En SecurityFocus se ha publicado la segunda parte de los artículos dedicados a la detección de honeypots. En este artículo se centra en la detección de Sebek el software de Honeynet Project para la construcción de honeypots, el uso del comportamiento de ciertas instrucciones de x86 (por ejemplo SGDT,SIDT o SLDT, instrucciones acceden a registros claves de del microprocesador para obtener donde se encuentran situadas ciertas tablas pero que no son privilegiadas, ver este artículo) y el uso de contadores de ticks (por ejemplo lo que en x86 devuelve la instrucción rdtsc), para ver cuanto sería el tiempo mínimo de ejecución en una máquina sin el honeypot y otra corriendo el honeypot o una máquina virtual como VMWARE o VirtualPC.
No hay comentarios:
Publicar un comentario