Windows下基于交叉视图的Rootkit进程隐藏检测技术
入侵检测(ID)和防御(IPS)软件——萨客嘶
5个免费的入侵检测(ID)和防御(IPS)软件 S n o r t S n o r t是一个开源的网络入侵检测系统,可实现实时流量分析和数据包在I P网络上记录的能力。它可以进行协议分析,内容搜索/匹配,可用于检测例如缓冲区溢出,秘密端口扫描,C G I攻击,S M B探测,操作系统指纹企图,对攻击和探测,品种更多。 S A X2 A x3s o f t S A X2是一个专业的入侵检测和预防系统(I D S)来检测入侵和攻击,分析和管理网络,在实时数据包捕获,擅长24/7网络监控,先进的协议分析专家和自动检测。 兄弟 兄弟是一个开放源码的,基于U n i x的网络入侵检测系统(N I D S)的是被动地监视网络流量和可疑的活动看起来。兄弟首先检测网络流量分析的入侵提取其应用程序级的语义,然后执行面向事件的分析仪,比较有图案的活动被视为麻烦。其分析包括具体的攻击(包括签字确定的检测,而且在事件方面所界定者)和不寻常的活动(例如,连接到某些服务,或连接尝试失败一定主机模式)。 序幕 前奏曲是一个“代理人更少”,通用,安全信息管理(S I M卡)制度,根据G N U通用公共许可证的条款发表。前奏曲收集,标准化,分类,聚合,关联和报告所有与安全有关的事件是独立于产品品牌或牌照才会出现正常化到一个单一的格式被称为“入侵检测消息交换格式,如事件” A i r S n a r e A i r S n a r e是另一种工具添加到您的无线入侵检测的工具箱。A i r S n a r e会提醒你在网络上的M A C地址和不友好也将提醒您的D H C P请求发生。A i r S n a r e如果检测到一个不友善的M A C地址,你有选择的跟踪陆委会地址获得I P地址和端口或发射后一检测飘渺。 Sax2网络入侵检测系统,Sax2是一款专业的入侵检测与防御软件,它能够实时的采集网络数据包,不间断的对网络进行监视,通过高级协议分析和专家级侦测来发现网络中的威胁,主要有以下优势: ●基于协议分析的检测技术 通过对协议(IP、TCP、UDP、HTTP、FTP、POP3、SMTP)的深入分析,并对其通信内容进行重组,然后才把重组后的内容提交给检测引擎,通过这种方式极大的提高了系统的性能和
教你安全用电脑 识别进程中的隐藏木马
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 发现隐藏的木马进程直接手工删除病毒 一.以假乱真 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 常见系统进程解惑: 进程文件:svchost 或svchost.exe 进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务,所
检测系统的基本特性
第2章 检测系统的基本特性 2.1 检测系统的静态特性及指标 2.1.1检测系统的静态特性 一、静态测量和静态特性 静态测量:测量过程中被测量保持恒定不变(即dx/dt=0系统处于稳定状态)时的测量。 静态特性(标度特性):在静态测量中,检测系统的输出-输入特性。 n n x a x a x a x a a y +++++= 332210 例如:理想的线性检测系统: x a y 1= 如图2-1-1(a)所示 带有零位值的线性检测系统:x a a y 10+= 如图2-1-1(b)所示 二、静态特性的校准(标定)条件――静态标准条件。 2.1.2检测系统的静态性能指标 一、测量范围和量程 1、 测量范围:(x min ,x max ) x min ――检测系统所能测量到的最小被测输入量(下限) x max ――检测系统所能测量到的最大被测输入量(上限)。 2、量程: min max x x L -= 二、灵敏度S dx dy x y S x =??=→?)( lim 0 串接系统的总灵敏度为各组成环节灵敏度的连乘积 321S S S S = 三、分辨力与分辨率 1、分辨力:能引起输出量发生变化时输入量的最小变化量min x ?。 2、分辨率:全量程中最大的min x ?即min max x ?与满量程L 之比的百分数。 四、精度(见第三章) 五、线性度e L max .. 100%L L F S e y ?=± ? max L ?――检测系统实际测得的输出-输入特性曲线(称为标定曲线)与其拟合直线之
间的最大偏差 ..S F y ――满量程(F.S.)输出 注意:线性度和直线拟合方法有关。 最常用的求解拟合直线的方法:端点法 最小二乘法 图2-1-3线性度 a.端基线性度; b.最小二乘线性度 四、迟滞e H %100. .max ??= S F H y H e 回程误差――检测系统的输入量由小增大(正行程),继而自大减小(反行程)的测试 过程中,对应于同一输入量,输出量的差值。 ΔHmax ――输出值在正反行程的最大差值即回程误差最大值。 迟滞特性 五、稳定性与漂移 稳定性:在一定工作条件下,保持输入信号不变时,输出信号随时间或温度的变化而出 现缓慢变化的程度。 时漂: 在输入信号不变的情况下,检测系统的输出随着时间变化的现象。 温漂: 随着环境温度变化的现象(通常包括零位温漂、灵敏度温漂)。 2.2 检测系统的动态特性及指标 动态测量:测量过程中被测量随时间变化时的测量。 动态特性――检测系统动态测量时的输出-输入特性。 常用实验的方法: 频率响应分析法――以正弦信号作为系统的输入;
