 |
关于隐藏文件检测等问题 |
|
|
| 关于隐藏文件检测等问题 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-23 21:39:31 |
|
首先感谢大家的支持,提出了一些有益的建议以及一些问题,下面就这些建议与问题简单说点个人看法:
1、首先说一个技术问题:有朋友认为,基于应用层面的直接硬盘访问文件会比IS的文件功能强。这实际上就是说RootkitRevealer已经采用的方法更强,是有一些道理的,不过就这个问题在设计IS1.06时就仔细考虑过,后来在设计IsHelp是又想把它加入。那么为什么没有加入呢?下面把当时的想法罗列一下:
(1)直接分析分区格式有好处,比较朴素的想法是我不利用系统功能一般的hook无效,你利用了系统功能就给了别人可乘之机,这也是认为这种方法强的朴素的想法;另一方面,因为在本科时写过功能比较单一的数据恢复软件,代码直接拿过来只要简单的修改,编写简单。
(2)那么为什么上面的“优点”被否决了?
先说第一方面,
(a)、应用层访问真的强吗?实际上设计1.06时我的考虑为:hook了硬盘访问的扇区数据,完全可以隐藏足够的数据(事实上对一些软件,我改掉一点数据就无法识别文件(或者以为已删除、或者压根无法罗列)),rootkit对于应用层面的程序动这样的手脚并不难;而直接访问I/O端口的话与硬件有关(并不都是IDE接口),并且阻截ring3 IO并不是难事。
(b)、为IS设计的方案够不够强?我认为更强。目前要对付IS我考虑过几种方案,对于其中较为简单的写好了对策,体现在不同的内部版本里,当出现这样的后门时我就补上(这样做是因为每一种补丁都对系统稳定性有些影响,不是需要时没必要加)。但是当然有一些比较复杂的还没有写:其中就包括直接使得系统FSD获取的数据就是假的这种方案。这种方案可不可行我要验证后再去编写应对的代码,怀疑它的可行性是因为:若使FSD获取的文件信息就有问题,那么要使系统整个机制还正常运作十分困难,比如说,我使系统相信硬盘分区上并没有"ppp.sys"这个文件,修改了对应的结构,系统就有可能把其它数据写入"ppp.sys"所在的扇区,我又可以在写入时动手脚(比如重定向到其他扇区),但又引入了其他问题,此外还有pagefile的问题等等。但是,不是去hook系统FSD而是hook第三方应用程序一切问题就都不复存在了。所以我说IS这样设计我觉得好一些,功能上我比较满意。
再说第二个方面,
我原先写的数据恢复代码ntfs部分直接“借鉴”了开源组织的源码(哈哈),而IS和Ishelp中一些代码目前不想公开(有一小部分是不能公开,原因就不讲了),这就是说我其实还要重新写一个,呵呵,其实这也是IsHelp中没加入的重要原因之一(IS我觉得目前够了,没必要加入,IsHelp可以考虑,给用户多一个选择)。
最后还有一个很重要的原因——文件系统分区格式的变化。以前炒作WinFS时炒的我觉得一般的数据恢复软件末日快到了(试想分区格式之上还得剖析更复杂的结构才能得到文件数据,当然我对WinFS没什么认识,听人炒作而已),虽然WinFS流产,但微软下一版系统格式难免可能向那个方向有所发展,我就更倾向于选择稳定的方案。
上面是我当时的想法,实际上很有可能有考虑不周的地方。如果哪位有不同的看法,并且有很充分的理由,请告诉我。我觉得有充足理由就修改设计,十分感谢。如果很多朋友都觉得直接访问分区结构有必要,我就暂时加在IsHelp2.0里吧(不过原先的代码写和删除ntfs分区文件时是有危险的,还没空去解决,也不敢说一定可以解决,呵呵,毕竟有版本变动)。
2、1.*版是静态查看,所以与动态监控软件比较是比不出什么结果的,不过一些朋友提的一些软件我会去考证它们的功能是否有必要,有空就多加些。谢谢 【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 利用Tripwire检测系统完整性
下一篇文章: 无线入侵检测系统 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
