Как обнаружить Троян

Share

|

Обнаружение Троянс легко, если у вас поиск статической модели для сканирования. Антивирусное программное обеспечение обычно обнаруживает (некоторые) Троянс использованием так же схеме - поиск методов обнаружения вирусов. Однако, определение известного троянского не всегда лучшая защита. Обнаружение ранее неизвестных Троянс также (концептуально) простым, если вы всегда считали наилучшей практике обеспечения безопасности (буквально всегда, по крайней мере, защищенной системы обеспокоен).

Большинство методов обнаружения на традиционные multiuser систем вытекают из принципа иногда называют объект примирения. Объект примирения - это диковинка способ запросом "Есть вещи совсем так, как я оставил их"? Вот как это работает: объектами являются системы областях, таких как файлы или каталоги. Примирение - это процесс сопоставления этих объектов в отношении снимок запись того же объектов, принятых на некоторые предыдущие даты, когда охраняемого объекта Известно, что в доверительной, "чистое" состояние.

Примечание

Строго говоря, нет такого "чистого государства" времени. Даже "день ноль" установки системного программного обеспечения на девственницей системы предполагает набор программ, не замен и задних дверей. Можете ли вы место неограниченного доверия к системе вы не строить абсолютно с нуля сами? "Нет размер источника уровня контроля или проверки будет защищать вас от использования ненадежного кода", - говорит Кен Томпсон в своем Размышления о доверительное траст ". Означает ли это, мы должны отказаться от этого подхода? Конечно, нет, но мы должны помнить, что, даже если мы построить применении ния из тщательно исходный код, мы, возможно, не смогут доверять компилятор или каждый фрагмент аппаратного microcode о системе платах.

Более широко этот процесс как объект примирения известен как обнаружения изменений, проверки целостности или целостности управления. Однако эти условия не являются строго синонимами.

Выявление изменений просто описание какой-либо технологии, которая предупреждает пользователей на тот факт, что объект был изменен в некоторых связи.

Целостность проверки имеет такое же основное значение, но часто подразумевает более дифференцированный подход, не только для обнаружения изменений, несмотря на попытки скрыть это, но чтобы отчетного программное обеспечение само по себе не сорвано.

Целостность управления является более общим термином. Она может включать в себя не только обнаружение несанкционированных изменений, но и другие методы поддержания целостности системы. Такие методы могут включать некоторые или все из следующих в произвольном порядке:

• Сохранение резервных копий доверять
• Блокировка неизвестных вторжения на въезд (например, запуск файлов из системы только для чтения средств массовой информации или обновления системы файлов с доверять только для чтения средств массовой информации)
• Ведение строгого контроля доступа
• Тщательное применение производителя заплатки блокировать недавно обнаружили лазейки
• А мелко инженерии с изменением системы управления, используя только подписали (доверенная) код.

Простой метод проверки целостности файла, на основе докладов об изменениях в файл состояния информации. Различные целостности файлов тесты различаются по сложности. Например, вы можете crudely проверить целостность файла, используя любой из следующих индексов:

• Дата последнего изменения
• Дата создания файла
• Размер файла

К сожалению, ни одна из этих трех методов является действительно адекватной защиты от более crudest нападения. Каждый раз, когда файл изменился, его ценности перемен. Например, каждый раз, когда файл открыт, изменения, и спасти, новые даты последнего изменения возникает. Однако эта дата может быть легко манипулировать. Рассмотрим этот файл манипулирования времени. Насколько трудно это? Изменения в системе, применять желаемые изменения, архивировать файл, и снова установить системное время. Более того, чтобы и сохранить дату / время информацию, используя стандартные функции библиотеки C (например), изменить или заменить объект, и восстановить файл, дата внесения изменений. От одного пользователя системы (например, MS-DOS) с минимальным или нулевым контроля доступа, кодирование представляет собой тривиальный. Для этой реальных сын, проверка времени модификации является ненадежным средством для обнаружения изменений. Кроме того, дата последней модификации показывает ничего, если файл без изменений (например, если он только копировать, рассматривать, или по почте). С другой стороны, если есть несоответствие между Изменение даты возвращается системы и даты изменения зарегистрированы система контроля целесообразности, существует большая возможность злоумышленных действий.

Другой способ проверить целостность файла, рассматривая его размер. Однако, эта величина может быть очень легко манипулировать, либо путем обрезки или обивка файл сам, или посредством изменения стоимости сообщили операционной системы.

Есть другие индексы. Например, основные контрольные могут быть использованы. Однако, хотя контрольные более надежны, чем дата и время печати, они могут быть изменены, слишком. Если опираться на основные контрольные системы (или использовать обнаружения изменения программного обеспечения, которая основывается на простых checksumming), что особенно важно, что вы держать свою контрольную список в доверенной среде. Это может означать, на отдельном сервере или даже отдельные средства массовой информации, доступной только коренные или других надежных пользователей. Контрольные работы, эффективно и надлежащим образом для проверки целостности файла передаваться, например, из пункта А в пункт Б, но не подходят для высокого уровня безопасности приложений. Они просто не предназначены для защиты от злонамеренного попытка подорвать их возвращения ложной информации.

В меньшей степени подрывает метод расчета предполагает более сложных цифровых отпечатков пальцев для каждого файла с использованием различных алгоритмов. Семья из алгоритмов называется серии MD могут быть использованы для этой цели. Один из наиболее популярных реализаций - это система называется MD5.

MD5

MD5 принадлежит семье один конец функции хеширования называемых алгоритмами дайджеста сообщения. В MD5 системы определяется в RFC 1321 следующие:

Алгоритм принимает в качестве вклада сообщение произвольной длины и создает в качестве вывода 128 - несколько "пальцев" или "резюме сообщения" из входных. Это conjectured что вычислительной невозможно подготовить два сообщения одного и того же резюме сообщения, или производить любые сообщения, с учетом prespecified целевых резюме сообщения. В MD5 алгоритм предназначен для цифровой подписи приложений, где очень большой файл должен быть "сжатый" в защищенной среде перед шифрованием с закрытым (тайным) ключ под открытым ключом криптосистеме таких, как ЮАР.

При запуске файла с помощью MD5, этот идентификатор становится 32 - характер ценности. Он выглядит так:

  2 d50b2bffb537cc4e637dd1f07a187f4 

Многие сайты, распространять программное обеспечение UNIX использовать MD5 для получения цифровых отпечатков пальцев для их распределения. Как вы просмотрите их каталоги, можно рассмотреть оригинальный цифровой отпечаток каждого файла. Типичный каталог реклама может выглядеть так:

  MD5 (wn - 1.17.8.tar.gz) = 2f52aadd1defeda5bad91da8efc0f980 

  MD5 (wn - 1.17.7.tar.gz) = b92916d83f377b143360f068df6d8116 

  MD5 (wn - 1.17.6.tar.gz) = 18d02b9f24a49dee239a78ecfaf9c6fa 

  MD5 (wn - 1.17.5.tar.gz) = 0cf8f8d0145bb7678abcc518f0cb39e9 

  MD5 (wn - 1.17.4.tar.gz) = 4afe7c522ebe0377269da0c7f26ef6b8 

  MD5 (wn - 1.17.3.tar.gz) = aaf3c2b1c4eaa3ebb37e8227e3327856 

  MD5 (wn - 1.17.2.tar.gz) = 9b29eaa366d4f4dc6de6489e1e844fb9 

  MD5 (wn - 1.17.1.tar.gz) = 91759da54792f1cab743a034542107d0 

  MD5 (wn - 1.17.0.tar.gz) = 32f6eb7f69b4bdc64a163bf744923b41 

Если вы скачиваете файл с таким сервером и видим, что цифровой отпечаток из загруженного файла - разные, есть хорошие шансы, что что-то amiss.

С или без MD5, целостность управления - это сложный процесс. Различные утилиты были разработаны в целях оказания помощи в целостности управления на сложных и распределенных систем. Следующие утилиты изначально UNIX основе, но аналогичные программы для операционных систем Microsoft.

Tripwire

Tripwire (написана в 1992 году) представляет собой всеобъемлющий файл целостности инструмента. Tripwire хорошо спроектированы, легко понять и легко реализованы.

Первоначально значения (цифровые отпечатки пальцев) для файлов, которые будут контролироваться хранятся в базе данных файл. Это файл базы данных в формате ASCII простой доступ когда подпись должна быть рассчитана и проверена.