黑客基本术语名词解释
黑客基本术语名词解释 本文介绍一些常见的基础黑客专用术语。 1.肉鸡: 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑(计算机(电脑)),对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑(计算机(电脑)),也可以是大型的服务器(server网络资源),我们可以象操作自己的电脑(计算机(电脑))那样来操作它们,而不被对方所发觉。 2.木马: 就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热中与使用木马程序来控制别人的电脑(计算机(电脑)),比如灰鸽子,黑洞,PcShare等等。 3.网页木马: 表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑(计算机(电脑))上来自动执行。 4.挂马: 就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。 5.后门: 这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑(计算机(电脑))建立连接,重新控制这台电脑(计算机(电脑)),就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制、作后门(BackDoor) 6.rootkit:rootkit 是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。
详解入侵检测 入侵防御
详解入侵检测入侵防御 在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像。那么这两款产品有区别吗?区别在哪?入侵防御和UTM之间该如何选择?未来它们将会如何发展,本文将就这几个问题做一一分析。 用户选择之惑 从出现先后顺序来看,入侵检测无疑是前辈:甚至最早的入侵防御产品就是在入侵检测产品的基础上改造而成。 顾名思义,入侵检测产品就是对入侵行为进行检查的产品,那为什么要检测入侵呢?大家都知道,入侵检测技术起源于审计,是由于需要/想知道网络里到底发生过什么事情,毕竟网络世界不像真实世界这样可视化。 而和入侵检测有着共同基础的入侵防御产品则不然,它的重点是防护,看上去更像我们熟悉的防火墙产品。当然,入侵防御也有和传统防火墙不一样的地方:防火墙的规则是允许具备某些特征的数据包通过,比如TCP 80端口的数据包,在Web服务跟前,就是被允许通过的;而入侵防御的规则刚好相反,不允许具备某些特征的数据包通过,某一个数据包携带的数据被认定为溢出攻击,就将被拒绝通过。当然,还有一种说法就是,防火墙关注的是会话层以下的网络数据,而入侵防御则关注会话层-应用层的数据。有一定技术基础的朋友一定能很快看出上面的问题,“且慢,这根本就不是问题,我完全可以做到只让那些符合某些规则(防火墙规则),又不具备某些特征(入侵特征)的数据通过”。“至于防火墙不关注会话层以上的数据,这就更简单了,不论以前是由于什么原因不关注,现在开始也分析好了,只要性能能跟上,技术上没有困难”。 没错,正是上面提到的所谓区别在硬件技术和检测技术的发展面前都已经不是问题了,所以才会使得UTM这一概念获得人们的认可:我们喜欢防火墙式的一劳永逸,我们需要入侵防御的应用层威胁防护,于是我们把这两个功能在一个硬件上实现了。一些安全厂商/用户并不能区别单独的入侵防御产品和UTM产品中的入侵防御之间的区别,于是就陷入了一个误区:我应该选择入侵防御还是UTM?如果入侵防御可以在UTM中实现,是不是以后就没有单独的入侵防御产品了? 入侵防御还是UTM? 这其实不能算是问题,UTM刚出现时很少有人选择,原因很简单:性能。有些号称UTM的设备在打开入侵防御功能后性能衰减严重,这使得UTM并未像想象中那样获得开门红。但摩尔定律的力量是强大的,随着硬件技术的发展,在效率不降低的情况下在一个盒子里完成多项工作,已经成为现实。 这是不是就意味着UTM可以全面取代入侵防御产品呢?我们应当还记得前面提到的:防火墙是配置允许规则,规则外禁止,而入侵防御是配置禁止规则,规则
Win32Rootkit的进程隐藏检测技术
A c a d e m i c R e s e a r c h 学术研究 62 收稿日期:2008-09-17 作者简介:林卫亮,1982年生,硕士研究生,研究方向:网络攻击与防御;王轶骏,1980年生,讲师,研究方向:网络主动防御技术与操作系统安全机制;薛质,1971年生,教授,研究方向:计算机通信网、信息安全、网络安全攻防与评测。 林卫亮,王轶骏,薛质 (上海交通大学信息安全工程学院,上海 200240) 【摘 要】Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。【关键词】Rootkit Win32;进程隐藏;检测 【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2009) 03-0062-02 Technology of Hidden Process Rootkit on Win32 LIN Wei-liang, WANG Yi-jun, XUE Zhi (Information Security Engeneering School of Shanghai Jiaotong University, Shanghai 200240, China) 【Abstract 】Rootkit is a system layer hidden mechanism and implementation program and is becoming more and more popular. It is designed to take fundamental control of a computer system, without authorization by the system owners and legitimate managers. Concealing running processes is one of the Win32 Rootkit 's standard functions. In this paper, the techniques for detecting this kind of Win32 Rootkit, are studiues and implemented their advantages and disadvantages analyzed and compaired, Finally, some prospects for this technique are proposed.【Keywords 】Rootkit Win32; Concealing running processes; detection Win32 Rootkit 的 进程隐藏检测技术 0 引言 现今,Rootkit是入侵者在侵入目标系统后用以长期隐蔽的重要技术,并能够使其保持目标系统上的最高权限,即传统意义上的“root”用户。Rootkit分为用户层Rootkit和内核层Rootkit,其中,基于内核层Rootkit技术的恶意代码凭借深入的底层隐蔽技术,能够躲避绝大多数防火墙的拦截以及杀毒软件的查杀,对计算机安全构成极大的威胁[1]。 本文针对目前流行的Win32 Rootkit的进程隐藏检测技术进行了深入研究和实现,并比较了各自的优缺点。 1 隐藏进程的检测技术 进程隐藏是Win32平台下Rootkit的标准功能,只要能检测出隐藏的进程,就很有可能会发现Win32 Rootkit。下面我们深入分析隐藏进程检测的几种方法。1.1 Klister技术 Klister技术基本的原理是通过线程分配器找到所有的线程结构ETHREAD,然后依次找到ETHREAD所对应的进程结构EPROCESS,最后合并结果,就可以得到系统中所有真实运行的进程的列表。经过实验,在Windows 2000系统中,我们可以检测到FU隐藏的进程,yyt_hac`sntRootkit1.2.2隐藏的进程RtKit.exe和hackerdefender1.0.0隐藏的进程hxdef100.exe。缺点是Klister 只能在Windows 2000系统中使用。如果自己实现了内核的线程调度,就可以躲过Klister的检测。PHIDE2 engine实现了这个调度方法躲过了Klister4.0的检测。1.2 挂钩SwapContext技术 由于Klister技术的局限性,Kkaslin提出了一种新的
Rootkit的类型、功能及主要技术
Rootkit的类型、功能及主要技术Rootkit 的类型小结 1.固化Rootkits和BIOS Rootkits 固化程序是存于ROM中,通常很小,使用系统硬件和BIOS 创建顽固的软件镜像。将制定的代码植入到BIOS 中,刷新BIOS,在BIOS 初始化的末尾获得运行机会。重启无用、格式化无用,在硬盘上无法探测,现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。 本文整理:(第三方信息安全网)https://www.sodocs.net/doc/5519071529.html,/ 2 内核级Rootkits 内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统 调用表、系统调用跳转(Syscall Jump),并能够替换一个操作系统的部分功能,包括内核和相关的设备驱动程序。现在的操作系统大多没有强化内核和驱动程序的不同特性。许多内核模式的Rootkit 是作为设备驱动程序而开发,或者作为可加载模块,如Linux 中的可加载模块或Windows 中的设备驱动程序,这类Rootkit 极其危险,它可获得不受限制的安全访问权。如果代码中有任何一点错误,那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。 特点:无进程;无端口。与用户级Rootkit 相比,与操作系统处于同一级别,可以修改或破坏由其它软件所发出的任何请求。 3 用户态Rootkits 用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit,由于Ring3 级就是 用户应用级的程序,而且信任级别低,每一个程序运行,操作系统给这一层的最小权限。用
