Linux内核级木马与病毒攻防:基础工具介绍

最新推荐文章于 2024-01-08 13:47:42 发布
最新推荐文章于 2024-01-08 13:47:42 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: 内核级病毒与木马攻防战 文章标签: 黑客 病毒 木马 信息安全、
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/107126704
版权

欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。

第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。

第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒或木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个helloworld程序如下:

#include "stdio.h"
void main() {
    printf("hello world!");
}

然后使用gcc编译成可执行文件,命令如下:

gcc  -Wall  -g  hello_world.c  -o  hello_world

注意到gcc也是在Linux上进行程序开发必不可少的编译器。执行上面代码后会在当前目录生成elf格式的可执行文件hello_world,然后使用如下命令打印其内部内容:

objdump -D hello_world

执行后所得结果如下:

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
zzz6583zz的博客
05-09 1324
渗透测试(Penetrationtest)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
网络安全(黑客工具
中国红客99代传人的博客
08-04 4592
看完这些相信大家会对里面的内容非常感兴趣,因为身为一个网络安全方面的小白,还是很有必要接触这些工具的,毕竟只有先使用这些功能,我们才能更加了解这些功能。有需要可以关注后在后台获取即可。
五步清除内核木马程序Byshell
yakoo5的专栏
11-26 3303
 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。  黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的
网络安全技术新手入门:利用Kali Linux生成简单的远程控制木马
最新发布
weixin_56154577的博客
01-08 5114
本文对木马的生成过程讲的比较详细,适合对网络安全技术感兴趣的小伙伴们,读完本文之后,读者可以对木马的形成、传播、对靶机的控制流程有一个逻辑性的理解
Win64.Rootkit.Agent.Stso内核木马
Z_shuaishuai的博客
07-22 3936
腾讯电脑管家好像处理不了,重启5.6次还是有,直接进文件位置自己删了,玩了一晚上游戏,复查,就没有了;今早也看了一遍,也没有。 一直重启屁用没有,不如我自己动手。 昨天下午逛B站,逛着逛着,诶,视频没声了,然后QQ能用,就是网页不能连,将近差不多5分钟吧,然后就感觉有猫腻。就用腾讯管家扫了一遍。tm内核木马,看见的时候给我吓傻了,这玩意可不是说笑的哈,卡巴斯基俺一个极度抠门的又没买,盗版的也没弄,就有一个腾讯电脑管家和win10自带的。 一个星期前自行照着B乎还是CSDN上面文章升的w..
基础实验:linux内核的编译与内核模块.doc
11-29
基础实验:Linux 内核的编译与内核模块 在本实验中,我们将学习如何编译 Linux 内核内核模块,并将其加载到开发板上。实验目的在于掌握 Linux 内核的编译和配置过程,并学会编译和加载内核模块。 一、实验环境 ...
Linux内核源代码的阅读及相关工具介绍
08-10
Linux内核源代码的阅读及相关工具介绍 Linux内核源代码的阅读是软件开发中非常重要的一步,然而要想顺利地阅读源代码,需要具备一定的知识背景和技能。基本要求是:操作系统的基本知识和C语言的熟悉程度,尤其是...
计算机病毒与防护:Linux介绍.ppt
06-10
计算机病毒与防护是信息安全领域的重要话题,而Linux作为一款广泛使用的操作系统,在病毒防护方面具有其独特的特点。在了解Linux如何抵御计算机病毒之前,我们先来深入探讨一下Linux系统本身。 Linux是一个自由、...
深度:一文看懂Linux内核Linux内核架构和工作原理详解
02-23
理解Linux内核最好预备的知识点:懂C语言懂一点操作系统的知识熟悉少量相关算法懂计算机体系结构Linux内核的特点:结合了unix操作系统的一些基础概念Linux内核的任务:1.从技术层面讲,内核是硬件与软
那些年困扰我们的Linux 的蠕虫、病毒木马
weixin_34409357的博客
08-18 843
 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括,手机爆炸性的普及意味着基于Linux的安卓成为恶意黑 客最具吸引力的目标之一,以及使用Linix系统作为数据中心服务器系统的机器也在一直稳步增长。让我们一起来回顾一下吧。 Staog(1996) 首个公认的Linux恶意软件是Staog,一...
Linux下查杀webshell木马工具.zip
01-05
Linux下查杀webshell木马工具.zip
内核木马及系统启动木马
10-27
本书包含了内核木马和系统启动木马的相关技术,防范和取证技巧,高逆向分析等内容,是近两年出现的关于木马方面不可得多的好书。
Linux木马如何处理
rqaz123的博客
05-12 1502
如果是Linux服务器中了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。 1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台中病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录; 2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了; 3、netstat查看异常链接; 4、iftop等查看服务
一次Linux服务器被入侵和删除木马程序的经历
热门推荐
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
内核木马病毒攻防Linux可执行文件的ELF格式描述
tyler_download的专栏
07-20 864
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒和恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;
两个linux内核rootkit--之一:enyelkm
Netfilter
02-09 6844
首先,这个rootkit其实是一个内核木马,和大多数木马不同的是,恶意木马所在的机器是客户端而不是服务器,而黑客所在的机器是服务器,这样做的好处在于可以躲避防火墙,一般的防火墙对外出的包审查不是那么严格而对进入的包审查严格,如果恶意程序是服务器,那么防火墙很可能会拦截连入服务器的黑客客户端进程导致攻击受到阻碍,现在的情况是黑客所在的机器是服务器,他首先发送召唤包到客户端,客户端收到召唤包以后就会连
linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1223
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
Linux之在CentOS上一次艰难的木马查杀过程
weixin_33758863的博客
12-13 927
今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。 我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板。等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复。 这时候我想到一个问题居然是能自我开机启动,要么/e...
Linux内核网络实现与理论详解:从入门到高
Linux内核网络实现与理论》是一本由资深软件工程师和Linux内核网络专家Rami Rosen撰写的著作。Rosen拥有超过十多年的行业经验,参与过多个前沿的Linux内核项目,他的专业知识和经验在本书中得到了充分展现。书中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值