В идеале, такой инструмент как Tripwire будет использоваться сразу после нового (день ноль) установки. Это дает 100% гарантию целостности файловой системы как отправную точку (или почти 100% - помню Кен Томпсон статьи). После создания полной базы данных для вашей файловой системы, вы можете ввести других пользователей (которые будут немедленно заполнить вашу систему с нежелательной, что, по желанию, могут быть также снятия отпечатков пальцев и проверяться на последующих проверок). Вот некоторые из его наиболее полезных функций:

• Tripwire может выполнять свою задачу в сети. Таким образом, можно создать базу данных цифровых отпечатков пальцев для некоторых сетей на всей установки времени.
• Tripwire была написана на С с виду к портативности. Она будет собирать для многих платформ без изменения.
• Tripwire поставляется с макро- обработки языка, так что ваши задачи могут быть автоматизированы.

Tripwire является популярным и эффективным инструментом, но есть некоторые вопросы безопасности, общие для большинства или всех целостности средств управления. Один из таких вопросов связан с базой данных ценностей, что создается и поддерживается. С самого начала Tripwire Авторы хорошо понимают это:

Эта база данных используется целостности проверки должны быть защищены от несанкционированного изменения; Нарушителя по закону, которые могут изменять базу данных может сорвать весь проверки целостности системы.

Один из методов защиты данных для хранения его только для чтения средств массовой информации. Это устраняет любую вероятность фальсификации. Ким и Спаффорд предположить, что базы данных будут защищены таким образом, хотя они указывают, что это может представлять некоторые практические процедурные проблемы. Многое зависит от того, как часто базы данных будут обновляться, и его размер. Конечно, если вы осуществления Tripwire или аналогичную утилиту в широких масштабах (и, используя свои наиболее жесткие настройки), поддержание только для чтения данных может быть огромной. Как обычно, это срывается на компромисс между уровнем риска и неудобства установления и поддержания паранойей по умолчанию.

TAMU

В TAMU Tiger люкс (из Texas A и М Университет) - это набор инструментов, которые значительно en hance безопасности в UNIX поле. Эти инструменты были созданы в дом, в ответ на нападение с обширной скоординированной группы Интернет крекеры. Этот пакет был преобразован и переименован ТАРА (Tiger аналитических исследований помощник). Она включает ряд сценариев, используемых для сканирования систем UNIX проблем.

Hobgoblin

Hobgoblin является интересным осуществления файлов и системы проверки целостности. Именно так на языке и переводчика. Формулировка, по мнению авторов, описывает свойства набор файлов и переводчик проверяет ли описание соответствует фактическим файлы, флаги и каких-либо исключений.

На других платформах

Файл целостности шашки существуют для Windows, (в действительности есть реализация Tripwire для Windows NT). Целостность шашки не обязательно, специально разработанных для проверки несколько машин и файловых систем по сетям. Некоторые старые DOS и Windows средства использовать простые КПР checksumming качестве индекса и, следовательно, может быть легче, чем сорвать инструменты, которые используют MD5 и соответствующих алгоритмов. Большинство из них предназначено для использования в качестве дополнения к вирусным сканеров (с обнаружению изменения в infectable объекта можно указать вирусной инфекции). Это не лишало потенциальную полезность целостности шашки как средство обнаружения возможных замен на компьютере код системных файлов.

Однако обнаружения изменения менее удобно на платформах Windows в том, что системные файлы доступны несколько приложений можно заменить законные установки и обновления. Существует зачастую более точное разграничение на других платформах между файлами, принадлежащих к системе и файлы, которые относятся к применению.

Кроме того, обнаружения изменения хорошо работает только с определенными типами бинарных исполняемых файлов, даже в контексте обнаружение вирусов. Многие вирусы и заражает файлы Троянс основная цель которых заключается в том, чтобы содержать данные (таблицы, обработки текстов файлы, и т.д.). Однако такие файлы, как правило, чтобы быть изменены, а также файлов, используемых на многих multiuser систем можно отслеживать вредоносные действия. Очевидно, обнаружения изменений основан на презумпции того, что файлы останутся статичными не собирается работать в этих случаях. В некоторых случаях можно указать изменения, которые могут означать нарушение (включение макро кода в файл Word, например). Этот подход требует, чтобы инспектирующее программного обеспечения "знать" больше о внутренностях файла, а не только его цифровой отпечаток. Это повлечет за собой серьезные административные трудности, так что подход не вполне отдавал в настоящее время.

В безопасных обороны, хотя, чтобы заблокировать несанкционированной модификации системных файлов заранее кодом подписание только для чтения средств массовой информации и другие упреждающие меры.