# 碩論 (2021/7/6) 口試 yen ###### tags: `碩論地獄` ## 英文不知道意思即時翻譯區 ## Yen #### 曾 #### 謝 ## Yin #### 曾# 碩論 (2021/7/6) 口試 ep1 ###### tags: `碩論地獄` ## Gu * 曾 * 簡寫用很多，前面摘要沒有出現，簡寫要寫在摘要 * 機制提到說要先trust再造一個untrust，之後再檢查裡面spec，在偵測是否隱藏，這個情況跟ids偵測病毒原理幾乎一樣，假設近來一個隱藏程市，先進來，開始做一些動作，你的機制並不是馬上偵測出來，他不先連線，先變成一個不執行的process，那在list中看不出來。（先不執行，藏起來，之後才做 * 兩個以上的位址，兩個vm(?)近來，互相合作的話會如何？另一個機器趁機近來對外做聯絡，把pwd洩漏怎麼處理 * 你靠得是vmi提供的lib跟func，init不外乎＾＊＄＊＆＾ * 受到汙染的程式怎麼處理（典型的病毒程式，附著在一些城市中，等到一段時間開執行） * 執行到不正常的部分，會偵測不到他的開始點，因為不知道他哪裡開始動作，隱藏技術更高階，那你的vmi技術要先有一個trust，再有一個list。執行時間變長，很明顯你的偵測不是靠執行時間，所以沒辦法知道他的時間。 * 有些狀況hidden的情況是不伊樣的，你有沒有考慮 * 你的論文中沒有探討這種躲藏方式不一樣的case * 謝 * 明諺很辛苦，系統摸得很熟 * 你這個方法基本上適用vmi，那vmi是跑在host machine? * 有一些動作會被vmm攔截或觀察，你的假設條件是說一個os被感染，他的program size或signature或behavier會被你抓到，你抓到的機制是什麼。前面要說明病毒的行為有什麼影響，有些攔截機器適用signaturec或beha * 什麼時候會經過vmi * 城市被啟動時某些時刻會register，所以你才能攔截到。正常動作是什麼，不正常是什麼 * 做的很辛苦，但是沒有讓人家了解你的關鍵技術跟原理是什麼 * 比較好奇的是一班process是os掌控，guest才知道os狀態，那hypervisor是管vm，怎麼抓到process * 那這樣要比每一個指令？監測每個指另，不然怎麼知道什麼，這樣overhaed那麼大，滿奇怪的你overhead那麼小，不是應該要很大嗎 * 你的頻寬指的是哪裡，並沒有出去實體機器，在guest跟host之間，論文要寫清楚，不能只講頻寬多少，這個參數為什麼有意義，要有意義。 你可以說這個不在你偵測探討的範圍內 語氣平和不要爆氣就好 曾老師 不小心按到重開機？ 謝：慢慢來不要吹他 謝錫坤今年沒學生畢業（延畢？ 黎明畫面靜止(jpg?)黎明好兇：聽得到辣 黎明用ie開teams 9:36開始 再次延後＝＝ 歡迎評審：周立德 椅子 跟 空白人 09:41 終於搞定，開始 錫坤閉上眼 馬上關視訊 很會？ 13分鐘進實驗？(飆車車) 24m27s（稍快 ## Yin #### 曾 * 我現說明一下。論文用到很多簡寫ＤＫＯＭ 機制，簡寫從前面摘要都沒出現，希望把簡寫先在前面寫出來 * 剛剛報告有個到這個機制要先做trust偵測造一個untrust，才會檢查立面的仕途才判斷是否是隱藏的，這個情況跟現在ＩＤＳ真測並讀圓裏差不多一樣，現在進來了隱藏的程式除了記憶體，可能先開始做了一寫開始的動作，但你這個機制並不是你。 他不是先做連線的動作，而是先在裡面做一些動作，像這種情況先把自己藏起來，某個時間點才開始做短暫連線動作或送出去 * 假設潛伏兩個惡意程式進來合作，一個做動作一個做對外聯絡 * 你靠ＶＭＩ所提工的ＦＵＮＣＴＩＯＮ，該ＦＵＮ做初始化，如果是已經受到污染的程式你沒有提到怎麼處理這一塊，典型的病毒程式是附著在其他程式 * 他隱藏的技術比較多拐彎一點，你現在是用ＶＭＩ的技術，我現在問的是你要有trust view 很明顯的你偵測並不是靠執行的總時間，妳不會做紀錄，你是不可能知道，他有一些狀況的hidden情況是不一樣的 #### 謝 * 明彥做這個是很辛苦的，系統要摸很熟 * 有些聽不清楚，你這個方法基本上用ＶＭＩ嗎，ＶＭＩ是跑在host machine上？ * 在你的ＫＭＩ上是跑在host上面，你的假設是每個host os會有一些動作，會先經過host os，會先被你的vmi攔截觀察，你的假設條件適當一台vm os已經被污染了，他的prog size還是哪個signature or behavior會被你抓到，你用的方法是用哪個方法抓到你前面要講清楚，到底病毒行為會有什麼影響。像是攔截病毒機器有些適用signature有些事behavior * 他什麼時候會跟ＶＭＩ報告或是經過ＶＭＩ？對啊就是他的程式或是模組被啟動的時候，他依定在某些時刻會跑去跟host os or vmi登記或經過，所以你才會攔截到，正常是怎樣，不正常是怎樣？你這樣要講清楚，不然做得很辛苦卻沒有讓人了解到關鍵技術。 * 我比較好奇的是說，一班process是os掌控，那你如果是hypervisor那應該是管vm的為什麼會抓到process的資料 * 那這樣要比較每一個指令喔？那就是每一個指令要比啊，不然你怎麼知道什麼時候要比 * 那你overhead怎模這麼小，你每個指令都要比 * 那你剛剛講的頻寬到底是指的是哪裡？因為你只有在一台實體機一台（這個你在論文上面要寫清處，量的指標是什麼？為什麼要量這個？這個參數是要有意義的