deal with so7ware

482 views • 8 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary A low-cost modular Ethernet test solution designed from the bottom

446 views • 31 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary Todays enterprise-grade firewalls have highly advanced function

489 views • 29 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary Vulcan generates stateful Ethernet traffic to analyze how firewalls,

578 views • 37 slides
WESCO International 2016 Investor Day 2016 WESCO INVESTOR DAY Safe Harbor Statement Note: All

WESCO International 2016 Investor Day 2016 WESCO INVESTOR DAY Safe Harbor Statement Note: All

2016 INVESTOR DAY WESCO International 2016 Investor Day 2016 WESCO INVESTOR DAY Safe Harbor Statement Note: All statements made herein that are not historical facts should be considered as forward- looking statements within the meaning of

1.18k views • 105 slides
A LEADER IN THE RUSSIAN PHARMACEUTICAL MARKET INVESTOR PRESENTATION UBS Investor Conference | 8-9

A LEADER IN THE RUSSIAN PHARMACEUTICAL MARKET INVESTOR PRESENTATION UBS Investor Conference | 8-9

A LEADER IN THE RUSSIAN PHARMACEUTICAL MARKET INVESTOR PRESENTATION UBS Investor Conference | 8-9 September 2010 | Moscow 0 IMPORTANT NOTICE (Disclaimer) This presentation has been prepared by OAO Protek (the "Company"). By attending

820 views • 24 slides
DEUTSCHE BANK 21ST ANNUAL EUROPEAN LEVERAGED FINANCE CONFERENCE NOTICE TO RECIEPIENTS This

DEUTSCHE BANK 21ST ANNUAL EUROPEAN LEVERAGED FINANCE CONFERENCE NOTICE TO RECIEPIENTS This

14th June 2017 DEUTSCHE BANK 21ST ANNUAL EUROPEAN LEVERAGED FINANCE CONFERENCE NOTICE TO RECIEPIENTS This presentation and any materials distributed in connection herewith (together, the Presentation) have been prepared by Douglas

461 views • 34 slides
Food Waste Collection Pilot in Grand Teton National Park: A collaborative step toward municipal

Food Waste Collection Pilot in Grand Teton National Park: A collaborative step toward municipal

Food Waste Collection Pilot in Grand Teton National Park: A collaborative step toward municipal food waste composting in Teton County and Zero Landfill National Parks FINDING OUT WHAT WE DIDNT KNOW Ultimate goal of Zero Landfill.

590 views • 22 slides
Doing Good Online An Investigation into the Characteristics and Motivations of Digital Volunteers

Doing Good Online An Investigation into the Characteristics and Motivations of Digital Volunteers

Doing Good Online Doing Good Online An Investigation into the Characteristics and Motivations of Digital Volunteers Dr Eun Young (EY) OH Portsmouth Business School 30th June 2016 Dr Eun Young (EY) OH (PBS) Doing Good Online 30th June 2016

465 views • 19 slides
Social enterprise models in Africa: Evidence from Rwanda and South Africa Frederik Claey a,b and

Social enterprise models in Africa: Evidence from Rwanda and South Africa Frederik Claey a,b and

Social enterprise models in Africa: Evidence from Rwanda and South Africa Frederik Claey a,b and Olivier Brolis c a LEM (UMR CNRS 9221); Universit Catholique de Lille, France b Nelson Mandela University, South Africa c Cirtes, Universiy

510 views • 11 slides
PROPOSED REMEDIAL ACTION PLAN SOLVENT FINISHERS Jericho, NY Site No. 130172 March 15, 2015 2

PROPOSED REMEDIAL ACTION PLAN SOLVENT FINISHERS Jericho, NY Site No. 130172 March 15, 2015 2

1 PROPOSED REMEDIAL ACTION PLAN SOLVENT FINISHERS Jericho, NY Site No. 130172 March 15, 2015 2 Solvent Finishers Public Meeting Agenda ! March 15, 2016 at 7 p.m. ! ! Introduction, Public Participation Bill Fonda, Citizen Participation

392 views • 35 slides
Presented by: Use of Mass Discharge as a Performance Ren Fuentes EPA Region 10 Metric in CERCLA

Presented by: Use of Mass Discharge as a Performance Ren Fuentes EPA Region 10 Metric in CERCLA

Presented by: Use of Mass Discharge as a Performance Ren Fuentes EPA Region 10 Metric in CERCLA Decision Documents FRTR General Meeting Case Study of the Time Oil Well 12A Site November 14, 2012 Arlington, Virginia Acknowledgments Kira

540 views • 27 slides

More recommend