日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
如何檢測(cè)Rootkit

Rootkit檢測(cè)和蜜罐檢測(cè)有相似之處,因?yàn)镽ootkit通過(guò)攪亂內(nèi)核欺騙不同用戶,蜜罐則是通過(guò)攪亂內(nèi)核來(lái)欺騙敵人,其實(shí)蜜罐和Rootkit就是同一種技術(shù)的的兩個(gè)方面。

創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供召陵企業(yè)網(wǎng)站建設(shè),專(zhuān)注與做網(wǎng)站、成都網(wǎng)站建設(shè)、html5、小程序制作等業(yè)務(wù)。10年已為召陵眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)的建站公司優(yōu)惠進(jìn)行中。

Rootkit檢測(cè)困難的地方主要有以下幾點(diǎn):

Rootkit的隱蔽性使對(duì)他們的檢測(cè)和刪除變得困難,破壞內(nèi)核最簡(jiǎn)單的方法是安裝一個(gè)可加載內(nèi)核模塊(也就是LKM),即使禁用了對(duì)LKM的支持,攻擊者依然能通過(guò)在運(yùn)行中重寫(xiě)他的內(nèi)存來(lái)破壞內(nèi)核。這可能涉及禁用一些我們可能用以檢測(cè)系統(tǒng)中內(nèi)存變化的功能。如果沒(méi)有進(jìn)一步更詳細(xì)的目標(biāo),rootkit可能對(duì)存儲(chǔ)器、文件系統(tǒng)進(jìn)程列表沒(méi)有做任何修改。可以做一個(gè)假設(shè):Rootkit擴(kuò)展內(nèi)和功能以欺騙用戶,結(jié)果一些操作將會(huì)導(dǎo)致比正常情況下更長(zhǎng)的代碼路徑和更多的執(zhí)行指令,比如說(shuō)rootkit經(jīng)常在文件系統(tǒng)中隱藏他們的存在,這就意味著如果我們調(diào)用函數(shù)set_getdents獲得一個(gè)目錄下的內(nèi)容時(shí)候,rootkit可能介入已隱藏他自己的文件,從而增加指令數(shù)目。

為了測(cè)量在一次系統(tǒng)調(diào)用中有多少個(gè)處理器被執(zhí)行,當(dāng)處理器進(jìn)入系統(tǒng)調(diào)用時(shí)候,我們將他設(shè)置為單步模式,單步模式下每執(zhí)行一個(gè)指令,處理器就會(huì)產(chǎn)生一個(gè)調(diào)試異常。這樣的話我們就hook到了中斷描述表中的系統(tǒng)調(diào)用處理程序(int 0x80)和調(diào)試異常處理程序。當(dāng)一個(gè)系統(tǒng)調(diào)用被初始化的時(shí)候,我們的處理程序被調(diào)用,之后通過(guò)在EFLAGS寄存器中置TF位(0x100)啟動(dòng)單步模式,并對(duì)我們的調(diào)試異常處理程序的調(diào)用次數(shù)進(jìn)行計(jì)數(shù)。但是以上情況僅針對(duì)于Linux,在Windows下面IDT是有保護(hù)的,如果說(shuō)在一個(gè)系統(tǒng)調(diào)用的過(guò)程中對(duì)異常執(zhí)行次數(shù)進(jìn)行計(jì)數(shù)是可操作的,這樣的話也是可以創(chuàng)建一個(gè)干凈系統(tǒng)的指令執(zhí)行統(tǒng)計(jì)。其實(shí)上面這個(gè)步驟叫做執(zhí)行路徑分析法(EPA),但是EPA需要有高特權(quán)訪問(wèn)訪問(wèn)內(nèi)核地址空間,而且對(duì)系統(tǒng)調(diào)用表修改的方法動(dòng)作比較大,容易被檢測(cè)出來(lái)。所以法國(guó)蜜網(wǎng)項(xiàng)目組的成員用了第二種方法:使用性能計(jì)算器或者是CPU提供的指令去檢測(cè)執(zhí)行時(shí)間的變化。具體的操作方法是這樣的:

(1)在干凈的系統(tǒng)上對(duì)同一個(gè)系統(tǒng)調(diào)用若干次(20w次以上),并記錄該測(cè)量為時(shí)序T1

(2)在目標(biāo)系統(tǒng)中進(jìn)行相同次數(shù)的測(cè)量,并記錄測(cè)量為時(shí)序T2

(3)這時(shí)候去計(jì)算每一個(gè)時(shí)序的傅里葉變化:

(4)計(jì)算兩個(gè)時(shí)序頻率向量之間的數(shù)積:

(5)如果r接近于1,系統(tǒng)是干凈的;如果r接近于0,這有可能系統(tǒng)被植入了rootkit。

【本文是專(zhuān)欄作者elknot的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)獲取授權(quán)】


當(dāng)前文章:如何檢測(cè)Rootkit
URL鏈接:http://www.5511xx.com/article/ccescjj.html