https://opennet.me/openforum/vsluhforumID3/43783.html Анонсирован (http://www.sciencedaily.com/releases/2008/09/080909111037.htm) интересный исследовательский проект Korset (http://www.korset.org/), в рамках которого создается система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий.<br><br><br>Korset состоит из двух базовых модулей:<br><br><br><br>- Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.<br>- Агент, работающий на уровне ядра и проверяющий следование заданным правилам.<br><br><br><br><br><br>Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph - CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полно...<br><br>URL: http://www.sci https://opennet.me/openforum/vsluhforumID3/43783.html#70 Thu, 11 Sep 2008 22:27:47 GMT демократия... мать ея... <br>:-D<br> https://opennet.me/openforum/vsluhforumID3/43783.html#69 Thu, 11 Sep 2008 21:16:28 GMT Ну в принципе можно всем ;)<br> https://opennet.me/openforum/vsluhforumID3/43783.html#68 Thu, 11 Sep 2008 10:10:26 GMT можно конечно и исправить,... но она не станет от этого более авторитетной...<br>зы:<br>проект википедии мне нравиться, и получить начальные сведения, ссылки можно... но нужно всегда помнить, что там ляпов предостаточно.<br> https://opennet.me/openforum/vsluhforumID3/43783.html#67 Thu, 11 Sep 2008 09:40:50 GMT &gt;3)Перестать считать Википедию авторитетным источником достоверной информации. До тех пор. пока туда <br>&gt;может запостить кто угодно что угодно она таковой не будет. <br><br>Да нет, может просто вам нужно исправить эту статью, если вы действительно так много знаете? <br> https://opennet.me/openforum/vsluhforumID3/43783.html#66 Thu, 11 Sep 2008 09:30:39 GMT &gt;&gt;А что ты понимаешь под AI в данном случае? Читать умеешь? НАБОР <br>&gt;&gt;ПРАВИЛ. IPW тоже, по-твоему, искуственный интеллект? <br>&gt;<br>&gt;экпертная система это тоже набор правил+машина вывода <br><br>Думаю, в контексте правил, ИИ можно назвать систему, которая может эти правила изменять.<br> https://opennet.me/openforum/vsluhforumID3/43783.html#65 Thu, 11 Sep 2008 09:20:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Где, где массовые эпидемии убунт? <br>&gt;&gt;Где многотысячные спамботы на сусероутерах? <br>&gt;&gt;Работающие кроссплатформенные трояны? <br>&gt;&gt;Покажите мне их. <br>&gt;<br>&gt;ТагдЫ нафиК эти системы "превентивного блокирования вредоносных программ в Li..." <br>&gt;А?????? <br>&gt;<br>&gt;Вопрос то по сути... а не ради злорадства... <br><br>Ответ по сути: <br>Данный софт, по сути дела, позволяет анализировать _аномальную активность приложений_. Что весьма полезно с точки зрения анализа безопасности, будет тебе известно.<br>Можно, например, отловить дыру в CMS сайта.<br>Или попытку вторжения тем или иным образом.<br><br>Совет по сути: <br>1)Прикратить ПисАтЬ вОт в ТакОм ВоТ СтиЛе. Глупо выглядит.<br>2)Научиться ВНИМАТЕЛЬНО читать новость, которую комментируешь и понмать прочитанное.<br>3)Перестать считать Википедию авторитетным источником достоверной информации. До тех пор. пока туда может запостить кто угодно что угодно она таковой не будет. <br>4)Немножко самообразваться в плане ИТ вообще и информационной безопасности в частности. Если в м https://opennet.me/openforum/vsluhforumID3/43783.html#64 Thu, 11 Sep 2008 09:18:35 GMT &gt;А что ты понимаешь под AI в данном случае? Читать умеешь? НАБОР <br>&gt;ПРАВИЛ. IPW тоже, по-твоему, искуственный интеллект? <br><br>экпертная система это тоже набор правил+машина вывода<br> https://opennet.me/openforum/vsluhforumID3/43783.html#63 Thu, 11 Sep 2008 09:12:05 GMT ИМНО, этот метод всё-таки грабель. Ивристика современных антивирусов аналогичного действия (уж не знаю, строят там графы процесса исполнения или нет - не суть), цель - определить по ряду критериев искомый алгоритм участков кода. Прекрасно знаем как это работает, особенно если уровень эвристики поднять на максимум. Уровень сложности анилизирующей системы будет расти с количеством методов вторжения/диструкции. А последние в свою очередь будут расти количественно как от изменений в аппаратной части, так и в программной. Последнее наиболее актуально, т.к. кроме ядра в системе огромная толпа софта делающих безабидную работу - отдачу данных через сокеты или пайпы.<br>Например, я пишу шейдер для видюхи, который получает данные с драйвера видюхи и отдаёт обратно по блочно в мамяти. Пишу фильтр пострендеринга и представляюсь например "вещалкой радио по сети". Пока ничего не ворую, и не разрушаю, пока "просто" использую вычислительные ресурсы аппаратуры для своих целей (например часть распределённых вычислений, по взлому https://opennet.me/openforum/vsluhforumID3/43783.html#62 Thu, 11 Sep 2008 08:55:50 GMT тебе можна, а мне нет? :-)<br>