Linux下Rootkit介绍

最新推荐文章于 2024-07-08 17:29:51 发布
最新推荐文章于 2024-07-08 17:29:51 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 系统方面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cqwei1987/article/details/107368629
版权
本文深入探讨了Linux系统的Rootkit,包括用户态和内核级两种类型,详细阐述了LKM(rootkit模块)和非LKM的rootkit技术,如系统调用表的修改和重定向。此外,还提到了BIOS、PCI和Boot加载器层面的rootkit新型技术,旨在介绍如何防御这些隐蔽的攻击工具。
摘要由CSDN通过智能技术生成

Linux下的RootKit简单介绍和分析

        本文对Linux中的Rootkit进行简单介绍,主要用于防护方案对Rootkit的防御效果介绍。

       RootKit分为用户态rootkit和内核级rootkit。内核级rootkit可分为基于LKM的rootkit(又细分为系统调用表修改类以及VFS层rookit等)和非LKM的rootkit(如系统调用表重定向等)。Linux下还有BIOS、PCI、Boot(NTLDR、BCD、Grub)等更新颖技术的rootkit。

         下面用表格形式说明几种典型的代表:

典型代表

控制方式

内核版本

隐藏/反检测特点

备注
最低0.47元/天 解锁文章
cqwei1987
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下2.6.32的rootkit,隐藏文件目录
10-09
使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。
linux rootkit源码
07-17
一个小型的linux rootkit源码 可以实现模块隐藏 进程隐藏等一些基本功能 也可以用做学习 
两个linux内核rootkit--之二:adore-ng
Netfilter
02-09 6916
这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
权限维持-Linux-内核加载 LKM-Rootkit 后门
最新发布
金灰的博客
07-08 1035
免责声明:本文仅做技术交流与学习...
linux-rootkit
weixin_42021187的博客
01-13 234
【代码】linux-rootkit
linux常用rootkit技术,unix下的 rootkit
weixin_39605997的博客
05-13 666
unix下的 rootkit传统的Rootkit是一种比普通***防御办法:Rootkit如此可怕,得好好防它才行,实际上,最有效的防御方法是定期对重要系统文件的完整性进行核查,这类的工具很多,像 Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到 Rootkit***,必须完全重装所有的系统文件、部件和程序,以确保安全性。写到这里,战争似乎结束了,然而更可怕的Rootkit还没...
Linux Rootkit之一:Linux Rootkit简介
Remy的学习记录
06-13 3404
1.1定义 Rootkit是一套由入侵者留在系统中的后门程序。Rootkit通常只有在系统已经被侵入并且获得root权限后才被安装进系统,并帮助入侵者长期控制系统,,搜集主机和网络信息,并隐藏入侵者的痕迹。也就是说,Rootkit需要持久并毫无察觉地驻留在目标系统中,对系统进行操纵、并通过隐秘渠道收集数据的程序。所以,Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的Ro
Linux Rootkit_evil_linux_rootkit_
10-02
Linux Rootkit,如"evil_linux_rootkit",是恶意软件的一种形式,专为Linux操作系统设计,主要用于隐藏攻击者在系统中的活动。Rootkit通常由黑客使用,以绕过安全措施,持续控制受感染的系统,并避免被常规的安全...
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测 Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit...
Linux系统下Rootkit检测方法探讨.pdf
09-06
Linux系统下Rootkit检测方法探讨.pdf
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
Rootkit介绍
weixin_34400525的博客
03-05 425
  Rootkit 是一种特殊类型的 malware(恶意软件)。   Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不能删除它们。   虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。   Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的...
Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能
whatday的专栏
07-23 929
本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit。 测试建议:不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即sys_call_table/ia32_sys_call_table)的挂钩, 文章强调以代码与动手实验为核心。 长...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1618
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
潜伏的 Linux Rootkit:Syslogk
阿道夫的博客
02-27 527
Syslogk 使用了多种方式隐藏自身:通过 hk_proc_readdir 隐藏包含恶意文件的目录通过 hk_getpr 隐藏特定进程通过 hk_t4_seq_show 隐藏特定服务通过安装 netfilter hook 控制接收到的特制 TCP 数据包通过硬编码的密钥利用特制 TCP 数据包远程启动 PayloadSyslogk 非常隐蔽,在特制的 TCP 数据包发送到实现主机前并不会加载后门,执行时也是打着 SMTP 合法服务的旗号进行隐蔽传输。
一个基于 LKM 的 Linux 内核级 rootkit 的实现
郭同学如是说
02-27 1176
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
Rootkit
热门推荐
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
Linux v2.6 Rootkit技术详解
"这篇文档详细介绍了在X86架构下的Linux v2.6系统中rootkit的实现技术,包括基于动态加载模块(LKM)的rootkit和非LKM的rootkit,以及它们的各种隐藏和篡改系统机制。" Rootkit在简述中被定义为一组软件工具,其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值