- This topic has 516 hozzászólás, 29 résztvevő, and was last updated 20 years, 7 months telt el by
.
-
Bejegyzés
-
PcZolee:
„Szal, ha jól vettem ki a szavaidból, akkor a PaX tiltotta le a kommunikációt, ami felülbírálható úgy, ahogy leírtad!
Az, hogy milyen programot enged futtatni, is milyet nem, mitõl függ? Ezt csak azért kérdem, mert tudni szeretném, hogy ha újra beleforgatom a kernelbe, mire számíthatok, remélem nem kell minden proginak külön engedélyt adnom, hogy futhasson !”
_minden_ programnak nem, mert akkor mar az initializalas sem tortent volna meg;alapvetoen mas szemlelethez kell hozzaszokni, mint a win alatt: ott vannak ugye virusirtok, amik 3 lenyeges modsuerrel mukodnek: fingerprint, hiearhikus elemzes, szakertoi rendszerek;
a fingerprint annyit tesz, hogy a virusirto olyan bitesorozatokat keres, ami egyertelmuen utal az adott virus allomanybeli jelenletere, elonye, hogy konnyu egy-egy virust igy felismerni; hatranya, hogy ma egy ilyen adatbazis mar ~75ezer elembol all, ami nem segiti a sebesseget, meg a polimorf virusok ellen nem mindig sikeres (amik vagy 10 eve leteznek, pld onehalf …)
a hiearhikus elemzes annyit tesz, hogy olyan utasitas sorozatokat keres a binarisban, amik nem jellemzoek egy nem-virusra (user utan kemkedes, net kapcsolat exotikus portokon, stb), ezeket kiertekeli es eldonti, hogy virus-e; elonye, hogy az elzonel jelentosen kevesebb hatteradatbazisbol dolgozik es az addig nem azonositott virusokat is nagy valoszinuseggel felismeri; hatranya, hogy nem egyszeru egy nagy hatekonysagu elemzot irni;
a szakertoi rendszerek keszitenek a binaris kore egy kis virtualis gepet, aminek kulonbozo tulajdonsagait valtoztatva elemzik a binaris mukodeset virusgyanus-e, pld vegigtesztelik rengeteg datummal / idoponttal, nyitot portot / mas program jelenletet / virtualis konyvtarrendszert/ stb szimulalnak neki; elonye, hogy ez a leghatekonyabb modszer (a virusok legnagyobb resze vmilyen kivalto okra valt, hogy mukodesbe lepjen); hatranya, hogy rendkivul idoigenyes minden binarisra vegigfuttatni;a kereskedelni forgalomban kaphato termekek az elso ketto kombinaciojat hasznaljak, az utolsot a viruskergeto cegek a gyanus allomanyok tesztelesere;
DE ezekben min az a kozos vonas, hogy egy mar _elkezdodott_ fertozest tudnak megallitani;
post
ellenben a grsecurityhez hasonlo megoldasok epp azt elozik meg, hogy barmilyen karositas _elkezdodhessen_ a rendszeren;
remelem nem gond (elozo postban mar kiirtam a mai 1000 karktert ;-), ha most „atadom a szot” spenglernek, aki reszletesen el fogja magyarzni ennek mibenletet:
http://www.grsecurity.net/grsecurity-slide…files/frame.htm
http://grsecurity.net/PaX-presentation_files/frame.htmaz alapkerdesre nem valaszoltam:
csak azoknal a binrisoknal kell felubiralni a paxot, amik nem szabalyszeruen mukodnek, olyan memoriterulethez akarnak hozzaferni, amihe nem lennenek jogosultak, pld amikor az mplayer a binaris win codeceket akarja hasznalni a dekodolashoz, akkor a pax „szerint” egy masik programkodot akar futtatni, ami utalhat egy exploit mukodesere („elrejtozik” egy normalis program muge);szoval a felkonfig „pax felülbírálása:” reszeben osszegyujtottem egy kis listat,
Hi xcut!
kernel-headers (remélem így hívják nálad) csomag fenn van?
ööö… passz…
amikor az UHU-t telepítettem, akkor az összes csomagot felraktam… vagy nem lehet, h a 2-es CD-n van (azt nem kérte…)?
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz