阅读:2128回复:6
antirootkit!
最近看了integrity check方法,觉得有点疑惑:应该如何保证baseline的正确性。
应该怎么保证baseline的源泉不被感染。 |
|
沙发#
发布于:2007-03-19 08:50
感谢WOWOCOCK的答复,早就听说您的大名了:)
不过你说的太笼统了,谁也不能保证文件完全不受感染,应该是这样吧:) 能否列一个比较好的方法或者提供一些参考资料(最近我正在写一篇论文),谢谢:) 还有如果给系统中的某个驱动加挂一个filter driver,此种hook该如何检测,好像没有这种类型hook检测的资料。 |
|
板凳#
发布于:2007-03-28 09:07
是不是可以这样,将baseline存做一个文件,当要检查rootkit时,可以将baseline的每个字节+1得出的字符与要检查的字节+1得到的字节匹配。这样就不会怕被rootkit修改了。
|
|