트로이 감지하려면 어떻게해야합니까


  Share  
|


감지 트로이 목마는 쉽게있는 경우에는 정적 검색 패턴을 검사합니다. 안티 - 바이러스 소프트웨어를 일상적 감지 (일부) 정도가 같은 패턴 - 검색 기법을 사용하여 트로이 목마에 사용되는 바이러스를 감지합니다. 그러나, 신분의 알려진 트로이되지 항상 최선의 방어입니다. 검색의 이전에 알 수없는 트로이 목마는 또한 (개념)를 간단하고 유지 관리가 제공해야 항상 최상의 보안 관행 (문자 그대로 항상 최소한으로 멀리으로 보호되는 시스템이 우려).

대부분의 감지 방법에 대한 전통 다중 시스템을 파생의 원리라고도 개체를 화해. 개체의 화해는 화려한적인 방법의 요구가, "이 일을 계속하려면 왼쪽의 길을 나는 그들 있습니까?" 작동 방법은 다음과 같습니다 : 개체가 시스템 영역과 같은 파일 또는 디렉토리입니다. 화해는 스냅샷을 상대로하는 과정을 비교한 해당 개체의 기록이 동일한 개체를 촬영시 일부 이전 날짜가 보호된 개체에있는 것으로 알려졌다 믿음직 스러움, "깨끗한"상태입니다.

참고 사항

엄격히 말해서, 없다 같은 "깨끗한 상태"시간입니다. 심지어는 "하루가 0"설치의 시스템 소프트웨어 방면 a 버진 제도 정합하는 프로그램 제품군이없는 대체하고 다시 문이있습니다. 무제한의 신뢰를받을 수 장소에서 시스템에 빌드를 전혀하지 않았기 처음부터 자신 있습니까? "아니오 액수의 소스 - 수준을 확인하거나 신뢰할 수없는 코드를 사용으로부터 보호하기 살펴본 것이다"라고 말했습니다 켄 톰슨은 그의 반성을 믿고 신뢰합니다. 이 의미는 우리가이 접근법을 포기한다? 물론 아닙니다 있지만, 우리의 의견을 적극 반영해야하는 부담을 작성하는 경우에도 응용 tion에서 우리가 나이다 소스 코드, 우리를 신뢰하지 못할 수도있습니다 컴파일러 또는 매 발췌 문장의 하드웨어 마이크로에 따라 시스템 마더보드입니다.

더 일반적으로,이 과정을 설명한대로 개체를 화해 통한다 변화 감지, 무결성 검사, 또는 무결성을 관리합니다. 그러나, 이러한 용어는 엄격히 대명사입니다.

변화 감지하기만하면 모든 기법에 대해 설명하는 경고는 사용자가 사실이있는 개체가 변경되었습니다에서 일부를 존중합니다.

무결성 검사는이 같은 핵심 의미하지만, 촬영을 의미하지는 종종 좀 더 정교한 접근 방식을뿐를 감지 변경에도 불구하고 시도를 은폐 것이지만 보장하기는보고 소프트웨어 자체는 아닙니다 subverted.

무결성 관리는 더 일반적인 용어입니다. 뿐만 아니라 그것의 검색의 무단 변경 사항을 포함할 수 있지만, 다른 방법은 시스템 무결성을 유지합니다. 그러한 방법의 일부 또는 모두를 포함할 수있습니다 다음과 같은, 어떠한 특정 순서 :

  • 신뢰할 수있는 백업을 유지
  • 알 수없는 침입 차단시 항목 (예를 들면, 시스템의 파일을 실행하여 시스템의 파일을 읽기 - 전용 미디어 또는 채워 신뢰할 수있는 읽기 - 전용 미디어)
  • 유지 보수의 엄격한 액세스 제어
  • 조심 응용 프로그램의 제조 업체에 패치를 차단하려면 새로 발견된 허점
  • a이를 엔지니어링된 변경 - 관리 시스템을 사용하는 유일한 서명 (신뢰) 코드입니다.

