using hardware features for increased debugging
play

Using Hardware Features for Increased Debugging Transparency - PowerPoint PPT Presentation

Oct 20, 2022 •482 likes •772 views

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos Stavrou, Haining Wang, and Kun Sun. In S&P'15.

  1. Using ¡Hardware ¡Features ¡for ¡ Increased ¡Debugging ¡Transparency ¡ ¡ Fengwei ¡Zhang, ¡Kevin ¡Leach, ¡Angelos ¡Stavrou, ¡ Haining ¡Wang, ¡and ¡Kun ¡Sun. ¡In ¡S&P'15. ¡ ¡ ¡ Presented ¡by ¡Fengwei ¡Zhang ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 1 ¡

  2. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 2 ¡

  3. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 3 ¡

  4. MoOvaOon ¡ • Malware ¡aXacks ¡staOsOcs ¡ – Symantec ¡blocked ¡an ¡average ¡of ¡247,000 ¡aXacks ¡per ¡ day ¡[1] ¡ – McAfee ¡(Intel ¡Security) ¡reported ¡8,000,000 ¡new ¡ malware ¡samples ¡in ¡the ¡first ¡quarter ¡in ¡2014 ¡[2] ¡ – Kaspersky ¡reported ¡malware ¡threats ¡have ¡grown ¡34% ¡ with ¡over ¡200,000 ¡new ¡threats ¡per ¡day ¡last ¡year ¡[3] ¡ ¡ • Computer ¡systems ¡have ¡vulnerable ¡applicaOons ¡ that ¡could ¡be ¡exploited ¡by ¡aXackers. ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 4 ¡

  5. TradiOonal ¡Malware ¡Analysis ¡ Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 5 ¡

  6. TradiOonal ¡Malware ¡Analysis ¡ Malware Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 6 ¡

  7. TradiOonal ¡Malware ¡Analysis ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware • Using ¡virtualizaOon ¡technology ¡to ¡create ¡an ¡isolated ¡ execuOon ¡environment ¡for ¡malware ¡debugging ¡ ¡ • Running ¡malware ¡inside ¡a ¡VM ¡ • Running ¡analysis ¡tools ¡outside ¡a ¡VM ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 7 ¡

  8. TradiOonal ¡Malware ¡Analysis ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware ¡ LimitaOons: ¡ • Depending ¡on ¡hypervisors ¡that ¡have ¡a ¡large ¡TCB ¡(e.g., ¡ Xen ¡has ¡500K ¡SLOC ¡and ¡245 ¡vulnerabiliOes ¡in ¡NVD) ¡ ︎ ¡ ¡ • Incapable ¡of ¡analyzing ¡rootkits ¡with ¡the ¡same ¡or ¡higher ¡ privilege ¡level ¡(e.g., ¡hypervisor ¡and ¡firmware ¡rootkits) ¡ ︎ ¡ ¡ • Unable ¡to ¡analyze ¡armored ¡malware ¡with ¡anO-­‑ virtualizaOon ¡or ¡anO-­‑emulaOon ¡techniques ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 8 ¡

  9. Our ¡Approach ¡ Analysis Malware Tool Virtual Machine Hypervisor (VMM) Hardware ¡ We ¡present ¡a ¡bare-­‑metal ¡debugging ¡system ¡called ¡MalT ¡that ¡ leverages ¡System ¡Management ¡Mode ¡for ¡malware ¡analysis ¡ ︎ ¡ ¡ • Uses ¡System ¡Management ¡Mode ¡as ¡a ¡hardware ¡isolated ¡ execuOon ¡environment ¡to ¡run ¡analysis ¡tools ¡and ¡can ¡debug ¡ hypervisors ¡ ︎ ¡ ¡ • Moves ¡analysis ¡tools ¡from ¡hypervisor-­‑layer ¡to ¡hardware-­‑layer ¡ that ¡achieves ¡a ¡high ¡level ¡of ¡transparency ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 9 ¡

  10. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 10 ¡

  11. Background: ¡System ¡Management ¡ Mode ¡ System ¡Management ¡Mode ¡(SMM) ¡is ¡special ¡CPU ¡mode ¡ exisOng ¡in ¡x86 ¡architecture, ¡and ¡it ¡can ¡be ¡used ¡as ¡a ¡ hardware ¡isolated ¡execuOon ¡environment. ¡ • Originally ¡designed ¡for ¡implemenOng ¡system ¡funcOons ¡ (e.g., ¡power ¡management) ¡ ¡ • Isolated ¡System ¡Management ¡RAM ¡(SMRAM) ¡that ¡is ¡ inaccessible ¡from ¡OS ¡ ¡ • Only ¡way ¡to ¡enter ¡SMM ¡is ¡to ¡trigger ¡a ¡System ¡ Management ¡Interrupt ¡(SMI) ¡ • ExecuOng ¡RSM ¡instrucOon ¡to ¡resume ¡OS ¡(Protected ¡ Mode) ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 11 ¡

  12. Background: ¡System ¡Management ¡ Mode ¡ Approaches ¡for ¡Triggering ¡a ¡System ¡Management ¡Interrupt ¡(SMI) ¡ • Soiware-­‑based: ¡Write ¡to ¡an ¡I/O ¡port ¡specified ¡by ¡Southbridge ¡ datasheet ¡(e.g., ¡0x2B ¡for ¡Intel) ¡ • Hardware-­‑based: ¡Network ¡card, ¡keyboard, ¡hardware ¡Omers ¡ ¡ ¡ Protected Mode System Management Mode Highest privilege Trigger SMI SMM entry Software SMI or Isolated SMRAM SMM exit Handler Hardware RSM Interrupts disabled Normal OS Isolated Execution Environment Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 12 ¡

  13. Background: ¡Soiware ¡Layers ¡ Application Operating System Hypervisor (VMM) Firmware (BIOS) SMM Hardware Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 13 ¡

  14. Background: ¡Hardware ¡Layout ¡ Memory slots Keyboard Mouse Super I/O BIOS Memory bus Serial port LPC bus IDE SATA Northbridge Front-side bus Internal bus Southbridge Audio CPU (memory controller hub) (I/O controller hub) USB MMU and IOMMU CMOS PCIe bus PCI bus Graphic card slot PCI slots Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 14 ¡

  15. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 15 ¡

  16. System ¡Architecture ¡ • TradiOonally ¡malware ¡debugging ¡uses ¡virtualizaOon ¡ or ¡emulaOon ¡ ︎ ¡ ¡ • MalT ¡debugs ¡malware ¡on ¡a ¡bare-­‑metal ¡machine, ¡and ¡ remains ¡transparent ¡in ¡the ¡presence ¡of ¡exisOng ¡anO-­‑ debugging, ¡anO-­‑VM, ¡and ¡anO-­‑emulaOon ¡techniques. ¡ Debugging Client Debugging Server 1) Trigger SMI SMI handler Inspect 2) Debug command Breakpoint application GDB-like Debugged Debugger application 3) Response message Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 16 ¡

  17. Step-­‑by-­‑step ¡Debugging ¡in ¡MalT ¡ • Debugging ¡program ¡instrucOon-­‑by-­‑instrucOon ¡ ︎ ¡ ¡ • Using ¡performance ¡counters ¡to ¡trigger ¡an ¡SMI ¡for ¡ each ¡instrucOon ¡ Protected Mode System Management Mode CPU control flow SMM entry inst 1 SMI Handler Trigger SMI inst 2 SMM exit RSM inst 3 EIP Trigger SMI ... SMM entry SMI Handler inst n SMM exit RSM Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 17 ¡

  18. Overview ¡ • MoOvaOon ¡ • Background: ¡System ¡Management ¡Mode ¡ (SMM) ¡ • System ¡Architecture ¡ • EvaluaOon: ¡Transparency ¡and ¡Performance ¡ • Conclusions ¡and ¡Future ¡DirecOons ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 18 ¡

Recommend

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos

Using Hardware Features for Increased Debugging Transparency Fengwei Zhang, Kevin Leach, Angelos Stavrou, Haining Wang, and Kun Sun. In S&P'15. Fengwei Zhang Wayne State University CSC 6991 Topics in Computer Security 1 Overview

451 views • 28 slides
Language-specific debugging Most languages include some features/support for debugging, good

Language-specific debugging Most languages include some features/support for debugging, good

Language-specific debugging Most languages include some features/support for debugging, good idea to know what they are Special variables with key information Special functions/libraries that can be used Special options that can be

422 views • 7 slides
Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab Wayne State University May 21, 2019 Understanding the Security of ARM Debugging Features, S&P 19 1 Outline Introduction Obstacles in

1.03k views • 63 slides
Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab

Understanding the Security of ARM Debugging Features Zhenyu Ning and Fengwei Zhang COMPASS Lab Wayne State University May 21, 2019 Understanding the Security of ARM Debugging Features, S&P 19 1 Outline Introduction Obstacles for

679 views • 65 slides
Hardware Debugging CSE/ISE 311: Systems Administra5on How to

Hardware Debugging CSE/ISE 311: Systems Administra5on How to

CSE/ISE 311: Systems Administra5on Hardware Debugging CSE/ISE 311: Systems Administra5on How to troubleshoot a hardware failure Later lectures will deal with

512 views • 47 slides
Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging

Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging

Lecture 13: Things of Interest G63.2011.002/G22.2945.001 November 30, 2010 Debugging Instrumentation Profiling and Hardware Outline Debugging Instrumentation Profiling and Hardware Debugging Instrumentation Profiling and Hardware Today

826 views • 55 slides
3D compact profiler Table top instrument with fixed configuration Key hardware features Compact

3D compact profiler Table top instrument with fixed configuration Key hardware features Compact

3D compact profiler Table top instrument with fixed configuration Key hardware features Compact design All integrated: Sensor head, Controller and Support Stand New developments Key hardware features B&W camera 1360x1024 One LED

