<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2017-02-20 12:26 GMT+02:00 Daniel P. Berrange <span dir="ltr"><<a target="_blank" href="mailto:berrange@redhat.com">berrange@redhat.com</a>></span>:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span class="gmail-">On Sun, Feb 19, 2017 at 07:09:51PM +0200, Matteo Cafasso wrote:<br>
> Rebase patches on top of 1.35.25.<br>
><br>
> No changes since last series.<br>
<br>
</span>Can you explain the motivation behind adding the APis to libguestfs ?<br>
<br>
Since the libguestfs VM is separate from the real VM, it can't<br>
be relying on any live process state to scan for malicious code,<br>
so must be exclusively considering the file contents.<br></blockquote><div> </div><div>This is the use case. For the former one, there are tools such as Rekall and Volatility which already do a great job.<br><br><a href="http://www.rekall-forensic.com/">http://www.rekall-forensic.com/</a><br><a href="http://www.volatilityfoundation.org/">http://www.volatilityfoundation.org/</a> <br><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Could yara not simply use the existing libguestfs APIs to do its<br>
work. At the simplest case this might be having the FS fuse mounted<br>
at a location. Alternatively having it directly use the C API to<br>
access content it needs would be safer against malicious symlinks.<br></blockquote><div><br></div><div>There are both security and performance implication in using the FS fuse locally mounted.<br><br>A vulnerability within the Yara scanner might lead to the host being exposed. This is one of the reasons libguestfs is a good tool for helping disk forensics as it adds a layer of protection against exploits. <br>More information here:<br><a href="http://libguestfs.org/guestfs-security.1.html">http://libguestfs.org/guestfs-security.1.html</a><br><a href="https://pythonhosted.org/vminspect/#design-principles">https://pythonhosted.org/vminspect/#design-principles</a><br><br></div><div>Moreover, the fuse FS brings performance impacts which might be considerable if we want to scan an entire FS or set of folders.<br></div><div><a href="http://libguestfs.org/guestfs.3.html#mount-local">http://libguestfs.org/guestfs.3.html#mount-local</a> <br> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Perhaps there's performance benefits todoing it by adding new APIs ?<br>
If so do you have any info on the scale of the benefit ? <br></blockquote><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">
<br>
Regards,<br>
Daniel<br>
<span class="gmail-HOEnZb"><font color="#888888">--<br>
|: <a target="_blank" rel="noreferrer" href="http://berrange.com">http://berrange.com</a>      -o-    <a target="_blank" rel="noreferrer" href="http://www.flickr.com/photos/dberrange/">http://www.flickr.com/photos/<wbr>dberrange/</a> :|<br>
|: <a target="_blank" rel="noreferrer" href="http://libvirt.org">http://libvirt.org</a>              -o-             <a target="_blank" rel="noreferrer" href="http://virt-manager.org">http://virt-manager.org</a> :|<br>
|: <a target="_blank" rel="noreferrer" href="http://entangle-photo.org">http://entangle-photo.org</a>       -o-    <a target="_blank" rel="noreferrer" href="http://search.cpan.org/%7Edanberr/">http://search.cpan.org/~<wbr>danberr/</a> :|<br>
</font></span></blockquote></div><br></div></div>