- 1、本文档共44页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
恶意代码剖析和Rootkit检测-XCon安全焦点信息安全技术峰会
恶意代码剖析和Rootkit检测
Matt Conover
Email: shok1234
1
介绍
一场持续的猫和老鼠的游戏
检测和分析机制多年来变化不大
指令跟踪
系统Hook调用或API调用
Malware/Rootkits 日益成熟并且善于躲避
隐藏
2
内容简介
分享rootkit检测和躲避艺术的技术状况
介绍一种新的Windows平台下rootkit检测
和恶意代码分析的方法
适用于检测目前的所有rootkit
一个简单的分析实例
讨论特征语言(signature language )在
rootkit检测上的应用
3
Rootkit介绍
Windows平台上最早发现于1999
(NTRootkit, Hoglund):
不同于病毒
非破坏性的信息收集工具
通常运行在核心(更易隐藏)
通常被黑客手工安装
确保能再次进入系统
隐蔽地捕获密码,键击等
4
Rootkit检测
商业上对rootkit的兴趣远不及恶意程序
当前大多数检测机制并不专门针对rootkit
相对于流行的恶意或间谍程序,明显缺乏关注
这种状况导致自食其果
商业性工具缺乏检测导致人们不知道是否被安装
了rootkit
因此用户对rootkit检测的需求不高
5
猫的情况(Rootkit检测)
当前的四种检测机制:
已应用:反病毒软件方法
研究中:HIPS (Host Intrusion Prevention
Systems)
研究中:执行路径分析(EPA)
新方法: 分测试(Differential testing)
6
反病毒方法
对付已知rootkits方面很有效
当新的变种和rootkits发布需要产生新特征
在rootkit被运行前,检测它的指纹
7
反病毒方法的缺陷
很少rootkit是公开的
低可靠性
Rootkits深度隐藏并且非 坏性
少量的rootkit样本被送到反病毒公司
太迟了
Rootkits可以使antivirus的hook失效 (通
常通过文件系统的过滤驱动)
AV 定义出来的太晚了J
8
HIPS方法
两个层面的防御
防止机器被exploits
检测缓冲区溢出、 RLIBC等
防止攻击者进入kernel
您可能关注的文档
最近下载
- 电压波动及闪变的高精度FFT测量.pdf
- 抵制垃圾食品,提倡科学饮食 课件--2023-2024学年中学生饮食安全教育主题班会.pptx VIP
- 周杰伦歌词100首.pdf
- 辽宁省六校协作体2023-2024学年高二上学期期中联考试题英语含解析.docx VIP
- 高中数学教案(全套).pdf VIP
- 小学语文六年级上册单元作业设计优秀案例(4篇).pdf
- ISO SAE21434-2021车辆网络安全管理体系及工程师专题培训教材.pptx
- 矿区钻探工程施工方案及保障措施.docx
- 《手术室安全用药》课件.pptx VIP
- 人教版PEP小学英语五年级上册Unit3 what would you like说课稿.pdf
文档评论(0)