Jump to content

HoneyMonkey

    Add links

    HoneyMonkey , сокращение от Strider HoneyMonkey Exploit Detection System , представляет собой Microsoft Research приманку . Реализация использует сеть компьютеров для сканирования Всемирной паутины в поисках веб- сайтов , которые используют эксплойты браузера для установки вредоносного ПО на компьютер HoneyMonkey. Перед сканированием сайта записывается снимок памяти, исполняемых файлов и реестра компьютера-приманки. После посещения сайта фиксируется состояние памяти, исполняемых файлов и реестра и сравнивается с предыдущим снимком. Изменения анализируются, чтобы определить, установило ли посещенный сайт какое-либо вредоносное ПО на клиентский компьютер-приманку. [1] [2]

    HoneyMonkey основан на концепции ловушки, с той разницей, что она активно ищет веб-сайты, которые пытаются ее использовать. Этот термин был придуман Microsoft Research в 2005 году. С помощью Honeymonkeys можно найти открытые дыры в безопасности , которые еще не известны публично, но используются злоумышленниками.

    Технология

    [ редактировать ]

    Один HoneyMonkey — это автоматизированная программа, которая пытается имитировать действия пользователя, просматривающего Интернет. Ряд HoneyMonkeys запускается на виртуальных машинах под управлением Windows XP с различными уровнями исправлений — некоторые полностью исправлены, некоторые полностью уязвимы, а другие находятся между этими двумя крайностями. Программа HoneyMonkey записывает каждое чтение или запись файловой системы и реестра, тем самым ведя журнал того, какие данные были собраны веб-сайтом и какое программное обеспечение было установлено на нем. Как только программа покидает сайт, этот журнал анализируется, чтобы определить, не было ли загружено какое-либо вредоносное ПО. В таких случаях журнал действий отправляется для дальнейшего ручного анализа во внешнюю программу-контроллер, которая регистрирует данные эксплойта и перезапускает виртуальную машину, чтобы она могла сканировать другие сайты, начиная с заведомо незараженного состояния.

    Запуск сканирования

    [ редактировать ]

    Среди более чем 10 миллиардов веб-страниц есть много законных сайтов, которые не используют уязвимости браузера, и начинать сканирование с большинства этих сайтов было бы пустой тратой ресурсов. Поэтому вручную был создан первоначальный список, в котором перечислены сайты, которые, как известно, используют уязвимости браузера для компрометации посещающих систем вредоносным ПО. Затем система HoneyMonkey следует по ссылкам с сайтов эксплойтов, поскольку они с большей вероятностью ведут на другие сайты эксплойтов. Система HoneyMonkey также записывает, сколько ссылок указывает на сайт эксплойта, тем самым давая статистические данные о том, насколько легко добраться до сайта эксплойта.

    Обнаружение эксплойтов

    [ редактировать ]

    HoneyMonkey использует систему «черного ящика» для обнаружения эксплойтов, т. е. не использует сигнатуры браузерных эксплойтов для обнаружения эксплойтов. Программа Monkey, отдельный экземпляр проекта HoneyMonkey, запускает Internet Explorer для посещения сайта. Он также записывает все операции чтения или записи реестра и файлов. Обезьянка не разрешает всплывающие окна и не разрешает установку программного обеспечения. Поэтому любое чтение или запись, происходящие из временной папки Internet Explorer, должны осуществляться с использованием эксплойтов браузера. Затем они анализируются программами обнаружения вредоносных программ, а затем анализируются вручную. Затем обезьянья программа перезапускает виртуальную машину, чтобы просканировать другой сайт в новом состоянии.

    См. также

    [ редактировать ]

    Ссылки

    [ редактировать ]
    1. ^ Нарейн, Райан (19 мая 2005 г.). «Strider HoneyMonkey: поиск эксплойтов для Windows» . электронная неделя .
    2. ^ Лемос, Роберт (9 августа 2005 г.). «Мухи роятся вокруг MS Honeymonkey. Проект обнаруживает вредоносный код» . Регистр Великобритании .
    [ редактировать ]
    Retrieved from "https://en.wikipedia.org/w/index.php?title=HoneyMonkey&oldid=1194440846"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 9a09de8fad0cbe681e664995a208b2b2__1704751260
    URL1:https://arc.ask3.ru/arc/aa/9a/b2/9a09de8fad0cbe681e664995a208b2b2.html
    Заголовок, (Title) документа по адресу, URL1:
    HoneyMonkey - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)