图解 adore-ng之清理犯罪现场

最新推荐文章于 2023-02-27 14:33:59 发布
最新推荐文章于 2023-02-27 14:33:59 发布
阅读量2.1k 收藏 1
点赞数
文章标签: 工作 socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sealyao/article/details/4730671
版权

Adore-ng清理现场的功能是在log中擦去我们想要隐藏的进程的一切消息。

包括两个部分:

1、Syslog记录的信息

2、/var/log和/var/run中的特定文件。

对于syslog,我们先看下syslog的工作流程:

image

如上图所示,klogd和syslog之间是通过socket来实现通信的。adore对付syslog的方法是劫持sock_fs中的recvmsg。

对于/var/log和/var/run中的文件,adore劫持的是对应文件的写函数,使特定进程的消息无法被写入。

Adore-ng清理犯罪现场的工作流程图如下:

image

sealyao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Adore-ng使用简介
05-29 1209
Team: D.S.T 数据安全中心这是个adore-ng的简单安装使用指南,如果是老鸟就不用看了,呵呵adore-ng是一款优秀的LKM rootkit,可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54,能够在2.4 -2.6内核下使用,并且稳定性十分好。下面我们通过一步步的演示来揭示它强大的功能.1.以ro
linux后门系列之adore-ng
05-29 1827
前言:kernel 2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedora corerh:red hatrhel4:red hat enterprise linux 4sk:suckitadore:adore-ngrk:rootkitlkm:loadable kernel modules什么是adore-ng?一个LKM rk,google ado
adore-ng linux rootkit
05-12
老牌linux rootkit工具 该版本能稳定运行在内核2.4-2.6中
两个linux内核rootkit--之二:adore-ng
Netfilter
02-09 6916
这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
linux后门adore-ng
weixin_34060299的博客
10-03 115
linux后门adore-ng 也可以从这里下载 http://stealth.openwall.net/rootkits/ 转载于:https://blog.51cto.com/ach4ng/1011769
Rootkit 之 adore-ng 模拟木马病毒
02-13 1619
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。 而我们今天要模...
adore-ng-master.zip
02-13
【标题】"adore-ng-master.zip" 是一个与Adore-ng木马病毒相关的软件包压缩文件,其中包含了Adore-ng的源代码或组件。Adore-ng是一个著名的恶意软件框架,通常由安全研究人员用于逆向工程和恶意软件分析,而不是实际...
Adore-ng所需资源包
09-01
Adore-ng所需资源包,包括: adore-ng-master.zip kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm 授人予鱼,不如授人予渔,推荐rpm包下载社区: http://rpm.pbone.net/
linux 内核rootkit adore-ng-0.56
02-17
Adore-ng 0.56是Linux内核rootkit的一种,以其复杂性和功能多样性而闻名。这个包提供了对Adore-ng 0.56的详细解析,对于想要深入了解Linux rootkit工作原理和安全防护的人员极具价值。 首先,让我们深入理解什么是...
adore-ng源码
03-02
Adore-ng-0.41具备以下几个功能 1. 文件隐藏 2. 进程隐藏 3. 端口隐藏 4. 清理犯罪现场 5. 获得root权限
Adore-ng的使用
coutuo2575的博客
08-11 361
1、下载资源adore-ng-0.56.zip另外一个工具包,更简单ddrk.tgz 直接运行setup PASS PORT就可以了2、安装内核开发包yum -y install kernel-devel3、对内核软连接ln -...
linux后门漏洞大全,Linux后门系列之adore-ng
weixin_29790175的博客
05-13 368
久之前写的一个文章,自己转回来。奇了怪了,当时我测试是可以隐藏端口的,但我现在折腾又隐藏不了端口,答案很快就会出来:)找到原因了,东西还是原汁原味的好,遇到类似问题的请用原版,想知道问题出在哪的请自行diff。前言:kernel2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedoracorerh:redhatrhel4:redhatenterpr...
图说adore-ng之端口隐藏
么刚的专栏
10-20 2146
端口隐藏,使用户无法通过netstat之类的命令,得到我们需要隐藏的端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出:netstat的主要操作有:open/read  文件/proc/net/tcp,/proc/net/udp,/proc/net/raw ……,如下图:adore-ng的实现:  adore默认隐藏的是tcp协议的端口
链接分析【1】Linux内核模块rootkit adore-ng分析
weixin_33881753的博客
05-17 198
之前笔者几篇文章介绍了改链接分析的文章. 关联文章的地址     本文对Linux内核模块rootkit停止分析,对基于VFS operation function hook的adore-gn的实现停止分析。                完全内容请点击如下链接:      点击打开链接     摘要           Rootkit. ...
adore-ng笔记和Linux普通用户提权
only-ring的文档库
03-18 1352
安装: [root@xuegod63 ~]# unzipadore-ng-master.zip [root@xuegod63 ~]# cdadore-ng-master [root@xuegod63 adore-ng-master]#rpm  -ivh/mnt/Packages/kernel-devel-2.6.32-220.el6.x86_64.rpm yum install gc
图说adore-ng之文件隐藏
么刚的专栏
10-12 2119
文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数,让它读不出来。那读操作那个函数在哪呢?见下图。 上图是以普通文件为例说明的,目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢?见下图。
潜伏的 Linux Rootkit:Syslogk
最新发布
阿道夫的博客
02-27 528
Syslogk 使用了多种方式隐藏自身:通过 hk_proc_readdir 隐藏包含恶意文件的目录通过 hk_getpr 隐藏特定进程通过 hk_t4_seq_show 隐藏特定服务通过安装 netfilter hook 控制接收到的特制 TCP 数据包通过硬编码的密钥利用特制 TCP 数据包远程启动 PayloadSyslogk 非常隐蔽,在特制的 TCP 数据包发送到实现主机前并不会加载后门,执行时也是打着 SMTP 合法服务的旗号进行隐蔽传输。
Linux下木马程序隐藏进程实战
qq_42499737的博客
07-15 937
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集. Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息
Linux下手动查杀木马
菜鸟、上路
08-25 6905
一、 模拟木马程序病原体并让木马程序自动运行 黑客让脚本自动执行的三种方法: 计划任务,crontab;开机启动;系统命令被替换,使用命令后被触发。 1、 生成木马程序病原体 [root@xuegod120 ~]# vim /usr/bin/fregonnzkq #!/bin/bash touch /tmp/aaa.txt while true do echo date >> /tmp...
轻松掌握大学六级核心词汇:7000单词图解速记
"Adore"表达的是崇拜、敬慕或强烈的喜爱,这对于描述情感交流很有帮助。“Advertise”则涉及商业活动,说明了英语在广告和营销领域的应用。 “Aerial”这个词源自航空领域,意为飞机的、航空的或空中的,对于航空...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值