在Delphi中隐藏程序进程的方法
在Delphi中隐藏程序进程方法[1] 主要需要解决两个问题,即隐藏窗口和设定热键。 一. 隐藏窗口 通过API函数GETACTIVEWINDOW获取当前窗口;函数ShowWindow(HWND,nCmdShow)的参数nCmdShow取SW_HIDE时将之隐藏,取SW_SHOW时将之显示。例如: showwindow(getactivewindow,sw_hide)。隐藏好窗体后,须记住窗体句柄以便恢复。二. 键盘监控 为了实现键盘监控须用到钩子。 以下是程序的源文件: 一、创建一个动态链接库 unit HKHide; //链接库中的Unit文件 interface uses Windows, Messages, sysutils; var hNextHookHide: HHook; HideSaveExit: Pointer; hbefore:longint; function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; function EnableHideHook: BOOL; export; function DisableHideHook: BOOL; export; procedure HideHookExit; far; implementation function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; const _KeyPressMask = $80000000; var f:textfile;
测试系统的特性
第4章测试系统的特性 一般测试系统由传感器、中间变换装置和显示记录装置三部分组成。测试过程中传感器将反映被测对象特性的物理量(如压力、加速度、温度等)检出并转换为电信号,然后传输给中间变换装置;中间变换装置对电信号用硬件电路进行处理或经A/D变成数字量,再将结果以电信号或数字信号的方式传输给显示记录装置;最后由显示记录装置将测量结果显示出来,提供给观察者或其它自动控制装置。测试系统见图4-1所示。 根据测试任务复杂程度的不同,测试系统中每个环节又可由多个模块组成。例如,图4-2所示的机床轴承故障监测系统中的中间变换装置就由带通滤波器、A/D变换器和快速傅里叶变换(Fast Fourier Transform,简称FFT)分析软件三部分组成。测试系统中传感器为振动加速度计,它将机床轴承振动信号转换为电信号;带通滤波器用于滤除传感器测量信号中的高、低频干扰信号和对信号进行放大,A/D变换器用于对放大后的测量信号进行采样,将其转换为数字量;FFT分析软件则对转换后的数字信号进行快速傅里叶变换,计算出信号的频谱;最后由计算机显示器对频谱进行显示。 要实现测试,一个测试系统必须可靠、不失真。因此,本章将讨论测试系统及其输入、输出的关系,以及测试系统不失真的条件。 图4-1 测试系统简图 图4-2 轴承振动信号的测试系统
4.1 线性系统及其基本性质 机械测试的实质是研究被测机械的信号)(t x (激励)、测试系统的特性)(t h 和测试结果)(t y (响应)三者之间的关系,可用图4-3表示。 )(t x )(t y )(t h 图4-3 测试系统与输入和输出的关系 它有三个方面的含义: (1)如果输入)(t x 和输出)(t y 可测,则可以推断测试系统的特性)(t h ; (2)如果测试系统特性)(t h 已知,输出)(t y 可测,则可以推导出相应的输入)(t x ; (3)如果输入)(t x 和系统特性)(t h 已知,则可以推断或估计系统的输出)(t y 。 这里所说的测试系统,广义上是指从设备的某一激励输入(输入环节)到检测输出量的那个环节(输出环节)之间的整个系统,一般包括被测设备和测量装置两部分。所以只有首先确知测量装置的特性,才能从测量结果中正确评价被测设备的特性或运行状态。 理想的测试装置应具有单值的、确定的输入/输出关系,并且最好为线性关系。由于在静态测量中校正和补偿技术易于实现,这种线性关系不是必须的(但是希望的);而在动态测量中,测试装置则应力求是线性系统,原因主要有两方面:一是目前对线性系统的数学处理和分析方法比较完善;二是动态测量中的非线性校正比较困难。但对许多实际的机械信号测试装置而言,不可能在很大的工作范围内全部保持线性,只能在一定的工作范围和误差允许范围内当作线性系统来处理。 线性系统输入)(t x 和输出)(t y 之间的关系可以用式(4-1)来描述 )()(...)()()()(...)()(0111101111t x b dt t dx b dt t x d b dt t x d b t y a dt t dy a dt t y d a dt t y d a m m m m m m n n n n n n ++++=++++------ (4-1) 当n a ,1-n a ,…,0a 和m b ,1-m b ,…,0b 均为常数时,式(4-1)描述的就是线性系统,也称为时不变线性系统,它有以下主要基本性质: (1)叠加性 若 )()(11t y t x →,)()(22t y t x →,则有
