日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Rootkit檢測和蜜罐檢測有相似之處，因為Rootkit通過攪亂內核欺騙不同用戶，蜜罐則是通過攪亂內核來欺騙敵人，其實蜜罐和Rootkit就是同一種技術的的兩個方面。

創(chuàng)新互聯(lián)是一家專業(yè)提供召陵企業(yè)網(wǎng)站建設,專注與做網(wǎng)站、成都網(wǎng)站建設、html5、小程序制作等業(yè)務。10年已為召陵眾多企業(yè)、政府機構等服務。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中。

Rootkit檢測困難的地方主要有以下幾點：

Rootkit的隱蔽性使對他們的檢測和刪除變得困難，破壞內核最簡單的方法是安裝一個可加載內核模塊(也就是LKM)，即使禁用了對LKM的支持，攻擊者依然能通過在運行中重寫他的內存來破壞內核。這可能涉及禁用一些我們可能用以檢測系統(tǒng)中內存變化的功能。如果沒有進一步更詳細的目標，rootkit可能對存儲器、文件系統(tǒng)進程列表沒有做任何修改。可以做一個假設：Rootkit擴展內和功能以欺騙用戶，結果一些操作將會導致比正常情況下更長的代碼路徑和更多的執(zhí)行指令，比如說rootkit經常在文件系統(tǒng)中隱藏他們的存在，這就意味著如果我們調用函數(shù)set_getdents獲得一個目錄下的內容時候，rootkit可能介入已隱藏他自己的文件，從而增加指令數(shù)目。

為了測量在一次系統(tǒng)調用中有多少個處理器被執(zhí)行，當處理器進入系統(tǒng)調用時候，我們將他設置為單步模式，單步模式下每執(zhí)行一個指令，處理器就會產生一個調試異常。這樣的話我們就hook到了中斷描述表中的系統(tǒng)調用處理程序(int 0x80)和調試異常處理程序。當一個系統(tǒng)調用被初始化的時候，我們的處理程序被調用，之后通過在EFLAGS寄存器中置TF位(0x100)啟動單步模式，并對我們的調試異常處理程序的調用次數(shù)進行計數(shù)。但是以上情況僅針對于Linux，在Windows下面IDT是有保護的，如果說在一個系統(tǒng)調用的過程中對異常執(zhí)行次數(shù)進行計數(shù)是可操作的，這樣的話也是可以創(chuàng)建一個干凈系統(tǒng)的指令執(zhí)行統(tǒng)計。其實上面這個步驟叫做執(zhí)行路徑分析法(EPA)，但是EPA需要有高特權訪問訪問內核地址空間，而且對系統(tǒng)調用表修改的方法動作比較大，容易被檢測出來。所以法國蜜網(wǎng)項目組的成員用了第二種方法：使用性能計算器或者是CPU提供的指令去檢測執(zhí)行時間的變化。具體的操作方法是這樣的：

(1)在干凈的系統(tǒng)上對同一個系統(tǒng)調用若干次(20w次以上)，并記錄該測量為時序T1

(2)在目標系統(tǒng)中進行相同次數(shù)的測量，并記錄測量為時序T2

(3)這時候去計算每一個時序的傅里葉變化：

(4)計算兩個時序頻率向量之間的數(shù)積：

(5)如果r接近于1，系統(tǒng)是干凈的;如果r接近于0，這有可能系統(tǒng)被植入了rootkit。

【本文是專欄作者elknot的原創(chuàng)文章，轉載請通過獲取授權】

網(wǎng)頁題目：如何檢測Rootkit
當前鏈接：http://www.5511xx.com/article/ccescjj.html