Linux Rootkit之一:Linux Rootkit简介

最新推荐文章于 2024-02-03 00:51:54 发布
最新推荐文章于 2024-02-03 00:51:54 发布
阅读量3.3k 收藏 6
点赞数 1
文章标签: linux内核 rootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/46485437
版权

1.1定义

Rootkit是一套由入侵者留在系统中的后门程序。Rootkit通常只有在系统已经被侵入并且获得root权限后才被安装进系统,并帮助入侵者长期控制系统,,搜集主机和网络信息,并隐藏入侵者的痕迹。也就是说,Rootkit需要持久并毫无察觉地驻留在目标系统中,对系统进行操纵、并通过隐秘渠道收集数据的程序。所以,Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的RootkitLinux系统中的Rootkit就被称为LinuxRootkit

1.2分类

LinuxRookit可以简单地分为用户态和内核级,一些新颖的LinuxRootkit技术(如BIOSPICBoot)可以划分为新技术类型。其中用户态Rootkit可以通过替换一些二进制文件(如psnetstatls等),从而实现进程隐藏、网络连接信息隐藏、文件隐藏等功能。内核Rootkit由于隐蔽性好、攻击能力强,逐渐成为了主流。内核Rootkit也可细分为基于LKMLoadableKernel Modules)的Rookit和非基于LKMRootkit

1.3功能

无论是那种形式的Rootkit,都需要实现以下功能:

1)远程指令执行

通过网络向Rootkit所驻留的系统发送指令,从而控制远程主机;

2)信息收集

收集系统的活动信息、网络上其它主机的数据信息等;

3)文件隐藏

把目标主机上的特定文件隐藏起来,使其不能通过常规方法查看到,这样就可以隐藏一部分系统被控制的痕迹;

4)进程隐藏

在控制目标主机或收集系统信息时会启动相关的进程,通过Rootkit可以实现对进程的隐藏;

5)网络连接隐藏

将网络连接的端口信息隐藏,利用netstat等工具无法显示隐藏的信息,这样就可以隐秘地向远端发送信息;

6)内核模块隐藏

Rootkit自身在系统中安装的模块隐藏起来,提高自身生存能力。


Remy1119
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux Rootkit_evil_linux_rootkit_
10-02
A simple Linux kernel rootkit written for fun
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1504
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkitLinux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
Linux内核Rootkit攻击与度量对象提取
weixin_45027952的博客
05-19 449
介绍了Linux内核Rootkit攻击以及系统调用表的提取
潜伏的 Linux Rootkit:Syslogk
阿道夫的博客
02-27 483
Syslogk 使用了多种方式隐藏自身:通过 hk_proc_readdir 隐藏包含恶意文件的目录通过 hk_getpr 隐藏特定进程通过 hk_t4_seq_show 隐藏特定服务通过安装 netfilter hook 控制接收到的特制 TCP 数据包通过硬编码的密钥利用特制 TCP 数据包远程启动 PayloadSyslogk 非常隐蔽,在特制的 TCP 数据包发送到实现主机前并不会加载后门,执行时也是打着 SMTP 合法服务的旗号进行隐蔽传输。
一个基于 LKM 的 Linux 内核rootkit 的实现
郭同学如是说
02-27 1057
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
7隐藏进程_Linux_Rootkit.md
最新发布
这是一个c++热爱者的博客哟
02-03 542
因此,我们需要想出一种方法来告诉我们的模块我们想要隐藏哪个 PID。一旦我们将内核模块的其余部分(Ftrace 等)放在一起,我们就可以构建它并尝试它。因此,如果我们隐藏带有我们想要保密的 PID 名称的目录,那么这些用户空间工具将不会注意到该进程的存在!希望您喜欢这个 - 它比平常短一点,但这只是因为这里没有太多新内容,只是我们已经介绍过的技术的巧妙组合。现在我们可以告诉 rootkit 我们想要隐藏哪个 PID,我们必须真正隐藏它!具有我们要隐藏的 PID 名称的文件或目录。),我们还可以隐藏进程!
Reptile:LKM Linux rootkit
05-07
Debian 9 :4.9.0-8-amd64 Debian 10 :4.19.0-8-amd64 Ubuntu 18.04.1 LTS :4.15.0-38通用Kali Linux :4.18.0-kali2-amd64 Centos 6.10 :2.6.32-754.6.3.el6.x86_64 Centos 7 :3.10.0-862.3.2.el7.x86_64 ...
linux rootkit源码
07-17
一个小型的linux rootkit源码 可以实现模块隐藏 进程隐藏等一些基本功能 也可以用做学习 
slrk:Linux Rootkit 实验
06-05
这不是一个功能性的 rootkit,我在一个库中实现了许多不同的操作内核的方法(内联挂钩、调试寄存器、IDT/sysenter/syscall 挂钩、指针诡计……)。 然后使用这个库来运行一些测试。要求该项目已使用最新的 x86_64 ...
一种基于内核定时器和工作队列的Linux rootkit.pdf
09-06
一种基于内核定时器和工作队列的Linux rootkit.pdf
后门技术和Linux LKM Rootkit详细解析
03-04
在本篇文章里, 我们将看到各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们自己的基于LKM的Rootkit程序,主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM程序的设计与实现。
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
linux下2.6.32的rootkit,隐藏文件目录
10-09
使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。
6隐藏目录_Linux_Rootkit.md
这是一个c++热爱者的博客哟
02-03 614
此时,我们意识到我们必须将自己的缓冲区分配到内核空间,在那里修改它,然后将其复制回来(就像第。它仍然在内核中,但由于它不在标头中,因此您的模块将无法构建。(我们希望挂钩两者,但除了 32 位版本中的一小部分添加之外,它们是相同的)。这很有用,因为它让我们可以轻松地跳过内存中的这些结构来查找我们想要的内容。我们需要弄清楚的最后一件事是如何让系统跳过我们发现的以前缀“boogaloo”开头的任何条目。)就像我们一样循环遍历条目,它们将到达我们想要隐藏的条目之前的条目,并且当它将其循环变量增加。
linux rootkit 端口复用,Linux Rootkit系列三:实例详解 Rootkit 必备的基本功能
weixin_35823067的博客
05-01 831
前言鉴于笔者知识能力上的不足,如有疏忽,欢迎纠正。测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试!概要在 上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即 sys_call_table /ia32_sys_call_table )的挂钩, 文章强调以代码与动手实验为核心。长话短说,本文也将以同样的理念带领读者一一缕清 Rootkit 必备的基本功能,包括提供 root ...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1446
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
linux-rootkit
weixin_42021187的博客
01-13 218
【代码】linux-rootkit
LinuxRootkit介绍
cqwei1987的博客
07-15 2113
本文对Linux中的Rootkit进行简单介绍,主要用于防护方案对Rootkit的防御效果介绍。
linux常用rootkit技术,unix下的 rootkit
weixin_39605997的博客
05-13 647
unix下的 rootkit传统的Rootkit是一种比普通***防御办法:Rootkit如此可怕,得好好防它才行,实际上,最有效的防御方法是定期对重要系统文件的完整性进行核查,这类的工具很多,像 Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到 Rootkit***,必须完全重装所有的系统文件、部件和程序,以确保安全性。写到这里,战争似乎结束了,然而更可怕的Rootkit还没...
linux rootkit
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该定期更新操作系统和安全软件,避免下载和安装来自不可信来源的软件,以及使用强密码和多因素身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值