超级会员免费看
扫描蠕虫取证分析框架与软件漏洞披露市场方法比较
在当今数字化时代,计算机安全面临着诸多挑战,扫描蠕虫和软件漏洞是其中两个关键问题。下面将为大家详细介绍扫描蠕虫的取证分析框架以及软件漏洞披露的市场方法。
扫描蠕虫的取证分析
在处理扫描蠕虫的相关痕迹时,会遇到一些棘手的问题。以机智蠕虫(Witty worm)为例,在分析其痕迹时,会出现数秒甚至超过一分钟的扫描数据丢失情况。在这段时间内,蠕虫可能会多次使用 GetTickCount 返回的值重新设置其线性同余伪随机数生成器(LCPRNG)的种子。要恢复这段时间内未被记录或未被网络望远镜接收到的扫描数据,只能通过暴力破解的方法。不过,一旦中断期结束,就可以继续恢复后续的种子,并重新创建完整的扫描列表。
与 Slammer 蠕虫的分析不同,Slammer 蠕虫不会重新设置其 LCPRNG 的种子,即使丢失数秒或数分钟的扫描数据,也可以使用相关方法重新创建后续的扫描列表,对扫描数据丢失的敏感度较低。而机智蠕虫的分析中,每一次扫描都同等重要。
为了对扫描蠕虫进行取证分析,提出了一个框架。该框架主要聚焦于构建通用的感染树,并从穿越任何 /8 网络望远镜的扫描中收集受感染终端系统的信息,例如物理驱动器的数量、自感染开始后的毫秒数等。实际上,通过对蠕虫的逆向工程代码进行分析,就可以了解到关于受感染系统的相关信息。
不过,这种方法并非适用于所有类型的扫描蠕虫。例如,MSBlaster 蠕虫会连续扫描线性 IP 地址,若没有广泛分布的分布式监控系统,就无法按照本文所述的方法进行分析。这也凸显了分布式监控系统(如不同 /8 网络上的多个 /16 网络望远镜)的必要性。此外,攻击者可能会
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
