From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Mon 23 Sep 2002 - 17:20:13 EEST
On Mon, 2002-09-23 at 13:55, Fatih Ozavci wrote:
> Yapan sisteme gelince; HIDS yapabilir, NIDS boyle bir islem icin uygun
> degildir, ama her HIDS'te bunu yapmamaktadir. Bu is icin memory
> tracking, syscall tracking gereklidir. Modern HIDS'lerin cogu yapiyor
> diye biliyorum, yanlisim oldugunu dusunen varsa duzeltebilir.
>
> Umarim yardimci olabilmisimdir.
(1) Bir kamu ihale sartnamesinde HIDS tanimi ile ilgili maddelerden
birisi oldugunu dusunuyorum. :)
(2) Fatih Bey'in de dedigi gibi Winsock'u bypass ederek ag iletisimi
yapabilen yazilimlari tespit edebilme becerisinden soz ediliyor. Memory
tracking ile nasil yapilabilecegini kestiremiyorum ama syscall tracing
ya da kitaplik cagrilarinin yakalanlamasi (interception) teknikleri ile
yapilabilir.
(3) winsock'u bypass edip bu bicimde network iletisimi yapacak yazilim
muhtemelen administrator priviledge'lari ile calisiyordur. (Bence
Windows baska turlu winsock'suz iletisime izin vermez). Eger admin
yetkileri ile calisiyorsa tespit etmenizi engellemenin baska binbir yolu
olabilir.
(4) (3) nedeniyle istenilen anlamsiz, luzumsuz ve (1) geregi yalnizca
bir firmanin urununu tarif etmek icin yazilmistir.
:-)
sevgiler.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------