كيف يمكنني كشف أ طروادة


  Share  
|


اكتشاف trojans امرا سهلا ، واذا كان لديك جامدا نمط البحث الى مسح ل. المضاد للفيروسات بشكل روتيني يكتشف (بعض) trojans بكثير باستخدام نفس نمط البحث عن التقنيات المستخدمة للكشف عن الفيروسات. ومع ذلك ، وتحديد معروف طروادة ليست دائما افضل دفاع. اكتشاف لم تكن معروفة سابقا trojans هو ايضا (المفاهيميه) بسيطة ، وقدمت لديك دائما افضل الممارسات الامنية (حرفيا دائما ، على الأقل بقدر ما يتعلق بحمايه النظام هو المعنية).

معظم اساليب الكشف عن النظم التقليديه متعدد المستخدمين ، تنبع من مبدأ يسمى احيانا موضوع المصالحة. موضوع المصالحة هو السبيل الهوى من السؤال ، "هى امور لا تزال مجرد طريقة تركت لهم؟" إليك كيف تعمل : ان الاجسام نظام المناطق ، مثل الملفات أو الدلائل. المصالحة هي عملية المقارنة بين تلك الأجسام ضد لقطة من المحضر نفسه في بعض الأشياء التي اتخذت في تاريخ سابق عندما المحمي من المعروف أن في مؤتمن ، "نظيفة" للدولة.

ملاحظه

توخينا الدقه ، لا يوجد مثل هذه "الدولة النظيفه" الوقت. حتى آ "اليوم صفر" تركيب البرمجيات على نظام عذراء نظام يفترض وجود برنامج جناح مع اي بدائل والمنافذ الخلفية. هل يمكن الثقة في مكان غير محدود نظام كنت لا نبني من الصفر تماما نفسك؟ "لا يمكن لأي قدر من مصدر المستوى التحقق او التدقيق سوف حمايتكم من استخدام غير موثوق فيه المدونه ،" يقول كين تومسون في أفكاره بشأن يثق ثقة. هل يعني ذلك اننا يجب ان نتخلى عن هذا النهج؟ بالطبع لا ، ولكن ينبغي أن نضع في اعتبارنا انه حتى اذا كان لنا ان نبني مستجابه نشوئها من التدقيق في الشفره المصدريه ، ونحن قد لا تكون قادرة على ثقة المجمع أو كل قصاصة من اجهزة microcode على نظام لوحة الذاكرة.

الأمر الأكثر شيوعا ، في عملية وصفت بأنها موضوع المصالحة كما هو معروف لكشف التغيرات ، والتحقق من سلامتها ، او ادارة النزاهه. بيد ان هذه العبارات ليست مترادفه تماما.

اكتشاف تغيرات ببساطة يصف اي تقنيه ان ينبه المستخدم إلى أن الجسم قد تغير في بعض الاحترام.

وقد فحص سلامة الاساسي نفسه معنى ، ولكن كثيرا ما ينطوي على اتخاذها لتحقيق مزيد من الدقه في النهج ، ليس فقط لاكتشاف التغيير على الرغم من محاولات لاخفاء عليه ، ولكن لضمان ان التقارير البرمجيات نفسها ليست تخريب.

ادارة النزاهه هو مصطلح أكثر عموميه. ويمكن ان تشمل ليس فقط الكشف عن التغيرات غير مأذون بها ، ولكن غيرها من أساليب المحافظة على سلامة النظام. هذه الاساليب يمكن ان تشمل بعض أو كل ما يلي ، في اي ترتيب معين :

  • الحفاظ على ثقة المساعدون
  • وقف التدخلات غير معروف في دخول (على سبيل المثال ، عن طريق تشغيل نظام ملفات للقراءة فقط من وسائل الاعلام او بتحديث نظام الملفات من ثقته في وسائل الإعلام للقراءة فقط)
  • صيانة صارمه لمراقبة الدخول
  • تطبيق دقيق للالصانع الى كتلة رقع الثغرات المكتشفة حديثا
  • أ هندسيا بشكل رفيع تغيير نظام الادارة ، باستخدام فقط توقيع (يثق) المدونه.

