高级Windows 2000 Rootkit检测技术7

iff文件的例子。
　　现阶段的diff文件只记录下指令的地址，以后可能将两次测试的不同结果存为PE格式文件，并可用IDA等工具分析。
　　
　　检测 ”offset-in-the-code” 的变化
　　想象有这样一个rootkit，它基本和上面提到的 fu rootkit (见[3]) 一样，但不从PsActiveProcessList中，而是从分派器使用的数据结构中移除进程。我说过那不可能，因为隐藏的进程将分配不到运行时间......
　　然而，rootkit可以同时更改分派器代码中所使用数据结构的地址(offset)，换句话说，就是使其使用不同的链表。但只有分派器使用这个”新的” 链表，而系统其他地方还是使用”旧的”链表...... (见图7)。
　　虽然这种技术不会改变执行指令的个数，我们还是能检测到它，但需要进一步的完善现有的工具。这项功能现在还没有实现，但应该不是很难。
　　
　　针对EPA的攻防
　　我们可以想到一些能骗过EPA类检测工具的方法，先把它们分为两类。
　　1、针对特定工具的欺骗
　　2、对EPA类技术的通用攻击
　　
　　首先，我们考虑一下通用的攻击方法和怎样防止这类攻击。接着讨论针对特定工具的攻击以及怎样通过多态来预防。
　　
　　<

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第7页、共9页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明