Hey Guys Sono un principiante in materia di sicurezza e ora sto lavorando al mio progetto finale su IDS basato su host. Ho alcune domande per voi ragazzi
- Un rootkit può essere classificato come un'intrusione o è un malware o entrambi? Qual è la differenza tra intrusione e malware?
- È possibile che una sequenza di systemcall determini l'esistenza di un'intrusione nel sistema? Oppure la sequenza syscall non valida è in grado di rilevare il malware.
- Se mi piacerebbe monitorare syscall, posso farlo nello spazio utente, ad esempio usando systrace o può essere fatto solo nello spazio del kernel? Qual è il metodo migliore possibile?