Rootkit:隐秘的黑客攻击
Rootkit:隐秘的黑客攻击 发表日期:2006-09-14作者:[转贴] 出处: Rootkit 是一种特殊类型的malware(恶意软件)。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不可能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。 Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和Remailer。许多Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。 Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。攻击者可以找出目标系统上的现有漏洞。漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个Rootkit。这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。 找出Rootkit 十分困难。有一些软件包可以检测Rootkit。这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的Rootkit。基于行为的检查程序试图通过查找一些代表Rootkit 主要行为的隐藏元素来找出Rootkit。一个流行的基于行为的Rootkit 检查程序是Rootkit Revealer. 在发现系统中存在Rootkit 之后,能够采取的补救措施也较为有限。由于Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间。而且您也不知道Rootkit 已经对哪些信息造成了损害。对于找出的Rootkit,最好的应对方法便是擦除并重新安装系统。虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除Rootkit 的方法。 防止Rootkit 进入您的系统是能够使用的最佳办法。为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略。
易语言驱动隐藏进程
驱动保护-隐藏进程躲避封号检测 隐藏进程有2种级别: 1.是应用级在R3层,这种级别隐藏进程容易,但也比较容易查出进程。 2.是驱动级在R0层,这种级别是最高级别隐藏,隐藏容易,但查出来比较难,需要一定的内核编程技术才能取出驱动隐藏的进程信息。 那么我们这就来讲讲驱动级隐藏进程吧, 在Game-EC 驱动版本模块中,加入了RO级的隐藏进程命令,由于Game驱动是我在xp SP3和win7 32位系统里写的, 所以支持这2种系统,当然其他版本系统没测试过,也许也支持2000或2003,如果谁有空就在这2个2000或2003系统测试吧, 如果有问题就联系我,修改支持兼容即可,64位系统就不用测试了,因为64位系统上运行驱动,需要微软数字签名认证,需要购买。 所以模块驱动不会支持64位系统使用,切勿在64位系统中使用,以免蓝屏! 很多游戏会检测辅助程序的进程,来判断机器上是否运行着可疑的程序(对游戏有破坏性的), 包括现在有的游戏居然会直接检测易语言进程,禁止运行时候时候运行易语言,这种情况,就是游戏枚举了系统进程, 发现了针对它的程序进程,对此做的各种限制。 所以隐藏进程在反游戏检测中也是很有一席之地的,下面我们来写个小例子,举例下如何运用驱动版本模块中的隐藏进程, 来隐藏我们的辅助进程, 例子的代码:
例子布局: 没有隐藏进程之前,在任务管理器里,我们可以查看到,当前程序进程 如图: 我们开始加载驱动隐藏我们程序进程,特别注意哦,我们的驱动加载时候会释放驱动文件到C盘文件去, 驱动文件名为:Dult.SYS ,如果有杀毒拦截提示,请允许放行加载! 如图:
隐藏我们的进程后,我们在任务管理器里找找,或者自己写一份枚举系统进程的代码,枚举下全部系统进程, 查看下我们是否能枚举出我们隐藏的进程呢,嘿嘿,当然是无法枚举出来, 如图: 我们已经无法在任务管理器里找到我们的进程了,因为我们已经以驱动级把我们的进程信息从系统中抹掉了。 这样任何应用级程序枚举或查找进程,都无法找到我们的程序进程。有一定的效果躲避了一些监测进程的保护!