بسيطة طريقة الاختبار ملف النزاهه ، فهي تستند الى تقارير من التغييرات في ملف معلومات الدولة. ملف مختلف التجارب النزاهه تختلف في التطور. على سبيل المثال ، يمكنك اختبار فجه الملف نزاهه باستخدام اي من الفهارس التالية :

  • تاريخ آخر تعديل
  • الملف تاريخ الانشاء
  • حجم الملف

وللأسف ، فإن ايا من هذه الطرق الثلاث تشكل حقا كافية ضد الدفاع اكثر من الهجوم اغلظ. في كل مرة تغير الملف ، وقيمها والتغيير. على سبيل المثال ، في كل مرة فتح ملف تغيير ، وانقاذها ، وهي جديدة الماضي - تعديل التاريخ يظهر. ومع ذلك ، وهذا التاريخ لا يمكن التلاعب بها بسهولة. النظر في معالجة هذا الملف ختم الوقت. ومن الصعب هو كيف؟ تغيير نظام الوقت ، ان تطبق بعض التعديلات المنشوده ، ارشيف الملف ، وإعادة تحديد نظام الوقت. والافضل من ذلك ، وأحصل على انقاذ التاريخ / المعلومات باستخدام معيار ج مهام المكتبه (على سبيل المثال) ، تعدل او تحل محل الجسم ، واستعادة ملف تعديل التاريخ. على أحد مستخدمي النظام (مثل مايكروسوفت دوس) او مع اي الوصول الى الحد الادنى من الضوابط ، والترميز الذي ينطوي عليه ذلك تافها. Rea لهذا الابن ، والتحقق من الوقت للتعديل لا يعول عليه هو وسيلة للكشف التغيير. أيضا ، وآخر موعد للتعديل تكشف شيئا اذا كان الملف بدون تعديل (على سبيل المثال ، إذا كان فقط نسخت ، وينظر اليها ، او بالبريد الالكتروني). ومن ناحية أخرى ، اذا كان ثمة تفاوت بين تعديل التاريخ عاد بها نظام وتاريخ تعديل سجلت عن طريق نظام الرصد فائدة ، وهناك امكانيه واضحة للاجراءات كيديه.

وهناك طريقة اخرى للتأكد من سلامة الملف هو عن طريق دراسة حجمه. ولكن هذه القيمه لا يمكن التلاعب بها بسهولة بالغة ، اما التشذيب أو البطانه الملف نفسه ، أو عن طريق تغيير قيمة المبلغ عنها من قبل نظام التشغيل.

وهناك غيرها من الارقام القياسيه. على سبيل المثال ، checksums الاساسية يمكن استخدامها. ولكن ، على الرغم من checksums يعتمد عليها اكثر من مرة وتاريخ الختم ، فانها يمكن تغييره ايضا. اذا كنت تعتمد على سلعة اساسية اختباري نظام (او تغيير استخدام البرمجيات الكشف ، الذي يعتمد على checksumming بسيطة) ، ومن المهم بصفة خاصة ان لك ابق اختباري في قائمة موثوق به للبيئة. وهذا قد يعني منفصلة عن الخادم او حتى منفصلة المتوسطة ، ويمكن الوصول اليها الا عن طريق جذور أو غيرها عن ثقته المستخدمين. Checksums العمل بكفاءه ومناسب لفحص سلامة نقل الملف ، على سبيل المثال ، من نقطة الف الى نقطة باء ، ولكن ليست مناسبة للتطبيقات عالية الأمن. انها ببساطة ليست مصممة لحرس كيديه ضد محاولة لتخريب لهم بالعوده معلومات كاذبة.

أقل بسهولة ينطوي على حساب تخريب تقنيه اكثر تطورا البصمه الرقميه لكل ملف باستخدام خوارزميات مختلفة. عائلة مكونة من الخوارزميات يسمى دكتور سلسلة يمكن استخدامها لهذا الغرض. واحد من اكثر التطبيقات شعبية تتمثل في نظام يسمى md5.

Md5

Md5 ينتمي الى أسرة مكونة من اتجاه واحد دوال البعثره دعا خلاصة الرسالة الخوارزميات. Md5 فإن النظام هو معرف في المضيقين 1321 على النحو التالي :

فان خوارزميه يأخذ كمدخل رسالة من طول التعسفي وتنتج حسب الناتج أ 128 بت "بصمة" او "خلاصة رسالة" من المدخلات. ومن محدوس انه غير قابل للتطبيق بشكل حسابي لانتاج رسالتين لها نفس خلاصة الرسالة ، او لانتاج اي رسالة لها هدف معين prespecified خلاصة الرسالة. فإن المقصود md5 خوارزميه التوقيع الرقمي للتطبيقات ، حيث كبيرا الملف يجب ان يكون "المضغوطه" في مكان آمن قبل ان يجري بطريقة مشفره مع القطاع الخاص (السري) الرئيسية في اطار شراكة عامة - مفتاح الترميز مثل وكالة الفضاء الروسيه.