간단한 방법은 테스트 파일 무결성,이 보고서의 변경 사항에 파일 상태 정보를 기반으로합니다. 다른 파일 무결성 검사를 다양합니다 세련. 예를 들어, 미숙 테스트할 수있는 파일의 무결성을 사용하여 다음과 같은 지표 :

  • 날짜를 마지막으로 바뀌었
  • 파일 작성 날짜
  • 파일 크기

죄송 합니다만, 없음는 이러한 3가 지 방법을 구성하는 정말 적절한 방어 반대 이상의 토플러 공격합니다. 파일이 변경될 때마다, 그 값을 변경합니다. 예를 들어,이 파일을 열 때마다, 변경, 저장, 새 마지막 - 수정된 날짜 돌출부입니다. 그러나,이 날짜를 쉽게 조작할 수있습니다. 조작이 파일의 타임 스탬프를 고려합니다. 얼마나 어려운가 무엇입니까? 변경 사항은 시스템 시간, 적용을 원하는 수정, 아카이브에 파일을 다시 - 세트의 시스템 시간입니다. 더 나은 여전히을 얻을 및 저장의 날짜 / 시간 정보를 사용하여 표준 c 라이브러리 함수 (예를 들어), 수정 또는 교체합니다 개체 및 복원하는 파일을 수정 날짜입니다. 단일 - 사용자 시스템 (예 : ms - dos)를 사용하여 최소한의 또는 아니오 액세스 제어를 코딩 개입이 사소한. 이 로터스 아들, 검사 시간은 변동이 신뢰할 수없는 방식으로 탐지를 변경합니다. 또한,이 마지막 날짜가 수정을 보여준다 아무 것도 경우에 파일이 성과 (예를 들어, 만약 그것에 불과했다 복사, 조회, 또는 우편 발송)를합니다. 반면 수정 날짜 사이에 불균형이있는 경우 반환하는 시스템과 날짜가 변동을 기록하는 시스템 모니터링 유틸리티를가 별개의가 능성이 악의적인 행동입니다.

이 파일의 무결성을 확인하는 또 다른 방법은 그 크기를 검사합니다. 그러나,이 값은 매우 쉽게 조작할 수있습니다 다음 중 하나를 trimming 또는 여백에 파일 자체가, 또는 운영 체제에 의해 보고된의 값을을 변경합니다.

지 다른 지표입니다. 예를 들어, 기본적인 검사하는 데 사용할 수있습니다. 그러나, 비록 체크섬이 더 안정적인 것보다 시간과 날짜를 스탬프로, 그들을 변경할 수있습니다, 너무합니다. 경우에 의존하는 기본적인 체크섬 시스템 (또는 사용 변화 감지 소프트웨어, 어떤 의존 단순 checksumming), 귀하의 상태로 유지하는 것이 특히 중요합니다 체크섬 목록에있는 신뢰할 수있는 환경을합니다. 이 수도라는 뜻에서 별도의 서버 또는 심지어는 별도의 매체, 루트 또는 다른 신뢰할 수있는 사용자에 의해서만 이용할 수있습니다. 검사 업무를 효율적으로하고있는 파일을 전송의 무결성을 검사에 대한 적절 예를 들어, 주소가 리키 a을가 리키 b하지만, 높은 보안 응용 프로그램은 적합하지 않습니다. 그들 단순히 경계하도록 설계되지 않은 악의적인 시도를 전복 그들을 돌아 거짓 정보입니다.

집니다 쉽게 subverted 방법에는 계산을 좀 더 정교한 디지털 지문에 대한 다양한 알고리즘을 사용하여 각 파일입니다. 가 족의 알고리즘 멀티 시리즈라고 불리는 이러한 목적을 위해 사용될 수있습니다. 중 하나가 장 인기가 구현은 시스템 호출 md5.

md5

md5가 속한가 족의 한 - 방식으로 해시 함수를 호출 메시지 다이제스트 알고리즘입니다. 가 md5 시스템은이 rfc 1321는 다음과 같이 정의합니다 :

이 알고리즘은 또한 입력하는 메시지는 임의의 길이 및 생산과 출력은 128 - 비트 "지문"이나 "메시지 다이제스트"의 입력합니다. 이 에프론하는 것이 이용한 도감을 생산하는 데 두 개의 메시지가 동일한 메시지 다이제스트, 또는 모든 메시지를 생산하는 데 주어진 방송될 대상 메시지 다이제스트입니다. 가 md5 알고리즘은 디지털 서명 응용 프로그램을위한 것입, 여기서 크기가 큰 파일을해야한다 "압축된"는 안전한 방식으로 암호화된을 받기 전에는 개인 (비밀) 키 아래에 공개 - 키 cryptosystem 같은 rsa입니다.

을 실행하면 파일을 통해 md5를 지문 예방약으로 32 - 문자 값입니다. 그것는 다음과 같습니다 : 

  이 d50b2bffb537cc4e637dd1f07a187f4

많은 사이트가 배포 유닉스 소프트웨어를 사용 md5를 생성하려면 디지털 지문에 대한 자신의 배포판입니다. 자신의 디렉토리를 탐색할 수있습니다 원래의 디지털 지문은 각 파일을 검사합니다. 일반적인 디렉토리 목록과 같이 나타납니다 : 

  md5 (wn - 1.17.8.tar.gz) = 2f52aadd1defeda5bad91da8efc0f980 
  md5 (wn - 1.17.7.tar.gz) = b92916d83f377b143360f068df6d8116 
  md5 (wn - 1.17.6.tar.gz) = 18d02b9f24a49dee239a78ecfaf9c6fa 
  md5 (wn - 1.17.5.tar.gz) = 0cf8f8d0145bb7678abcc518f0cb39e9 
  md5 (wn - 1.17.4.tar.gz) = 4afe7c522ebe0377269da0c7f26ef6b8 
  md5 (wn - 1.17.3.tar.gz) = aaf3c2b1c4eaa3ebb37e8227e3327856 
  md5 (wn - 1.17.2.tar.gz) = 9b29eaa366d4f4dc6de6489e1e844fb9 
  md5 (wn - 1.17.1.tar.gz) = 91759da54792f1cab743a034542107d0 
  md5 (wn - 1.17.0.tar.gz) = 32f6eb7f69b4bdc64a163bf744923b41

이 같은 서버에서 파일을 다운로드하는 경우를 볼 수있는가 디지털 지문을 다운로드한 파일이 서로 다른,이 좋은 기회가 뭔가 안됩니다.

여부와 상관없이 md5, 무결성 관리는 복잡한 과정입니다. 다양한 유틸리티를 돕기 위해 설계되었습니다과 무결성 관리에 대한 복잡하고 분산 시스템입니다. 다음과 같은 유틸리티를 원래 유닉스 - 기반하지만, 문서의 운영 체제와 비슷한 프로그램을 사용할 수있습니다.

인계 철선

인계 철선 (작성된 1992)는 종합적인 파일 무결성 도구입니다. 인계 철선이 잘 설계를 쉽게 이해하며, 쉽게 구현합니다.

원래 값 (디지털 지문)에 대한 파일을 모니터링이 보관된 내에있는 데이터베이스 파일입니다. 해당 데이터베이스 파일이 단순 스키 형식이 접근할 때마다 서명을 요구하거나 확인하여 계산할 수있습니다.

좋습니다 같은 도구를 사용 직후 인계 철선 것이다 산뜻한 (주 제로)를 설치합니다. 이렇게하면 100 % 보증의 파일 시스템 무결성으로 시작 지점 (또는 거의 100 % - 기억 켄 톰슨 문서). 귀하의 전체 데이터베이스에 대한 귀하의 파일 시스템을 생성 할 수있습니다 도입을 다른 사용자 (사람이 귀하의 시스템과 함께 정크되는 즉시 작성, 선택적으로 발생할 수도있습니다 지문과 검증에 대한 후속 검사)를합니다. 다음은 몇가 지의 더 많은 유용한 기능 :

  • 인계 철선 그 작업을 통해 네트워크 연결을 수행할 수있습니다. 따라서, 그것의가 능성을 생성하는 데이터베이스의 디지털 지문에 대한 몇가 전체 네트워크에서 설치 시간입니다.
  • 인계 철선는 작성된 c로 마음을 향해 이동성입니다. 그것은 컴파일에 대한 많은 플랫폼 변경을하지 않고있습니다.
  • 인계 철선과 함께 제공하는 매크로 - 처리 언어, 있도록 자동화된 작업을하실 수있습니다.

인계 철선은 인기가하고 효과적인 도구를하는데 몇가 지 보안 문제를 공통으로 대부분 또는 모두 무결성 관리 도구입니다. 이 같은 문제와 관련하여 데이터베이스에 하나의 값이 생성되고 유지 관리됩니다. 처음부터, 인계 철선의 저자들은 잘 알고는이 :

이 데이터베이스를 사용하여 무단으로 변경되지 않도록 보호의 무결성을 검사해야한다; an 관점을 변경할 수있는 사람이 데이터베이스를 끌어들인다는 전체 무결성을 검사 체계입니다.

보호하는 하나의 방법은이 데이터베이스는 읽기 - 전용 미디어에 대한 정보를 저장합니다. 이렇게하면 모든 확률이 변조합니다. 김 위원장과 대 제안할 수있는 데이터베이스의 보호를이 방식으로, 비록 그들이 좀 존재한다고 지적 일부 실용, 절차적 문제가있습니다. 훨씬 더 달려 데이터베이스를 얼마나 자주 업데이 트됩니다, 그리고 그 크기입니다. 분명히을 구현하는 경우에는 인계 철선 또는 비슷한 유틸리티에있는 넓은 스케일 (그리고 그 장 엄격한 환경 설정을 사용하여), 읽기 - 전용 데이터베이스의 유지 관리의 막강한 수있다. 평소와 같이,이 끊어 아래쪽으로 무역 - 오프 사이의 수준의 위험과 불편을 설정하고 유지 관리 심는다 기본값입니다.

tamu

가 tamu 타이거 스위트룸 (13 텍사스 & 날씨 대학교)는 모음의 도구가 크게 ko hance의 보안과 유닉스 상자가있습니다. 이러한 도구를 만들었에서 - 집,에 대한 응답으로 광대한 공격에서 조율된 그룹의 인터넷 크래커입니다. 이 패키지는 총 업그레이 드와 이름을 바꿀 타라 (타이거 분석 연구 지원자). 그것을 통합하는 여러가 지 스크립트를 사용하여 검사를 유닉스 시스템에 대한 문제가있습니다.

hobgoblin

hobgoblin이 흥미로운 이행의 파일 -과 시스템 - 무결성을 검사합니다. 그것은 모두 언어와 통역사가있습니다. 이 언어를 따르면 저자의 속성에 대해 설명하는 일련의 파일을, 그리고 통역의 설명과 일치하는지 여부를 검사가 실제 파일 및 깃발 모든 예외입니다.

다른 플랫폼

파일 무결성 검사기가 존재에 대한 창을 (사실이있는 이행의 인계 철선에 대한 windows nt). 무결성 검사기는 반드시 명시적으로 설계 및 파일 시스템을 통해 네트워크의 여러 컴퓨터를 검사합니다. 일부 이전 dos와 windows 도구를 사용 단순 crc checksumming으로 색인을 생성하고 따라서보다 전복 될 수있는 도구를 쉽게 채용할 md5 및 관련 알고리즘입니다. 대다수가를 보완하는 바이러스 검색 프로그램으로 사용하기위한 것입니다 (이후 검색 변경 사항을 infectable 개체 수도 나타낼 바이러스 감염). 해당하지 않는다 잠재적인 유용성을 무결성을 무효화하는 수단으로 체커능한 대체의 손상을 감지 시스템 파일에 대한 코드입니다.

그러나, 변화 감지가 덜 편리 windows 플랫폼에서 해당 시스템 파일에 액세스하는 여러 개의 응용 프로그램은 합법적인 설치 및 업그레이 드에 의해 대체합니다. 선명 온기가 종종 다른 플랫폼간에 파일을 소유하고있는 파일을 시스템에 응용 프로그램에 속해있습니다.

또한, 변화 감지에서만 작동 잘 특정 유형의 이진 실행 파일, 심지어의 맥락에서 바이러스를 감지합니다. 대부분의 바이러스 및 트로이 목마를 감염 파일이 누구의 주요 목적은 데이터가 포함됩니다 (스프레드 시트, 워드 - 프로세싱 파일 등)을합니다. 그러나,이 같은 파일은 일반적으로 의도로 수정될면서 많은 다중 사용자 시스템에서 사용되는 로그 파일의 악의적인 행동을 추적할 수있습니다. 확실하게, 변화 감지를 기반으로 추정되는 파일이 남아 고정되지 않은 이동하여 해당 인스턴스에서 작동합니다. 경우에 따라, 그것의가 능성을 지정하려면 변경 사항을 위반하는 것을 의미 (을 추가 매크로의 코드가있는 단어 파일, 예를 들어)입니다. 이 접근법을 필요로하는 검사 소프트웨어 "알고있다"internals의 파일에 대한 자세한 내용은 아니라는 디지털 지문입니다. 지극히 심각한 행정 어려움이 될 수 있으므로 잘 선호 현재 접근 방법이없습니다.

가 장 안전한 국방하지만,이를 차단하기 위해 시스템 파일의 무단 변경을 사전에 의해 코드 서명, 읽기 - 전용 미디어 및 기타 사전 - 선제 조치를합니다.

이것은 문서가 추가 마르셀 볼드윈

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions