最近对这套软体蛮有兴趣的 它的相关功能和性能我已略有所知(不过都是官方说法啦~~~) 不知这里有哪些好汉曾使用过或钻研过它?? 对它的评价如何?? 比方说: 它的侦测能力是否真如ISS所自称和参加过的那些测试出炉的结果那样好?? (特别是对於加在攻击手法上的那些欺骗和绕过技术) --->比方说像是S-ploy这个shellcode encoder所采用的类似技术.... 它的自我防护能力是否足够抵挡(比方说面对早年的stick, snot, tfn2k...)等工具所 利用的(类似)技术,或是同样是早年ZoneAlarm (Pro)的那个利用已植入系统的恶意程式 呼叫CreateMutex API来阻止ZoneAlarm (Pro)正常运行这一类的的攻击? 我还听说它有一项功能:它能利用MD5演算法为一些重要档案(比如exe. com. dll....) 建立一个基准,并监控它们的修改.执行.连线动作(和我用过的Tripwire蛮像的...) ,只是它是否也和Tripwire一样有个问题: ---->若建立基准时某档案已有问题(後门程式),那该档案的"後门动作"是否也会被误认 为正常?? -->在Tripwire上根据经验似乎是会的,反正它也不管正常反常,全靠你自己 -_-" 而且官方文件说:不管是否由合法程式发出的连线,都会经过侦测来决定是否放行 -->若是该程式根本不发出连线,而是在本机上乱搞(比如该"通过基准"的恶意程式呼叫 format.exe.......),那又如何?? 以上是我的一些疑问,说真的我对於windows体系(PE档格式,widechar格式,DLL,WIN32 API, SEH)与内部(OS kernel,Registry)运作实在是个大外行....,很多东西都是随便看来的片面 东西和硬把UNIX上的东西搬到windows上来看,所以若有任何荒谬错误的地方还请大家多多 包含指点 ^^" -- * Post by EIPhunter from 218-165-87-79.dynamic.hinet.net * Origin: ★ 交通大学资讯科学系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>