عندما قمت بتشغيل الملف عن طريق md5 ، وبصمات الاصابع وتبرز باعتبارها 32 - قيمة الطابع. يبدو أن هذا : 

  2 d50b2bffb537cc4e637dd1f07a187f4

كثير من المواقع التي توزع يونيكس البرمجيات استخدام md5 لتوليد البصمات الرقميه لتوزيعات. كما لكم تصفح على الادله ، يمكنك أن تبحث الاصلي البصمه الرقميه من كل ملف. دليل نموذجي قائمة قد تبدو هذه : 

  Md5 (ن - 1.17.8.tar.gz) = 2f52aadd1defeda5bad91da8efc0f980 
  Md5 (ن - 1.17.7.tar.gz) = b92916d83f377b143360f068df6d8116 
  Md5 (ن - 1.17.6.tar.gz) = 18d02b9f24a49dee239a78ecfaf9c6fa 
  Md5 (ن - 1.17.5.tar.gz) = 0cf8f8d0145bb7678abcc518f0cb39e9 
  Md5 (ن - 1.17.4.tar.gz) = 4afe7c522ebe0377269da0c7f26ef6b8 
  Md5 (ن - 1.17.3.tar.gz) = aaf3c2b1c4eaa3ebb37e8227e3327856 
  Md5 (ن - 1.17.2.tar.gz) = 9b29eaa366d4f4dc6de6489e1e844fb9 
  Md5 (ن - 1.17.1.tar.gz) = 91759da54792f1cab743a034542107d0 
  Md5 (ن - 1.17.0.tar.gz) = 32f6eb7f69b4bdc64a163bf744923b41

اذا كنت تحميل ملف من هذه الخدمة ونجد ان البصمات الرقميه لتنزيل الملف هو مختلف ، وهناك فرصة جيدة ان هناك شيئا خاطئا.

مع او بدون md5 ، ادارة النزاهه هي عملية معقدة. مختلف المرافق قد صممت للمساعدة على ادارة النزاهه المعقده والانظمه الموزعه. التالية المرافق كانت في الاصل قائم على نظام يونيكس ، ولكن تتوافر برامج مماثلة لنظم تشغيل مايكروسوفت.

سلك

سلك (المكتوبة في 1992) هي اداة شاملة ملف النزاهه. سلك هو مصممة بشكل جيد ، ويسهل فهمه ، وسهل التنفيذ.

القيم الاصليه (البصمات الرقميه) للملفات التي سيتم رصدها وتحفظ داخل قاعدة بيانات ملف. ان ملف قاعدة البيانات في شكل اسكي بسيط هو الوصول كلما التوقيع يحتاج الى ان تحسب او التحقق منها.

ومن الناحية المثاليه ، أداة مثل سلك سيتم استخدامها على الفور بعد الطازجه (يوم الصفر) التركيب. وهذا يمنحك 100 ٪ للتأكد من سلامة نظام ملفات كنقطه بداية (أو ما يقرب من 100 ٪ - ان نتذكر كين تومسون المادة). وبمجرد قيامك توليد قاعدة بيانات كاملة لملف النظام الخاص بك ، يمكنك ادخال غيرهم من المستخدمين (الذين سوف فورا ملء جهازك مع ان الزباله ، اختياريا ، كما يمكن التحقق منها وبصم باصبعه على الشيكات اللاحقه). وها هي بعض من اكثر السمات المفيدة :

  • سلك يمكن من اداء مهمتها على اكثر من وصلات شبكيه. ولذلك ، فمن الممكن ان يولد لقاعدة بيانات البصمات الرقميه لبعض الشبكات في تركيب كامل الوقت.
  • سلك هو مكتوب في ج مع العقل تجاه النقل. انها ستجمع لكثير من المنابر دون تغيير.
  • وياتى التفجير مع الكليه تجهيز اللغة ، بحيث يمكن مهامكم الآلي.

سلك هو شعبي وأداة فعالة ، ولكن هناك بعض القضايا الامنية المشتركة بين معظم او جميع ادوات ادارة النزاهه. إحدى هذه القضايا تتعلق قاعدة البيانات هي من القيم التي ولدت والمحافظة عليها. منذ البداية ، سلك مؤلفي كانت تدرك جيدا هذا :

قاعدة البيانات التي تستخدمها نزاهه المدقق ينبغي حمايتها من دون اذن تعديلات ؛ وهو الدخيل الذي يمكن ان يغير قواعد البيانات يمكن ان تخرب كامل النزاهه فحص مخطط.

