首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
3
0
[分享]发篇ROOTKIT检测的强文,至今未读懂
发表于: 2009-5-22 19:53
6495
[分享]发篇ROOTKIT检测的强文,至今未读懂
第八个门
1
2009-5-22 19:53
6495
看了很久,依然无法看懂的一篇ROOTKIT检测强文……
谁来解读一下~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
基于WindowsNativeAPI序列的异常检测模型.pdf
(325.47kb,70次下载)
QQ截图未命名.jpg
(132.17kb,343次下载)
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
12
)
qihoocom
雪 币:
635
活跃值:
(101)
能力值:
( LV12,RANK:420 )
在线值:
发帖
49
回帖
1165
粉丝
24
关注
私信
qihoocom
9
2
楼
基于统计学?
检查NAPI也可以查ROOTKIT?ROOTKIT不走NAPI怎么办?
其实就是行为分析咯?低级AI?其实还不如制定规则?
这种大学生整出来的论文都是废柴~
2009-5-22 20:13
0
第八个门
雪 币:
178
活跃值:
(10)
能力值:
( LV5,RANK:60 )
在线值:
发帖
6
回帖
90
粉丝
0
关注
私信
第八个门
1
3
楼
呵呵,这个可是博士生写的
2009-5-22 20:16
0
smilediy
雪 币:
136
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
114
粉丝
0
关注
私信
smilediy
4
楼
newbee
2009-5-22 20:34
0
木桩
雪 币:
296
活跃值:
(89)
能力值:
( LV15,RANK:340 )
在线值:
发帖
13
回帖
241
粉丝
4
关注
私信
木桩
8
5
楼
发杂志最重要的是“简单问题复杂化”,越复杂的东西其实原理越简单。
另外这个不是Rootkit检测,只是检测MS的溢出/拒绝服务漏洞有没有被人利用而已。他是根据目标程序在被攻击时调用Native API的差别,产生一个序列,然后用那个算法判断结果的。
文章对 多步一致模型采用指数迭代检测算法(Exponential Iteration Detection Algorithm ,EIDA) 描述得尤为复杂,建议你 pass 1.1/1.2 直接看结果好了。
作者找的几个测试例子(如MS03-026、MS04-007)都是比较老的了,而且他 建模/训练 都是针对这几个漏洞进行的,我相当怀疑这个方法对新爆出的漏洞是否还有这么高的检测率。另外这篇论文没提到在完全没有攻击的情况下,检测的精度是多少,对其他程序(通篇就3个程序
)用这个方法误报率又有多高...
2009-5-22 21:22
0
第八个门
雪 币:
178
活跃值:
(10)
能力值:
( LV5,RANK:60 )
在线值:
发帖
6
回帖
90
粉丝
0
关注
私信
第八个门
1
6
楼
原来如此~ 反正那个算法没相关基础根本没看懂·~
2009-5-22 21:28
0
nevergone
雪 币:
63
活跃值:
(17)
能力值:
( LV8,RANK:130 )
在线值:
发帖
5
回帖
270
粉丝
0
关注
私信
nevergone
3
7
楼
现在写论文就是要套上复杂的高等数学啊,不然导师不让通过的。
2009-5-22 21:45
0
菊冬
雪 币:
221
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
91
粉丝
0
关注
私信
菊冬
8
楼
呵呵
...
2009-5-22 22:00
0
jmpjerryy
雪 币:
339
活跃值:
(29)
能力值:
( LV6,RANK:90 )
在线值:
发帖
5
回帖
122
粉丝
2
关注
私信
jmpjerryy
2
9
楼
5楼正解。CN的博士教育就是这样。严重脱离实际,却还理论的毫无用处
2009-5-22 22:18
0
nkspark
雪 币:
101
活跃值:
(88)
能力值:
( LV2,RANK:140 )
在线值:
发帖
46
回帖
610
粉丝
0
关注
私信
nkspark
3
10
楼
[QUOTE=第八个门;629203]
看了很久,依然无法看懂的一篇ROOTKIT检测强文……
谁来解读一下~
[/QUOTE]
看不懂很正常。看看M1的定义,再看看公式里S0属于M1,这么明显的错误,从老板到评审,没人看到?
再看看自己编造的公式,G*0.5,能不能说说为啥不乘0.618?根据自己造的公式,基本上出现任何一两个不在序列里的API,都会出现一个趋0的值。这对应一个简单的问题,如果出现报警,能告诉我是哪种攻击吗?
利用API序列进行入侵检测是可行的,但本文提出的方法基本上没有什么价值。
2009-5-22 22:55
0
Loka
雪 币:
993
活跃值:
(442)
能力值:
( LV12,RANK:403 )
在线值:
发帖
23
回帖
131
粉丝
0
关注
私信
Loka
2
11
楼
严重同意,明明就是1+1=2的事,非要来上一大堆公式加引理,A=1,B=1,然后A+B=2,让你云里雾里的,真正要做的事其实两三句话就讲清楚了,好象写的越复杂才越学术化,表达的越白话,人人都能看懂就成科普,真搞不懂这种折腾有什么用,我宁愿别人告诉我1+1=2让我一听就明白,也不想听一堆废话来证明自己已经可以理解很高层次的学术研究了。理论需要成体系,需要规范化,但不是绕圈圈。
2009-5-23 13:00
0
nObele
雪 币:
1705
活跃值:
(1665)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
24
粉丝
0
关注
私信
nObele
12
楼
智能编程,一旦扯到AI编程,做好了很牛B,问题是多半是高校用来忽悠项目经费的破东西.
2009-5-23 16:04
0
yybing
雪 币:
236
活跃值:
(33)
能力值:
( LV2,RANK:15 )
在线值:
发帖
1
回帖
91
粉丝
0
关注
私信
yybing
13
楼
其实个人看,他这么做的前提是调用Native API是全部走的系统的那三个进程
基于这种前提,在没有攻击时,调用NAPI是的统计学特征应该是一样的
当有攻击时,会出现差异,倒也不失为一种检测方法
2009-5-23 17:22
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
第八个门
1
6
发帖
90
回帖
60
RANK
关注
私信
他的文章
[半原创]ntfs磁盘访问接口(工程+代码)
15669
[分享]发篇ROOTKIT检测的强文,至今未读懂
6496
[求助]请问有关BMP图片读取的问题。
4763
[求助]有关Branch Trace Stored 一些问题
4297
[半原创]贴点内核态中创建用户态进程的代码
40228
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
csjwaman
xingbing
coolboylmk
cyliu
guoke
throb
9571
1119
笨奔
寻思
Aker
luckyxsky
amdey
linxer
likunkun
Jemmy
wdsm
zhzhtst
Winker
Loka
yigeren
nevergone
hrfeng
jwtck
jamella
zouyan
ASMFAQ
neineit
weiwolves
cmdxhz
tsenable
cherokee
dihin
rockl
qihoocom
bboyiori
仙果
才把
liangdong
dayed
木桩
pewww
暗夜盗魔
blizzaaard
gpaul
gamavector
Jeancky
rootxue
yybing
longway
MTrickster
Brunhilde
slilo
STL
childz
gjden
eletuan
lichenglin
谁下载
×
runjin
小虾
海风月影
hume
xIkUg
soulcrack
xingbing
linhanshi
lyanhai
coolboylmk
cyliu
ysoni
guoke
zhongk
happyasr
throb
xzchina
whrcartoon
金熊猫
9571
DRILL
执着我一生
笨奔
淋雨的感觉
Roolce
b23526
寻思
猪头三
Second
Aker
luckyxsky
coolboy
firefly
cxhcxh
amdey
linxer
likunkun
chenjun
小虾米
iask
天外来客
heimei
fengyun
thdzhqg
lingyu
pathletboy
Jemmy
lendy
zhuliang
sixL
ezme
wdsm
yanxizhen
icersg
archy
zhzhtst
xszhou
cham
plaman
hybrid
hackroad
netwind
vfer
Winker
niuhacker
非安全
Loka
落日一笑
上网鱼
gatt
cvcvxk
bgtwoigu
mscto
jjr
wayitech
whtyy
dcwant
坚持到底
allkilled
dtcser
yigeren
scship
mufasa
nevergone
WinDbg
xiaofo
iawen
hrfeng
Cho
raid
Osris
zzage
FlowerCode
jwtck
SongLei
netknight
jamella
btba
xPLK
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部