入侵检测与防御课程习题-201008
同济大学计算机系《入侵检测与防御》课程习题 2010年08月 1.入侵检测的作用体现在哪些方面? 2.简述网络入侵的一般流程。 3.比较端口扫描器与漏洞扫描器的不同之处,并简述漏洞扫描的两种不同扫描策略。 4.拒绝服务攻击是如何实施的? 5.入侵检测系统的工作模式可以分为几个步骤?分别是什么? 6.根据目标系统的类型可以把入侵检测系统分为哪几类?并指出其各类间的区别。 7.根据入侵检测分析方法的不同可以把入侵检测系统分为哪几类?并简述其各自原理。 8.入侵检测的过程包括哪几个阶段? 9.简述系统安全审计记录的优缺点。 10.简述用网络数据包作为数据源的优缺点。 11.数据获取划分为直接监测和间接监测,试比较这两种方法的不同。 12.试举例至少3种典型入侵行为特征及其识别。 13.入侵检测系统的响应可以分为哪几类?并加以描述。 14.联动响应机制的含义是什么? 15.基于安全性检查的IDS结构的基本思想是什么?又有何局限性? 16.简述基于主机的入侵检测技术的优缺点。 17.简述异常检测模型的工作原理。 18.入侵检测框架(CIDF)标准化工作的主要思想是什么? 19.入侵检测工作组(IDWG)的主要工作是什么? 20.评价入侵检测系统性能的3个因素是什么?分别表示什么含义? 21.简述协议分析的原理。 22.简述防火墙的特性及主要功能,并简述防火墙的局限性。 23.Snort的工作模式有几种?分别是什么? 24.你认为Snort的优缺点分别是什么?分别列出三条。 25.在入侵检测系统的构建实验中,试根据以下安全策略定制自己的检测规则: (1)内部网络192.168.1.0/24不允许从外网访问。 (2)内部web服务器192.168.1.0不允许从外网访问。 26.认真阅读以下关于网络病毒与安全扫描技术的说明,回答下列问题。 【说明】“熊猫烧香”病毒是一种感染型病毒,它能感染系统中exe、com、pif、src、html、asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。该病毒的某些变种可以通过局域网进行传播,进而感染局域网内其他存在相应漏洞的计算机系统,导致整个局域网瘫痪。如果发现连接在网络上的计算机遭到该病毒攻击,则应采用相应的策略进行处理。 【问题1】根据“熊猫烧香”的病毒特征可知,它是一个感染型的(1)。 (1)A.木马病毒 B.蠕虫病毒 C.引导区病毒 D.冲击波病毒 【问题2】通常处理“熊猫烧香”病毒时,首先要把入侵的计算机从局域网断开。为什么?【问题3】病毒扫描仅能够检测、标识或清除操作系统中的病毒程序,而安全扫描能够及时发现安全漏洞。扫描器通过选用远程TCP/IP不同端口的服务,并记录目标主机给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(例如,是否能用匿名登录,是否有可写的FTP目录等)。那么,一个扫描器应该具有哪几项基本功能?
