有一個(gè)明顯的頻率高點(diǎn)。如圖4和5中所表示那樣的，即使是在系統(tǒng)負(fù)載很大時(shí)，頻率高點(diǎn)所對(duì)應(yīng)的數(shù)值保持不變。很難解釋這個(gè)令人吃驚的現(xiàn)象，可能是因?yàn)樵谘�環(huán)中同一個(gè)系統(tǒng)服務(wù)被調(diào)用幾百次后，與這個(gè)系統(tǒng)服務(wù)相關(guān)的緩沖最后會(huì)被填入固定的值。
　　假想現(xiàn)在有人安裝了隱藏文件的rootkit，如果我們重復(fù)測(cè)試并繪制相應(yīng)的條形圖，就會(huì)發(fā)現(xiàn)頻率高點(diǎn)向右移了，這是因?yàn)閞ootkit需要進(jìn)行隱藏文件的工作。
　　在現(xiàn)在的代碼實(shí)現(xiàn)中，只進(jìn)行了少量的測(cè)試，包括典型的服務(wù)如：文件系統(tǒng)讀取，枚舉進(jìn)程，枚舉注冊(cè)表項(xiàng)以及socket讀取。
　　這些測(cè)試將有效地檢測(cè)出的ntrootkit(見[1])，或最近比較流行的hacker defender(見[4])，包括它自帶的網(wǎng)絡(luò)后門，當(dāng)然還包括很多其他的后門。但要檢測(cè)出一些更好的后門還要加入一些新的測(cè)試。
　　誤報(bào)和執(zhí)行路徑跟蹤
　　雖然對(duì)頻率高點(diǎn)的檢測(cè)有助于我們處理系統(tǒng)的不確定因素，但有時(shí)會(huì)發(fā)現(xiàn)測(cè)試得到的值有小的差值，一般來(lái)說不大于20。
　　有時(shí)這會(huì)是一個(gè)很嚴(yán)重的問題，因?yàn)槲覀儾荒艽_定那些多出來(lái)的指令意味著被入侵或只是正常的誤差。
　　為解決這個(gè)問題，我們使用了執(zhí)行路徑記錄模式。和單一的epa模式比較，系統(tǒng)增加了對(duì)執(zhí)行路徑的記錄(包括地址和運(yùn)行的指令)，首先，系統(tǒng)記錄下正常情況下的執(zhí)行路徑，以后的每一次運(yùn)行將產(chǎn)生diff文件(正常系統(tǒng)和現(xiàn)行系統(tǒng)之間的比較)。
　　我們應(yīng)該使用好的反編譯器來(lái)分析那些不一樣的地方，以此判定他們是否可疑。圖6是一個(gè)diff文件的例子。
　　現(xiàn)階段的diff文件只記錄下指令的地址，以后可能將兩次測(cè)試的不同結(jié)果存為pe格式文件，并可用
　　檢測(cè) ”offset-in-the-code” 的變化
　　想象有這樣一個(gè)rootkit，它基本和上面提到的 fu rootkit (見[3]) 一樣，但不從psactiveprocesslist中，而是從分派器使用的數(shù)據(jù)結(jié)構(gòu)中移除進(jìn)程。我說過那不可能，因?yàn)殡[藏的進(jìn)程將分配不到運(yùn)行時(shí)間......
　　然而，rootkit可以同時(shí)更改分派器代碼中所使用數(shù)據(jù)結(jié)構(gòu)的地址(offset)，換句話說，就是使其使用不同的鏈表。但只有分派器使用這個(gè)”新的” 鏈表，而系統(tǒng)其他地方還是使用”舊的”鏈表...... (見圖7)。
　　雖然這種技術(shù)不會(huì)改變執(zhí)行指令的個(gè)數(shù)，我們還是能檢測(cè)到它，但需要進(jìn)一步的完善現(xiàn)有的工具。這項(xiàng)功能現(xiàn)在還沒有實(shí)現(xiàn)，但應(yīng)該不是很難。
　　針對(duì)epa的攻防
　　我們可以想到一些能騙過epa類檢測(cè)工具的方法，先把它們分為兩類。
　　1、針對(duì)特定工具的欺騙
　　2、對(duì)epa類技術(shù)的通用攻擊
　　首先，我們考慮一下通用的攻擊方法和怎樣防止這類攻擊。接著討論針對(duì)特定工具的攻擊以及怎樣通過多態(tài)來(lái)預(yù)防。
　　對(duì)epa類技術(shù)的通用攻擊