درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
محمد نصیری
امتیاز: 613541
رتبه:1
376
1852
842
11333
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

ویدیوهای پیشنهادی

آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
مدرس: Nima karimi
5,000 تومان
آشنایی با ابزار های DrifNet و Urlsnarf در حمله Arpspoofing , MITM
آشنایی با ابزار های DrifNet و Urlsnarf در حمله Arpspoofing , MITM
مدرس: Nima karimi
7,000 تومان
توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
مدرس: Nima karimi
7,000 تومان
شناسایی آسیب پذیری در هدر مربوط به Web Server
شناسایی آسیب پذیری در هدر مربوط به Web Server
مدرس: Nima karimi
6,000 تومان
اجرای حمله Man In The Middle  به صورت اتوماتیک با استفاده جدیدترین ابزار با نام Bettercap
اجرای حمله Man In The Middle به صورت اتوماتیک با استفاده جدیدترین ابزار با نام Bettercap
مدرس: Nima karimi
6,000 تومان
آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
مدرس: Nima karimi
7,000 تومان
شناسایی آسیب پذیری ها وب و تنطیمات نادرست در فایل php.ini در وب سرور Apache
شناسایی آسیب پذیری ها وب و تنطیمات نادرست در فایل php.ini در وب سرور Apache
مدرس: Nima karimi
8,000 تومان
ترفند اجرای برنامه هایی که نیاز به دسترسی admin دارند ، روی کاربران با دسترسی محدود
ترفند اجرای برنامه هایی که نیاز به دسترسی admin دارند ، روی کاربران با دسترسی محدود
مدرس: mirsamadzadeh
10,989 تومان
مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
مدرس: امیرحسین کریم پور
11,000 تومان
آموزش کرک کردن پسوردهای ویندوز
آموزش کرک کردن پسوردهای ویندوز
مدرس: UNITY
16,500 تومان

روش های مختلف شناسایی Rootkit ها

تاریخ 10 ماه قبل
نظرات 0
بازدیدها 207
با سلام به همه کاربران عزیز وب سایت توسینسو ، تا اینجای کار در جزیره امنیت توسینسو به موارد زیادی در خصوص Rootkit ها و نحوه عملکرد آنها و همچنین انواع آنها پرداختیم اما شما در نهایت اینجا هستید که بدانید چگونه می توانید این نوع بدافزارها را شناسایی کنید و اقدامات متقابل در خصوص آنها انجام بدهید . در این خصوص هرگز فراموش نکنید که بهترین راهکار شناسایی و جلوگیری از Rootkit شدن تنها پیشگیری از ورود آن است اما به هر حال برای دوستانی که می خواهند علمی با بحث شناسایی این بدافزارها آشنا شوند باید بگوییم که تکنیک های شناسایی Rootkit ها به پنج دسته تقسیم می شوند که به ترتیب روش شناسایی مبتنی بر Signature ، روش شناسایی اکتشافی یا heuristic ، روش شناسایی بر مبنای Integrity یا تمامیت ، روش شناسایی Cross-View و در نهایت روش شناسایی Runtime Execution Path Profiling می باشد که در این مقاله بصورت مفصل در خصوص آنها صحبت خواهیم کرد .

شناسایی Rootkit ها با استفاده از Signature


هر وقت صحبت از Signature یا امضاء یا اثر شد به یاد آنتی ویروس بیوفتید ، یک پایگاه داده وجود دارد که ساختار کلی فایل هایی که به ویروس آلوده شده اند را درون خودشان نگهداری می کنند و فایلهای سیستمی برای بررسی آلوده شدن با این الگوها یا Signature ها مقایسه می شوند و اگر Signature یا ساختار فایل مشابه چیزی که در نرم افزار آنتی ویروس بود ، بنابراین فایل شما آلوده شده است . طبیعی است که این روش صرفا زمانی قابل استفاده است که بخواهیم Rootkit های شناخته شده را در سیستم شناسایی کنیم و برای شناسایی Rootkit های جدید کاربردی ندارد زیرا Signature ای از آنها وجود ندارد. در این روش از در اصطلاح Rootkit Fingerprints یا اثرات Rootkit بر روی فایل های سیستمی فرآیند شناسایی انجام می شود . مجموعه ای از بایت های پشت سر هم یا Sequenced Bytes در یک فایل آلوده یا سالم با مجموعه ای از Sequenced Bytes هایی که در Signature نرم افزار ضد Rootkit وجود دارد مقایسه می شود و در صورت تشابه ، آلوده بودن فایل تایید می شود. قطعا با توجه به ماهیت کاری Rootkit ها این روش بر روی فایل های سیستمی انجام می شود . Rootkit های معمولی براحتی با اسکن شدن قسمت Kernel Memory سیستم شناسایی می شوند ، معمولا ابزارهای ضد Rootkit امروزی بیشتر از این روش برای شناسایی استفاده می کنند و معمولا Rootkit های Well-known یا شناخته شده شانس زیادی برای ادامه فعالیت بعد از این نوع شناسایی را ندارند.

شناسایی Rootkit ها بصورت اکتشافی یا Heuristic


هر وقت صحبت از واژه هایی مثل Heuristic یا Behavioral به معنی اکتشافی و رفتارشناسی در بحث بدافزارها شد ، همیشه به یاد داشته باشید که در این نوع روش شناسایی ابتدا فعالیت ها و روال های عادی سیستم بررسی می شود و یک قالب کلی از رفتار فایل های سیستم تهیه می شود . در صورتیکه تغییر رفتار عجیب و غریب در سیستم مشاهده شود این یعنی مشکلی وجود دارد و ابزار شروع به بررسی دلیل تغییرات می کند. این روش یکی از موثرترین روش های شناسایی بدافزارها و البته بصورت ویژه Rootkit هایی است که جدید هستند و هنوز شناسایی نشده اند ، یکی از مواردیکه در این تکنیک بررسی می شود بررسی ایجاد شدن Hook در Kernel یا User Mode سیستم عامل است و به محض اینکه در این روش ایجاد شدن این موارد تشخیص داده شود می تواند ادامه فعالیت Rootkit را مختل کند.

شناسایی Rootkit ها با بررسی تمامیت یا Integrity


سیستم تشخیص Rootkit بر اساس بررسی تمامیت یا Integrity قویترین سیستم شناسایی Rootkit هاست که البته بهتر است از آن به عنوان یک سیستم پیشگیری صحبت کنیم تا یک سیستم شناسایی ، در این مکانیزم قبل از اینکه سیستمی آلوده به Rootkit شود از نرم افزارهایی به نام SIV که مخفف Signature Integrity Verifier استفاده می کنیم ، این نرم افزار بعد از نصب شدن از کلیه فایل های حساس سیستم درگیر با فایل سیستم ، رکوردهای بوت سیستم ، و حافظه یک Snapshot یا بهتر بگوییم یک Hash دریافت می کند و در پایگاه داده ای قرار می دهد ، در صورت آلودگی سیستم به Rootkit امکان مقایسه کردن فایل های جدید با Hash های قدیمی که توسط SIV گرفته شده اند وجود دارد و بر همین اساس دقیقا فایلی که به Rootkit آلوده شده باشد از این طریق قابل شناسایی است . قبلا در توسینسو در خصوص SIV و مکانیزم کاری آن صحبت کرده ایم و نرم افزارهایی را در این خصوص به دوستان معرفی کرده ایم.

شناسایی Rootkit ها به روش Cross-View-Based


مکانیزم کاری در تکنیک شناسایی روتکیت Cross-View به این شکل است که ابتدا نرم افزار مورد نظر درخواست های خودش به فایل های سیستمی و هسته سیستم عامل را به یک سری از API های معمول سیستم ارسال می کند و درخواست های بازگشتی که توسط مکانیزم Hooking روتکیت دستکاری و به API برای نمایش به کاربر ارسال شده اند را در خودش ثبت می کند . طبیعتا ساختار بازگشت نتیجه در این تکنیک نگهداری می شود و سپس با استفاده از الگوریتم های خاصی مستقیما به محلی که درخواست توسط API به آنجا ارسال شده است داده می شود و مجددا نتیجه بازگشتی ثبت می شود ، اگر نتیجه دو خروجی یکسان نباشند یعنی در این میان درخواست توسط Hooking ای که توسط Rootkit انجام شده است تغییر یافته است و بنابراین سیستم آلوده است . این درخواست ها ضمن اینکه با استفاده از API ها و DLL های سیستمی قابل ارسال و دریافت هستند از طریق کلیدهای رجیستری هم تقریبا با همین شکل انجام می شود.

شناسایی Rootkit ها به روش Runtime Execution Path Profiling


Runtime به معنی لحظه اجرا ، Execution به معنی اجرا ، Path به معنی مسیر و Profile به معنی مشخصات است و در کل در این روش در لحظه اجرا شدن کلیه فرآیندها و فایل های سیستمی کلیه مشخصات مسیر و نحوه اجرای آن ثبت و ضبط می شوند و به محض اینکه Rootkit در قسمتی از مسیر بخواهد تغییراتی بر روی فرآیند یا فایل اعمال کند با مقایسه ابتدای مسیر اجرایی و مشخصاتی که ثبت شده است امکان جلوگیری از فعالیت آن وجود خواهد داشت ضمن اینکه Rootkit نیز شناسایی می شود . در واقع به زبان ساده تعداد دستورات اجرایی که به فایل یا به فرآیند سیستمی ارجاع می شود در این روش ثبت و ضبط می شوند و در نهایت می توان با مقایسه کردن اضافه و کم شدن این دستورات Rootkit را شناسایی کرد.

نویسنده : محمد نصیری
منبع : جزیره امنیت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید