首页
社区
课程
招聘
[分享]发篇ROOTKIT检测的强文,至今未读懂
发表于: 2009-5-22 19:53 6498

[分享]发篇ROOTKIT检测的强文,至今未读懂

2009-5-22 19:53
6498
看了很久,依然无法看懂的一篇ROOTKIT检测强文……
谁来解读一下~



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
2
基于统计学?
检查NAPI也可以查ROOTKIT?ROOTKIT不走NAPI怎么办?

其实就是行为分析咯?低级AI?其实还不如制定规则?

这种大学生整出来的论文都是废柴~
2009-5-22 20:13
0
雪    币: 178
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
呵呵,这个可是博士生写的
2009-5-22 20:16
0
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
newbee
2009-5-22 20:34
0
雪    币: 296
活跃值: (89)
能力值: ( LV15,RANK:340 )
在线值:
发帖
回帖
粉丝
5
发杂志最重要的是“简单问题复杂化”,越复杂的东西其实原理越简单。
另外这个不是Rootkit检测,只是检测MS的溢出/拒绝服务漏洞有没有被人利用而已。他是根据目标程序在被攻击时调用Native API的差别,产生一个序列,然后用那个算法判断结果的。

文章对 多步一致模型采用指数迭代检测算法(Exponential Iteration Detection Algorithm ,EIDA) 描述得尤为复杂,建议你 pass 1.1/1.2 直接看结果好了。
作者找的几个测试例子(如MS03-026、MS04-007)都是比较老的了,而且他 建模/训练 都是针对这几个漏洞进行的,我相当怀疑这个方法对新爆出的漏洞是否还有这么高的检测率。另外这篇论文没提到在完全没有攻击的情况下,检测的精度是多少,对其他程序(通篇就3个程序)用这个方法误报率又有多高...
2009-5-22 21:22
0
雪    币: 178
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
原来如此~ 反正那个算法没相关基础根本没看懂·~
2009-5-22 21:28
0
雪    币: 63
活跃值: (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
现在写论文就是要套上复杂的高等数学啊,不然导师不让通过的。
2009-5-22 21:45
0
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
呵呵
...
2009-5-22 22:00
0
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
9
5楼正解。CN的博士教育就是这样。严重脱离实际,却还理论的毫无用处
2009-5-22 22:18
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
10
[QUOTE=第八个门;629203]看了很久,依然无法看懂的一篇ROOTKIT检测强文……
谁来解读一下~


[/QUOTE]

看不懂很正常。看看M1的定义,再看看公式里S0属于M1,这么明显的错误,从老板到评审,没人看到?

再看看自己编造的公式,G*0.5,能不能说说为啥不乘0.618?根据自己造的公式,基本上出现任何一两个不在序列里的API,都会出现一个趋0的值。这对应一个简单的问题,如果出现报警,能告诉我是哪种攻击吗?

利用API序列进行入侵检测是可行的,但本文提出的方法基本上没有什么价值。
2009-5-22 22:55
0
雪    币: 993
活跃值: (442)
能力值: ( LV12,RANK:403 )
在线值:
发帖
回帖
粉丝
11
严重同意,明明就是1+1=2的事,非要来上一大堆公式加引理,A=1,B=1,然后A+B=2,让你云里雾里的,真正要做的事其实两三句话就讲清楚了,好象写的越复杂才越学术化,表达的越白话,人人都能看懂就成科普,真搞不懂这种折腾有什么用,我宁愿别人告诉我1+1=2让我一听就明白,也不想听一堆废话来证明自己已经可以理解很高层次的学术研究了。理论需要成体系,需要规范化,但不是绕圈圈。
2009-5-23 13:00
0
雪    币: 1705
活跃值: (1665)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
智能编程,一旦扯到AI编程,做好了很牛B,问题是多半是高校用来忽悠项目经费的破东西.
2009-5-23 16:04
0
雪    币: 236
活跃值: (33)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
13
其实个人看,他这么做的前提是调用Native API是全部走的系统的那三个进程
基于这种前提,在没有攻击时,调用NAPI是的统计学特征应该是一样的
当有攻击时,会出现差异,倒也不失为一种检测方法
2009-5-23 17:22
0
游客
登录 | 注册 方可回帖
返回
//