350 views • 10 slides
On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why

On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why

Intro Why FPGA (and what the FPGA is all about) Software approach simulation first Going to the hardware Whats next Contact info On-hardware debugging of IP cores with free tools Anton Kuzmin 2020-02-02 1 / 12 Intro Why FPGA (and

770 views • 12 slides
Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and

Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and

Chapter 15 Debugging Debugging with High Level Languages Same goals as low-level debugging Examine and set values in memory Execute portions of program Stop execution when (and where) desired Want debugging tools to operate on

274 views • 9 slides
Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

CS 240 Stage 2 Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging Machine code, assembly language, program translation Control flow Procedures, stacks Data layout, security, linking and loading Program,

822 views • 29 slides
Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging

CS 240 Stage 2 Hardware-Software Interface Memory addressing, C language, pointers Assertions, debugging Machine code, assembly language, program translation Control flow Procedures, stacks Data layout, security, linking and loading Program,

415 views • 30 slides
Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production

Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production

Welcome to Advanced .NET Debugging Debugging Tools Module Overview Introduction to Debugging Problems in Production Challenges in debugging Production issues Production Environment Debugging Timeline Tools for .NET Debugging Review 3

622 views • 47 slides
Hardware Debugging Problems: Machine wont power on No

Hardware Debugging Problems: Machine wont power on No

3/4/14 CSE/ISE 311: Systems Administra5on CSE/ISE 311: Systems Administra5on How to troubleshoot a hardware failure Later lectures will deal with so7ware

482 views • 8 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary A low-cost modular Ethernet test solution designed from the bottom

446 views • 31 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary Todays enterprise-grade firewalls have highly advanced function

489 views • 29 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary Vulcan generates stateful Ethernet traffic to analyze how firewalls,

578 views • 37 slides
Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications

Story Applications Hardware Software Key features Roadmap Summary Story Story Applications Hardware Software Key features Roadmap Summary Chimera is a network impairment emulator that makes it easy to

400 views • 22 slides
Visual Debugging Software What is Debugging Visualization Visualizing

Visual Debugging Software What is Debugging Visualization Visualizing

Visual Debugging Software What is Debugging Visualization Visualizing Program State Incremental interactive unfolding (DDD) Visual Memory Abstract representations (traversal-based) Debugging Focusing: memory

433 views • 5 slides
Debugging Techniques for C Programs Debugging Basics Will focus on the gcc/gdb combination.

Debugging Techniques for C Programs Debugging Basics Will focus on the gcc/gdb combination.

Debugging Techniques for C Programs Debugging Basics Will focus on the gcc/gdb combination. Will also talk about the ddd gui for gdb (lots of value added to gdb). First, debugging in the abstract: Program state is a snapshot

475 views • 20 slides
New hardware features in Kepler, SMX and Tesla K40 GPGPU2: Advanced Methods for Computing with

New hardware features in Kepler, SMX and Tesla K40 GPGPU2: Advanced Methods for Computing with

New hardware features in Kepler, SMX and Tesla K40 GPGPU2: Advanced Methods for Computing with CUDA Cape Town, April, 2014 Manuel Ujaldn Computer Architecture Department. University of Malaga. CUDA Fellow 1 ``... and if so fu ware people

1.08k views • 79 slides
Exploiting Modern Hardware Features via Lightweight Profiling Probir Roy Scalable Tools

Exploiting Modern Hardware Features via Lightweight Profiling Probir Roy Scalable Tools

Exploiting Modern Hardware Features via Lightweight Profiling Probir Roy Scalable Tools Workshop19 1 High performance and challenges IBM POWER 9 CPU Exploiting Modern Hardware Features via Lightweight Profiling 2 High performance and

2.14k views • 150 slides
New Lighting Hardware and Fan Accessories Presentation Features & Benefits Multi-finish

New Lighting Hardware and Fan Accessories Presentation Features & Benefits Multi-finish

New Lighting Hardware and Fan Accessories Presentation Features & Benefits Multi-finish Light Kit New 3-in-1 Indoor/Outdoor Schoolhouse Light Kit includes three 4 fitters in the most popular finishes: white, oil rubbed bronze, and

391 views • 6 slides
Exit Hardware 376 Series - Push Bar Exit Hardware 376 Series - Push Bar Exit Hardware In distinct

Exit Hardware 376 Series - Push Bar Exit Hardware 376 Series - Push Bar Exit Hardware In distinct

Exit Hardware 376 Series - Push Bar Exit Hardware 376 Series - Push Bar Exit Hardware In distinct contrast to the modular nature of the Briton 560 - 570 Series, the Features & Benefits long established Briton 376 Series is supplied as a

182 views • 7 slides
1 Crashes, interrupts, and backtrace Watchpoints GDB will automatically stop if the program

1 Crashes, interrupts, and backtrace Watchpoints GDB will automatically stop if the program

Debugging and debuggers Debugging in the development cycle You have probably already had the experience of making Edit a mistake in a program Speaking roughly, debugging is the process: After you know that your code is wrong

911 views • 3 slides

More recommend