最近开始研究蜜罐系统,决定对近期研究的东西做一个简短的总结,首先说的是蜜罐的日志记录部分,因为这部分功能已经完成,日志部分主要是为了记录恶意代码在主机上的详细操作,但是随着入侵水平的不断提高,入侵者除了入侵之后删除在主机上的日志之外,还会采取加密的方式与被入侵主机进行通信,这就给仅仅日志监控造成了一定的麻烦。
对于入侵者删除日志,可以采用远程日志的方式,就是将监控到的信息,实时发送到另一台主机上,可以采用发送数据包或者写数据库,对于机密方式,则只能在内核对其进行监控了,因为在应用层所记录到的信息是无法查看的,但是在内核层转化为对底层的操作则是可以记录下来的,也就是说加密的命令或信息在应用层被控制程序解密后会执行并调用底层函数执行(想必学过操作系统的人都知道,就不在解释了),这样就可以在内核对进程、远程线程、驱动加载、注册表、文件变动、网络连接等恶意代码常做操作的六个方面进行监控,其中进程、远程线程、驱动加载、文件变动部分可以采用通常所说的Hook技术直接监控内核API函数即可,文件变动和网络连接可以采用过滤技术对其进行过滤,记住,所有在应用层对设备的操作都会被IO管理器转化为IRP(IO数据请求包)发送给硬件设备,因为应用层是无法直接操控硬件设备的,这样通过创建一个设备挂载到目标硬件设备上对IRP进行过滤后在发送给目标设备就ok了。好了,日志原理部分简单介绍到这。