Bücher von Eugene Chuvyrov

O foco deste estudo foi identificar, analisar, comparar e avaliar a eficácia das metodologias de detecção de rootkit. Especificamente, duas metodologias foram estudadas em profundidade. A primeira é a heurística de analisar estaticamente os binários do módulo de kernel, que tenta determinar se o comportamento de um módulo de software é ou não malicioso, antes de o passar para o sistema operativo. A segunda metodologia analisada neste artigo, a estrutura Strider Ghostbuster, compara o que um sistema informático acredita ser verdade (ou seja, que módulos são visíveis para o SO) com a "verdade" absoluta, que é determinada através da programação de baixo nível do sistema. Os resultados esperados desta comparação devem ser sempre iguais, a menos que seja observada uma adulteração maliciosa do sistema. Após comparar a eficácia das metodologias de detecção num conjunto de rootkits bem conhecidos (e publicamente disponíveis), incluindo um rootkit muito simples construído pelo autor, as metodologias são comparadas e a sua eficácia é avaliada.

L'obiettivo di questo studio era identificare, analizzare, confrontare e valutare l'efficacia delle metodologie di rilevamento dei rootkit. In particolare, sono state studiate a fondo due metodologie. La prima è l'euristica dell'analisi statica dei binari dei moduli del kernel, che cerca di determinare se il comportamento di un modulo software è dannoso o meno, prima di passarlo al sistema operativo. La seconda metodologia analizzata in questo documento, il framework Strider Ghostbuster, confronta ciò che un sistema informatico crede sia vero (cioè quali moduli sono visibili al sistema operativo) con la "verità" assoluta, che viene determinata tramite la programmazione di sistema a basso livello. I risultati attesi di questo confronto dovrebbero essere sempre uguali, a meno che non si osservi una manomissione dolosa del sistema. Dopo aver confrontato l'efficacia delle metodologie di rilevamento su una serie di rootkit noti (e pubblicamente disponibili), tra cui un rootkit molto semplice costruito dall'autore, le metodologie vengono confrontate e la loro efficacia viene valutata.

L'objectif de cette étude était d'identifier, d'analyser, de comparer et d'évaluer l'efficacité des méthodologies de détection des rootkits. Plus précisément, deux méthodologies ont été étudiées en profondeur. La première est l'heuristique d'analyse statique des binaires des modules du noyau, qui tente de déterminer si le comportement d'un module logiciel est malveillant ou non, avant de le transmettre au système d'exploitation. La deuxième méthodologie analysée dans cet article, le cadre Strider Ghostbuster, compare ce qu'un système informatique croit être vrai (c'est-à-dire les modules visibles par le système d'exploitation) à la "vérité" absolue, qui est déterminée par la programmation du système de bas niveau. Les résultats attendus de cette comparaison devraient toujours être égaux, sauf si une altération malveillante du système est observée. Après avoir comparé l'efficacité des méthodologies de détection sur un ensemble de rootkits bien connus (et disponibles publiquement), y compris un rootkit très simple construit par l'auteur, les méthodologies sont comparées et leur efficacité est évaluée.

El objetivo de este estudio era identificar, analizar, comparar y evaluar la eficacia de las metodologías de detección de rootkits. En concreto, se estudiaron en profundidad dos metodologías. La primera es la heurística de analizar estáticamente los binarios de los módulos del kernel, que intenta determinar si el comportamiento de un módulo de software es o no malicioso, antes de pasarlo al sistema operativo. La segunda metodología analizada en este documento, el marco Strider Ghostbuster, compara lo que un sistema informático cree que es cierto (es decir, qué módulos son visibles para el sistema operativo) con la "verdad" absoluta, que se determina mediante la programación de bajo nivel del sistema. Los resultados esperados de esta comparación deberían ser siempre iguales, a menos que se observe una manipulación maliciosa en el sistema. Después de comparar la eficacia de las metodologías de detección en un conjunto de rootkits bien conocidos (y disponibles públicamente), incluyendo un rootkit muy simple construido por el autor, se comparan las metodologías y se evalúa su eficacia.

Der Schwerpunkt dieser Studie lag auf der Identifizierung, Analyse, dem Vergleich und der Bewertung der Effektivität von Rootkit-Erkennungsmethoden. Im Einzelnen wurden zwei Methoden eingehend untersucht. Die erste ist die Heuristik der statischen Analyse von Kernelmodul-Binärdateien, die versucht festzustellen, ob das Verhalten eines Softwaremoduls bösartig ist oder nicht, bevor es an das Betriebssystem weitergegeben wird. Die zweite in dieser Arbeit analysierte Methode, das Strider Ghostbuster-Framework, vergleicht das, was ein Computersystem für wahr hält (d. h. welche Module für das Betriebssystem sichtbar sind), mit der absoluten "Wahrheit", die durch Low-Level-Systemprogrammierung ermittelt wird. Die erwarteten Ergebnisse dieses Vergleichs sollten immer gleich sein, es sei denn, es wird eine böswillige Manipulation des Systems beobachtet. Nach dem Vergleich der Wirksamkeit der Erkennungsmethoden bei einer Reihe bekannter (und öffentlich verfügbarer) Rootkits, einschließlich eines sehr einfachen, vom Autor erstellten Rootkits, werden die Methoden verglichen und ihre Wirksamkeit bewertet.

The focus of this study was to identify, analyze, compare, and evaluate the effectiveness of rootkit detection methodologies. Specifically, two methodologies were studied in depth. The first is the heuristic of statically analyzing kernel module binaries, which attempts to determine whether or not a software module's behavior is malicious, prior to passing it to the operating system. The second methodology analyzed in this paper, the Strider Ghostbuster framework, compares what a computer system believes to be true (i.e., what modules are visible to the OS) to the absolute ¿truth,¿ which is determined via low-level system programming. The expected results of this comparison should always be equal, unless a malicious tampering on the system is observed. After comparing the effectiveness of detection methodologies on a set of well-known (and publicly available) rootkits, including a very simple rootkit built by the author, the methodologies are compared and their effectiveness is evaluated.

Microsoft is injecting new energy into the smart phone marketplace with the sophisticated Windows Phone 7.