طريقة واحدة لحمايه قاعدة البيانات على أنها مستودع للقراءة فقط على وسائل الاعلام. هذا يزيل اي احتمال العبث. كيم وسبافورد توحي ان تكون قاعدة البيانات محميه على هذا النحو ، على الرغم من انهم يشيرون الى ان هذا يمكن ان يقدم من خلاله بعض العملي ، مشاكل اجراءيه. الكثير يتوقف على كيفية غالبا ما سيتم تحديث قاعدة البيانات ، وحجمه. بالتأكيد ، اذا كنت تنفيذ التفجير مماثلة او فائدة على نطاق واسع (وباستخدام اكثر صرامه اعدادات) ، والمحافظة على وجود قاعدة بيانات للقراءة فقط يمكن ان تكون هاءله. وكالعاده ، وهذا ينهار الى المفاضله بين مستوى الخطر والازعاج والمحافظة على وضع المذعور الافتراضيات.

تامو

فان تامو النمر جناح (من ولاية تكساس ا & م الجامعة) ، مجموعة من الادوات التي كثيرا en hance امن أ يونيكس المربع. وقد انشئت هذه الادوات في الداخل ، واستجابة لهجوم مكثف من مجموعة منسقة من الانترنت المفرقعات. الطرد وجرى تحديث واعادة تسميتها تارا (النمر البحوث التحليليه مساعد). وهو يتضمن عددا من الكتابات المستخدمة لمسح أنظمة يونيكس للمشاكل.

عفريت

العفريت مثير للاهتمام بتنفيذ الملف - وفحص منظومة النزاهه. ومن كل لغة ومترجم. لغة ، وفقا لمؤلفين ، ويصف خواص مجموعة من الملفات ، والمترجم الفحص ما اذا كان وصف المباريات الفعليه الملفات ، واعلاما اي استثناءات.

على منابر أخرى

ملف النزاهه المدققون المتبعه لنوافذ ، (في الواقع ان ثمة لتنفيذ التفجير ويندوز NT). المدققون النزاهه ليست بالضروره صراحة تهدف الى التحقق من آلات متعددة وأكثر من ملف نظم الشبكات. بعض كبار السن من دوس ويندوز باستخدام ادوات بسيطة checksumming اتفاقيه حقوق الطفل باعتبارها مؤشرا ولذا قد يكون من الاسهل لتخريب من الأدوات التي تستخدم md5 والخوارزميات ذات الصلة. غالبية يعتزم استخدامها بمثابة تكملة لهذا الفيروس ماسحات ضوءيه (منذ اكتشاف التغيرات الى infectable الجسم قد تبين الاصابة بالفيروس). هذا لا تبطل الفاءده المحتملة للسلامة المدققون كوسيله لاكتشاف بدائل ممكنة للشبهة مدونة لنظام الملفات.

ومع ذلك ، كشف تغير هو اقل مريحه على منصات ويندوز ان نظام الملفات في الوصول الى التطبيقات المتعددة ويمكن الاستعاضه عنها المشروعة المنشآت والترقيات. وكثيرا ما يكون هناك تحديد ادق على منابر أخرى بين المنتمين الى ملفات النظام والملفات التي تنتمي الى اي طلب.

وعلاوة على ذلك ، كشف تغير فقط تعمل بشكل جيد مع انواع معينة من برامج ثنائية التركيب ، حتى في سياق اكتشاف الفيروسات. والعديد من الفيروسات التي تصيب trojans الملفات التي كان الغرض الرئيسي منها هو احتواء البيانات (الجداول البيانيه ، ومعالجة النصوص الملفات ، وهلم جرا). ومع ذلك ، وعادة ما تكون هذه الملفات المنوي تعديلها ، كما هي سجل ملفات كثيرة متعدد المستخدمين على استخدام نظم لتتبع الاجراءات الممكنة الخبيثه. ومن الواضح ان اكتشاف تغيرات تستند الى افتراض ان ملفات تظل جامدة لا الذهاب إلى العمل في هذه الحالات. وفي بعض الحالات ، فمن الممكن أن تحدد التغييرات التي قد تدل على انتهاك (اضافة الى الكليه مدونة كلمة الملف ، على سبيل المثال). ويتطلب هذا النهج ان التفتيش البرمجيات "يعرف" المزيد عن الداخلية للمن الملف ، بدلا من مجرد دورته البصمه الرقميه. وهذا يستلزم خطيرة الصعوبات الاداريه ، وبالتالي فإن نهج فضلت شيء ليس على ما يرام في الوقت الراهن.

اامن الدفاع ، وان كان ، هو عرقلة اي تعديل غير مرخص به من نظام الملفات بشكل استباقي من قبل التوقيع على قانون ، للقراءة فقط وسائل الاعلام ، وغيرها من تدابير وقائية.

هذا هو مقال اضافها مارسيل بولدوين

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions