@article{oai:ipsj.ixsq.nii.ac.jp:00069743,
 author = {尾上, 浩一 and 大山, 恵弘 and 米澤, 明憲 and Koichi, Onoue and Yoshihiro, Oyama and Akinori, Yonezawa},
 issue = {2},
 journal = {情報処理学会論文誌コンピューティングシステム（ACS）},
 month = {Jun},
 note = {カーネルレベルで稼働するマルウェア （カーネルレベルマルウェア） による攻撃は，システム全体に被害を与えたり，攻撃の検出が困難であったりすることから，その脅威は深刻である．これまでカーネルレベルマルウェアに対する様々なセキュリティシステムが提案されているが，保守的すぎるカーネル拡張の制限や適用時の実行時の性能低下に関して改善すべき点がある．本論文では，仮想マシンモニタ （VMM） を用いて，VM 内で稼働する OS カーネルの振舞いを制御するセキュリティシステム ShadowXeck を提案する．この制御は，読み込み専用のメモリ領域の保護と，OS カーネルにより発行された間接呼び出し命令や間接ジャンプ命令の制御によって実現される．ShadowXeck は，OS カーネルレベルよりも高い特権レベルの VMM による制御であるため，VM 内から ShadowXeck の振舞い制御機構を無効化することは困難である．我々は，AMD 64 アーキテクチャ上で Xen を用いて ShadowXeck を実装し，既存のカーネルレベルマルウェアを用いた ShadowXeck による OS カーネルの振舞い制御の確認や実行時オーバヘッドの計測を行った．, Threat of kernel-level malware, malware running at the kernel-level, is serious because it compromises a whole operating system and is often capable of hiding itself. Various security systems have been proposed to protect operating systems or applications from kernel-level malware. However, these systems have drawbacks such as forbidding the use of any kernel extensions or significant performance degradation. In this paper, we propose ShadowXeck, a VMM-based security system that controls the behavior of OS kernels running in a VM (called target OS kernels). The control is achieved in two ways. First, it prevents modification to read-only kernel-level memory. Second, it applies application-aware control to indirect call instructions and indirect jump instructions issued by target OS kernels. Since ShadowXeck runs in the VMM layer, malware running on a target OS has difficulty in stopping or bypassing the protection. We implemented ShadowXeck by using Xen on the AMD64 architecture. We confirmed through experiments that ShadowXeck could protect a target OS kernel from attacks by actual kernel-level malware. We also measured runtime overheads imposed by ShadowXeck.},
 pages = {163--176},
 title = {VMMによるアプリケーションを意識したカーネル内の振舞い制御},
 volume = {3},
 year = {2010}
}