解读入侵检测系统与入侵防御系统的区别
解读入侵检测系统与入侵防御系统的区别 作者:独自等待出处:I T专家网2008-08-29 16:32 IPS位于防火墙和网络的设备之间的设备。如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只存在于你的网络之外起到报警的作用。 【IT专家网独家】1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是: 服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。 3. IPS与IDS的区别、选择 IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢? 从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。 从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。 而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。 入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检
入侵检测与防御
入侵检测与防御 1.背景 随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,巳经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统,Intrusion Detection System)能够帮助网络系统快速发现网络攻击的发生。扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。IDS 被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是由于IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。作为一种新的安全理念,IPS(入侵防御系统,Intrusion Prevention System)主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免罴客的攻击。 2入侵检测系统 IDS原理 一个入侵检测系统可以分为四个部分:事件产生器(Event generators)负贲收集网络安全事件;事件分析器(Eventa nalyzer)负责对收集来的数据按照既定的安全策略进行分析,得出结论;响应单元(Response units)按照既定的安全策略,参照分析器得出的事件结论,对网络事件进行处理(通知管理员或操作员);事件数据库(Event databases)负责存储网络事件,便于事后分析,它可以是复杂的数据库,也可以是简单的文本文件。其模型如图所示: 图1.CIDF模型图 CIDF 将入侵检测系统需要分析的数据统称为事件它可以是网络中的数据包也可以是 从系统日志等其它途径得到的信息事件产生器是从整个计算环境中获得事件并向系统的其
Rootkit技术的主要原理
应用级->内核级->硬件级 早期的rootkit主要为应用级rootkit,应用级rootkit主要通过替换login、ps、ls、netstat等系统工具,或修改.rhosts等系统配置文件等实现隐藏及后门;硬件级rootkit主要指bios rootkit,可以在系统加载前获得控制权,通过向磁盘中写入文件,再由引导程序加载该文件重新获得控制权,也可以采用虚拟机技术,使整个操作系统运行在rootkit掌握之中;目前最常见的rootkit是内核级rootkit。 内核级rootkit又可分为lkm rootkit、非lkm rootkit。lkm rootkit主要基于lkm技术,通过系统提供的接口加载到内核空间,成为内核的一部分,进而通过hook系统调用等技术实现隐藏、后门功能。非lkm rootkit主要是指在系统不支持lkm机制时修改内核的一种方法,主要通过/dev/mem、 /dev/kmem设备直接操作内存,从而对内核进行修改。 非lkm rootkit要实现对内核的修改,首先需要获得内核空间的内存,因此需要调用kmalloc分配内存,而kmalloc是内核空间的调用,无法在用户空间直接调用该函数,因此想到了通过int 0x80调用该函数的方法。先选择一个不常见的系统调用号,在sys_call_table中找到该项,通过写/dev/mem 直接将其修改为 kmalloc函数的地址,这样当我们在用户空间调用该系统调用时,就能通过int 0x80进入内核空间,执行kmalloc函数分配内存,并将分配好的内存地址由eax寄存器返回,从而我们得到了一块属于内核地址空间的内存,接着将要 hack的函数写入该内存,并再次修改系统调用表,就能实现hook系统调用的功能。 rootkit的常见功能: 隐藏文件:通过strace ls可以发现ls命令其实是通过sys_getdents64获得文件目录的,因此可以通过修改sys_getdents64系统调用或者更底层的 readdir实现隐藏文件及目录,还有对ext2文件系统直接进行修改的方法,不过实现起来不够方便,也有一些具体的限制。 隐藏进程:隐藏进程的方法和隐藏文件类似,ps命令是通过读取/proc文件系统下的进程目录获得进程信息的,只要能够隐藏/proc文件系统下的进程目录就可以达到隐藏进程的效果,即hook sys_getdents64和readdir等。 隐藏连接:netstat命令是通过读取/proc文件系统下的net/tcp和net/udp文件获得当前连接信息,因此可以通过hook sys_read调用实现隐藏连接,也可以修改tcp4_seq_show和udp4_seq_show等函数实现。 隐藏模块:lsmod命令主要是通过sys_query_module系统调用获得模块信息,可以通过hook sys_query_module系统调用隐藏模块,也可以通过将模块从内核模块链表中摘除从而达到隐藏效果。 嗅探工具:嗅探工具可以通过libpcap库直接访问链路层,截获数据包,也可以通过linux的netfilter 框架在IP层的hook点上截获数据包。嗅探器要获得网络上的其他数据包需要将网卡设置为混杂模式,这是通过ioctl系统调用的SIOCSIFFLAGS命令实现的,查看网卡的当前模式是通过SIOCGIFFLAGS命令,因此可以通过hook sys_ioctl隐藏网卡的混杂模式。 密码记录:密码记录可以通过hook sys_read系统调用实现,比如通过判断当前运行的进程名或者当前终端是否关闭回显,可以获取用户的输入密码。hook sys_read还可以实现login后门等其它功能。 日志擦除:传统的unix日志主要在/var/log/messages,/var/log/lastlog,/var/run/utmp,/var /log/wtmp下,可以通过编写相应的工具对日志文件进行修改,还可以将HISTFILE等环境变设为 /dev/null隐藏用户的一些操作信息。
入侵检测与入侵防御
1.入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是: ·服务器区域的交换机上; ·Internet接入路由器之后的第一台交换机上; ·重点保护网段的局域网交换机上。 2.入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS 的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。 3.IPS与IDS的区别、选择 IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢? 从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。