linux常用rootkit技术,unix下的 rootkit

最新推荐文章于 2024-02-03 00:51:54 发布
最新推荐文章于 2024-02-03 00:51:54 发布
阅读量648 收藏 1
点赞数
文章标签: linux常用rootkit技术

unix下的 rootkit

传统的Rootkit是一种比普通***

防御办法:Rootkit如此可怕,得好好防它才行,实际上,最有效的防御方法是定期对重要系统文件的完整性进行核查,这类的工具很多,像 Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到 Rootkit***,必须完全重装所有的系统文件、部件和程序,以确保安全性。

写到这里,战争似乎结束了,然而更可怕的Rootkit还没登场,那就是内核级Rootkit。在大多数操作系统中(各种Unix和Windows),内 核是操作系统最基本的部件,它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时,打开文件的请求被发送到内核,内核负责从磁盘得 到文件的比特位并运行你的文件浏览程序。内核级 Rootkit使***者获得对系统底层的完全控制权。***者可以修改你的内核,大多数内核级Rootkit都能进行执行重定向,即截获运行某一程序的命 令,将其重定向到***者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A,被修改过的内核假装执行A,实际却执行了程序B。

内核级Rootkit对Unix的***

和传统的Rootkit不同,内核级Rootkit***时 Unix的bin/login并未被修改,但所有执行/bin/login的请求(当登录系统时将产生)都被重定向到***者制作的隐藏文件 /bin/backdoorlogin,这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性) 就行不通了,因为/bin/login并没有被改变。同样的道理,***者对其他的系统程序也进行重定,这样你的操作实际就是按照***者的意愿执行了。

内核级Rootkit不仅会进行“执行重定向”设置,还有很多支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏,而内核级的 Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏,用户将得不到真实的系统情 况报告。

实现思路:根据系统的类型,***者有不同的方法来对内核进行修改,在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM) 的功能,因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能,新添加的模块扩展了内核,同时对内核和其他使用内核的所有东西有 了完全访问权。

因此,许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如,在Linux上安装Knark内核级 Rootkit只需具有根权限的***者输入命令:insmod knark.o就行了,模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启。通过LKM实现的Rootkit在Unix上十分流行。我们也常 常会通过给windows平台打LKM补丁的方法***windows。

内核级Rootkit实例

现在有大量的内核级Rootkit可用,就选几种比较强大的来跟大家讨论一下。

一、linux上的内核级Rootkit:Knark

Knark具有各种标准的内核级Rootkit功能,包括执行重定向,文件隐藏,进程隐藏和网络隐藏。另外,还有不少比较过瘾的功能,如:

1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令,源地址是假造的,命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们 就可以利用这个功能来升级Knark,删除系统文件或任何我们想做的事。

2、任务***:当某一进程在系统上运行时,它总是具有与 UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务***能力可实时地 将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限。

3、隐藏混杂模式:同一般的RootKit一样,***者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而,以太网卡会 被设成混杂模式,管理员可以检查到这一点Knark将内核进行了修改,使之隐瞒网卡的混合模式,这将使嗅探变得更加隐秘。

4、实时进程隐藏:Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程,此进程将消失,但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时,ps和lsof命令的使用都不能显示此进程。

5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM,我们自然不想让管理员看到Knark模块,因此Knark包含了一个 单独的模块modhide,modhide将Knark和自己隐藏了起来。这样,当我们用Knark***一个系统时,我们首先为Knark.o做一个 insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令,这些模块都不会被发现。

二、另一个Linux上的内核级Rootkit:

