|
阅读:2206回复:6
antirootkit!
最近看了integrity check方法,觉得有点疑惑:应该如何保证baseline的正确性。
应该怎么保证baseline的源泉不被感染。 |
|
|
沙发#
发布于:2007-03-18 11:55
不能完全保证,只能尽可能的保证.
 |
|
|
|
板凳#
发布于:2007-03-19 08:50
感谢WOWOCOCK的答复,早就听说您的大名了:)
不过你说的太笼统了,谁也不能保证文件完全不受感染,应该是这样吧:) 能否列一个比较好的方法或者提供一些参考资料(最近我正在写一篇论文),谢谢:) 还有如果给系统中的某个驱动加挂一个filter driver,此种hook该如何检测,好像没有这种类型hook检测的资料。 |
|
|
地板#
发布于:2007-03-19 08:54
引用第2楼flying2008于2007-03-19 08:50发表的“”: 检查这个很困难~不过FSD比较好检查~ |
|
|
|
地下室#
发布于:2007-03-19 16:42
如果文件本身没有被感染的话,可以通过自己实现FS,DISK DRIVER来获得真正的磁盘影像,如果文件也被感染了,那就没办法了,最好是自己设置个服务器,上面存放了所有的OS系统文件,然后通过LINUX或你自己写的OS连上去验证,反正现在开原的OS其多,编译个只有自己用的版本,万无一失,嘿嘿.....
|
|
|
|
5楼#
发布于:2007-03-27 18:22
引用第4楼wowocock于2007-03-19 16:42发表的“”: wowocock....这个麻烦啊~ |
|
|
|
6楼#
发布于:2007-03-28 09:07
是不是可以这样,将baseline存做一个文件,当要检查rootkit时,可以将baseline的每个字节+1得出的字符与要检查的字节+1得到的字节匹配。这样就不会怕被rootkit修改了。
|
|