-
-
[分享]发篇ROOTKIT检测的强文,至今未读懂
-
发表于: 2009-5-22 19:53
-
|
|
|---|---|
|
|
|
|
|
呵呵,这个可是博士生写的
|
|
|
 newbee
|
|
|
发杂志最重要的是“简单问题复杂化”,越复杂的东西其实原理越简单。
另外这个不是Rootkit检测,只是检测MS的溢出/拒绝服务漏洞有没有被人利用而已。他是根据目标程序在被攻击时调用Native API的差别,产生一个序列,然后用那个算法判断结果的。 文章对 多步一致模型采用指数迭代检测算法(Exponential Iteration Detection Algorithm ,EIDA) 描述得尤为复杂,建议你 pass 1.1/1.2 直接看结果好了。 作者找的几个测试例子(如MS03-026、MS04-007)都是比较老的了,而且他 建模/训练 都是针对这几个漏洞进行的,我相当怀疑这个方法对新爆出的漏洞是否还有这么高的检测率。另外这篇论文没提到在完全没有攻击的情况下,检测的精度是多少,对其他程序(通篇就3个程序  )用这个方法误报率又有多高...
|
|
|
原来如此~ 反正那个算法没相关基础根本没看懂·~
|
|
|
|
|
|
|
|
|
|
|
|
[QUOTE=第八个门;629203]看了很久,依然无法看懂的一篇ROOTKIT检测强文……
谁来解读一下~  [/QUOTE]看不懂很正常。看看M1的定义,再看看公式里S0属于M1,这么明显的错误,从老板到评审,没人看到? 再看看自己编造的公式,G*0.5,能不能说说为啥不乘0.618?根据自己造的公式,基本上出现任何一两个不在序列里的API,都会出现一个趋0的值。这对应一个简单的问题,如果出现报警,能告诉我是哪种攻击吗? 利用API序列进行入侵检测是可行的,但本文提出的方法基本上没有什么价值。 |
|
|
|
|
|
|
|
|
|