©著作权归作者所有:来自51CTO博客作者mft809849218的原创作品,如需转载,请注明出处,否则将追究法律责任

weixin_39605997
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LinuxRootkit介绍
cqwei1987的博客
07-15 2116
本文对Linux中的Rootkit进行简单介绍,主要用于防护方案对Rootkit的防御效果介绍。
LinuxRootkit关键技术研究
07-15
LinuxRootkit关键技术研究 对于Linux下的安全研究有帮助
Linux Rootkit_evil_linux_rootkit_
10-02
A simple Linux kernel rootkit written for fun
属于linux unix常用的,属于Linuxunix常用rootkit技术的有()A、/dev/kmem rootkitB、Inline hookC、IAT hookD、Ssd...
weixin_30000523的博客
05-13 330
参考答案如下直流泄漏电流试验时,试品的()在较长时间内衰减完毕。A、属于术电容电流B、吸收电流C、泄漏电流D、电容患者久婚不育,/unixrootki/dev/且发脱齿摇耳鸣,证属肾精不足。()参附汤为纯阳之剂,下常量大易耗津伤液。()疼痛的辨别当中,用的有喜按为虚,拒按为实。()将持有至到期投资重新分类为可供出售金融资产的,属于术重分类日持有至到期投资剩余部分账面价值与其公如果痰饮、/unixr...
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1534
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkitLinux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
Linux内核的Rootkit攻击与度量对象提取
weixin_45027952的博客
05-19 459
介绍了Linux内核的Rootkit攻击以及系统调用表的提取
潜伏的 Linux Rootkit:Syslogk
阿道夫的博客
02-27 486
Syslogk 使用了多种方式隐藏自身:通过 hk_proc_readdir 隐藏包含恶意文件的目录通过 hk_getpr 隐藏特定进程通过 hk_t4_seq_show 隐藏特定服务通过安装 netfilter hook 控制接收到的特制 TCP 数据包通过硬编码的密钥利用特制 TCP 数据包远程启动 PayloadSyslogk 非常隐蔽,在特制的 TCP 数据包发送到实现主机前并不会加载后门,执行时也是打着 SMTP 合法服务的旗号进行隐蔽传输。
一个基于 LKM 的 Linux 内核级 rootkit 的实现
郭同学如是说
02-27 1073
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
7隐藏进程_Linux_Rootkit.md
最新发布
这是一个c++热爱者的博客哟
02-03 548
因此,我们需要想出一种方法来告诉我们的模块我们想要隐藏哪个 PID。一旦我们将内核模块的其余部分(Ftrace 等)放在一起,我们就可以构建它并尝试它。因此,如果我们隐藏带有我们想要保密的 PID 名称的目录,那么这些用户空间工具将不会注意到该进程的存在!希望您喜欢这个 - 它比平常短一点,但这只是因为这里没有太多新内容,只是我们已经介绍过的技术的巧妙组合。现在我们可以告诉 rootkit 我们想要隐藏哪个 PID,我们必须真正隐藏它!具有我们要隐藏的 PID 名称的文件或目录。),我们还可以隐藏进程!
6隐藏目录_Linux_Rootkit.md
这是一个c++热爱者的博客哟
02-03 622
此时,我们意识到我们必须将自己的缓冲区分配到内核空间,在那里修改它,然后将其复制回来(就像第。它仍然在内核中,但由于它不在标头中,因此您的模块将无法构建。(我们希望挂钩两者,但除了 32 位版本中的一小部分添加之外,它们是相同的)。这很有用,因为它让我们可以轻松地跳过内存中的这些结构来查找我们想要的内容。我们需要弄清楚的最后一件事是如何让系统跳过我们发现的以前缀“boogaloo”开头的任何条目。)就像我们一样循环遍历条目,它们将到达我们想要隐藏的条目之前的条目,并且当它将其循环变量增加。
linux下2.6.32的rootkit,隐藏文件目录
10-09
使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
linux rootkit源码
07-17
一个小型的linux rootkit源码 可以实现模块隐藏 进程隐藏等一些基本功能 也可以用做学习 
linux下内核级Rootkit检测防护机制
11-05
linux下内核级Rootkit检测防护机制
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
Linux下VFS层Rootkit技术研究.pdf
09-06
Linux下VFS层Rootkit技术研究.pdf
linux rootkit 端口复用,Linux Rootkit系列三:实例详解 Rootkit 必备的基本功能
weixin_35823067的博客
05-01 833
前言鉴于笔者知识能力上的不足,如有疏忽,欢迎纠正。测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试!概要在 上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即 sys_call_table /ia32_sys_call_table )的挂钩, 文章强调以代码与动手实验为核心。长话短说,本文也将以同样的理念带领读者一一缕清 Rootkit 必备的基本功能,包括提供 root ...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1486
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
Linux Rootkit之一:Linux Rootkit简介
Remy的学习记录
06-13 3386
1.1定义 Rootkit是一套由入侵者留在系统中的后门程序。Rootkit通常只有在系统已经被侵入并且获得root权限后才被安装进系统,并帮助入侵者长期控制系统,,搜集主机和网络信息,并隐藏入侵者的痕迹。也就是说,Rootkit需要持久并毫无察觉地驻留在目标系统中,对系统进行操纵、并通过隐秘渠道收集数据的程序。所以,Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的Ro
linux下如何根除rootkit
06-06
3.使用安全的启动盘,在独立的环境下扫描和清除Rootkit。 4.手动检查系统,寻找可疑的文件和进程,并且排除或删除它们。 5.重新安装操作系统,这是最彻底的方法,但是需要备份数据并重新安装软件。 需要注意的是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值