# 碩論 (2021/7/9) 口試 yen ###### tags: `碩論地獄` 明彥講超快投影片延遲超久 他說他花很多時間看論文，是不是慘了 翁麗娟？？？ 12分40秒進實驗 20分結論，biu車車 22分40秒結束 這沒差吧＝＝鈔 真的飆很快 闢拉我覺得很慢 快到我根本聽不清楚 ## yen ###### 吳 ###### 高 做這些syscall call 是沒有執行的 我是建議拉 在future work加一下第二階段的檢查機制 ## gu ###### 吳 vmi的方式不像agent，是放在原本機器裡面，但會犧牲效能，會繞過偵測機制，有沒有可能vmi相關function被hook掉，那還不是一樣嗎？要交代清楚一點 你用的benchmark沒有很多，可能是找不到，但看不出來是不是有誤判的機會？有沒有可能有其他rookit有其他behavior，但你偵測不到？ 如果要往撒更大，你的benchmark要找多一些 用圖呈現效果，比較能看出來效果（實驗9） 論文最後一夜，透過vmi撈資訊，跟trust view比對，那你的ai有沒有什麼想法，可以套用在裡面 對系統攻擊應該不止隱藏，如果可以用蒐集到的資訓，未來可以用ai的方式偵測出有害的行為。 ###### 高 做得相當不錯 27頁，三個system call是最重點，短時間處理到偵測這件事 在初始的時候，抓到。但是不是有可能在一開始的時候沒有隱藏，等到後面才做隱藏，這樣會不會被繞過 會執行，但會不會執行時沒有隱藏，會不會做完了才隱藏，等你event出的時候，比較是看不出來的，會不會看不出來，這樣就繞過去你的機制了 我是建議，可以加在未來工作，第二階段的檢查機制，例如運行過程會使用的函示，後面才用到隱藏，有個第二階段的檢查機制 29頁 中間的state是在connect才有，但不是所有rookit都會有這個state，所以不一定是TCP_LISTEN。建議多加一個tcp+&*^(*&)的說明 66頁 一個成功的expotention通常不會memory corruption， 沒寫好的才會發生。 偵測完之後後續怎麼處理，例如防毒軟體可以將檔案做隔離，除了移除process，是不是可以處理相關檔案，做整體的檢查。 ## yin ###### 吳 * 你用是VMI的方式其實會犧牲效能問題，那我還是覺得又沒有可能性vmi會用到相關function被hook?掉 * 所以你可能要交代一下 * 你用的benchmark沒有很多，但是我看不出來有沒有誤判的機會，有沒有這個可能性？有沒有其他rookit有不同behavior，讓你偵測不到 * 你這個可以擴衝更大的話，在benchmark要多找一點 * 那張表用圖或百分比來呈現效果 * 論文最後一頁，你有沒有什麼想法，用AI方式做的話，有沒有什麼想法？ * 其實對系統攻擊不只隱藏process行為，如果可以蒐集到資訊，可以用AI的方式偵測出更多有害行為 ###### 高 * 27page, 在做system call時還沒隱藏，之後才去做動作，會不會被繞過？ * 會執行，但是還沒有將自己做隱藏，之後到了某個階段才對自己做隱藏，因為你的檢測機制是在一開始，所以會發生被繞過的情形 * 建議在未來工作可以加第二階段檢查 * p29, 不是所有的tookit都會做listen的事情 * 建議多家tcp state * p66, 一般來說RCE打成功不會出現memory corruption * 建議：偵測完後的後續處理，一般來說是做相關檔案隔離，可以在未來工作加上這一點，避免再次去運作 * 這份研究做的相當不錯