高级Windows 2000 Rootkit检测技术6

个系统服务被调用几百次后，与这个系统服务相关的缓冲最后会被填入固定的值。
　　假想现在有人安装了隐藏文件的rootkit，如果我们重复测试并绘制相应的条形图，就会发现频率高点向右移了，这是因为rootkit需要进行隐藏文件的工作。
　　在现在的代码实现中，只进行了少量的测试，包括典型的服务如：文件系统读取，枚举进程，枚举注册表项以及Socket读取。
　　这些测试将有效地检测出著名的NTRootkit(见[1])，或最近比较流行的Hacker Defender(见[4])，包括它自带的网络后门，当然还包括很多其他的后门。但要检测出一些更好的后门还要加入一些新的测试。
　　
　　误报和执行路径跟踪
　　虽然对频率高点的检测有助于我们处理系统的不确定因素，但有时会发现测试得到的值有小的差值，一般来说不大于20。
　　有时这会是一个很严重的问题，因为我们不能确定那些多出来的指令意味着被入侵或只是正常的误差。
　　为解决这个问题，我们使用了执行路径记录模式。和单一的EPA模式比较，系统增加了对执行路径的记录(包括地址和运行的指令)，首先，系统记录下正常情况下的执行路径，以后的每一次运行将产生diff文件(正常系统和现行系统之间的比较)。
　　我们应该使用好的反编译器来分析那些不一样的地方，以此判定他们是否可疑。图6是一个d

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第6页、共9页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明