Rootkit

最新推荐文章于 2024-05-03 19:27:21 发布
最新推荐文章于 2024-05-03 19:27:21 发布
阅读量944 收藏
点赞数
分类专栏: Linux学习日志 网络安全 c++学习日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42107987/article/details/89529503
版权

一、rootkit介绍
Rootkit的作用在于“能维持root权限的一套工具”。它的目的是隐藏自己以及恶意程序,达到长期在目的主机存在并收集信息的目的。Rootkit一般和后门等程序结合使用,帮忙隐藏后门的踪迹。
通常,攻击者通过远程攻击获得root访问权限(譬如密码猜测、破解、缓冲区溢出、0-day漏洞),然后安装后门,便于之后回访,安装rootkit,隐藏踪迹,收集信息,便于长期回访以及获得对其他系统的访问权限。

二、linux中的权限问题
首先,在Linux系统的DAC中,所有的操作实质都是在进行进程访问文件的操作。而在验证操作时,主要关注两方面:

  • 进程的ID
  • 文件的ID

根据情况的不同会有以下的情况:

  • 进程有效ID为0,则为root权限,允许访问
  • 若进程的有效ID与文件所有者ID相同,则检查文件所有者访问位;
  • 若进程组有效ID与文件组ID相同,则检查文件组访问位;
  • 若都不相同,则检查文件其他用户访问位;

以上时一步一步来的,于是我们知道了进程有进程ID与组ID;文件则有owner ID、组ID、other ID每个ID有三个访问位:读写与执行。拥有onwer权限可用chmod修改其访问位。

上面提到了“有效ID”这个概念,因为有的进程在运行时需要改变自身的权限,而改变权限的方式就是通过修改用户ID或组ID,所以为了达到这种机制,又将ID分为了实际(Real ID)、有效和保存的三种。实际ID表明了我们实际是谁,有效的是运行时的身份,通常这两者是相同的。保存的ID包含了有效ID的副本。

我们可用setuid命令使让执行该命令的用户以该命令拥有者的权限去执行。

三、篡改系统调用
3.1系统调用流程
rootkit是让我们用来隐藏后门程序的,如我们修改ls命令使其不输出我们的程序。为了修改对面的库函数,我们得理解系统调用的过程。
在这里插入图片描述

  • 应用程序 代码调用系统调用( xyz ),该函数是一个包装系统调用的 库函数
  • 库函数 ( xyz )负责准备向内核传递的参数,并触发 软中断 以切换到内核;软中断指令int 0x80执行时,系统调用号会被放入eax寄存器
  • CPU 被 软中断 打断后,执行 中断处理函数 ,即 系统调用处理函数 ( system_call);
  • 系统调用处理函数 查询eax中的调用号,根据SCT的基址找到并调用系统调用服务例程 ( sys_xyz )

因此根据以上流程,想要修改sys_xyz便需要先找到SCT再计算调用地址,那么如何找到SCT的地址呢?

3.2 查找SCT
先看32位系统:

  • 查询idtr寄存获得IDT地址(IDT = Interrupt Descriptor Table 中断描述表)
//idt结构
struct idt
  {
  unsigned short limit;
  unsigned int base;
  }__attribute__((packed));
__asm__ __volatile__("sidt %0":"=m"(idt_table));
  • IDT存放的是中断门,中断门中的前两字节和后两字节存放的是中断向量地址
//中断门结构体
struct idt_gate { 
unsigned short off1; 
unsigned short sel; 
unsigned char nome,flags; 
unsigned short off2; }__attribute__((packed));
  • 找到0x80地址的系统调用处理例程地址,然后从其中找寻SCT地址
unsigned int get_sys_call_table_entry(unsigned int sys_call_entry,char * exp,char exp_len,unsigned int cope)
{
char * begin=sys_call_entry;
char * end=sys_call_entry+cope;
for(;begin<end;begin++)
{
 if(begin[0]==exp[0]&&begin[1]==exp[1]&&begin[2]==exp[2])
  return *((unsigned int *)(begin+3));
}
return 0;
}

64位:
64位有两个表,分别是64位的系统调用表SCT和32位的,其中32位的与上面相同,64位的使用特殊的sysenter/syscall指令。

3.3 篡改系统调用
获得SCT后,我们就能修改对应的系统调用地址了。
需要注意的是,SCT本身是有写保护的,所以,直接去修改会报错。首先要对它取消写保护。

//可以通过设置cr0寄存器的WP位为0,禁止CPU上的写保护。当然,写完之后,还是要将恢复写保护,防止SCT被其他进程意外篡改。
void disable_write_protection(void)
{
        unsigned long cr0 = read_cr0();
        clear_bit(16, &cr0);
        write_cr0(cr0);
}

void enable_write_protection(void)
{
        unsigned long cr0 = read_cr0();
        set_bit(16, &cr0);
        write_cr0(cr0);
}

参考连接:https://www.zhihu.com/people/ustcsse308/activities

Y努力学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rootkit
03-20
rootkit 6841-很棒的东西
深入理解rootkit 攻击
11-22
这是我学习rootkit攻击时候选的 几篇比较好的资料,有助于深入理解和学习rootkit攻击的原理。
什么是 Rootkit
南北极之间
07-06 4926
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
痛苦网安学习之RootKit
w2864619870的博客
11-01 1227
老师期末不知道留什么,我这么努力做笔记,应该可以及格。可是最近开始掉头发了,我明明都不努力的,就怕掉头发,没想到还是会这样,我不能接受。
2024年Linux最全使用rkhunter检测Linux的rootkit(3),小白看完都学会了
最新发布
qq194582923的博客
05-03 1234
rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。rootkit主要有两种类型:文件级别和内核级别。文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1738
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
rootkit概述
小冰球
12-07 9872
这个是摘自微信公众号里面的文章; rootkit是一个复合词,由rootkit两个词组成。root是用来描述具有计算机最高权限的用户。另一方面,kit被Merrian-Webster定义为工具和实现的集合。因此,rootkit是一组能获得计算机系统root或者管理员权限对计算机进行访问的工具。但在恶意软件领域,我们将rootkit定义为一组在恶意软件中获得root访问权限、完全控...
Rootkit-Ring3_rootkit_
09-29
Repo for Rootkit Ring 3 and Ring 0 test in Python and C++
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
"Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e" 这个标题表明我们关注的主题是关于2019年版的Rootkits和Bootkits技术的英文版专业资料。"rootkits and bootkits 2019 Enlish edition" 描述...
RootkiRegistry_rootkit_
09-30
RootkiRegistry_rootkit_】是一个典型的针对计算机系统的隐藏工具,通常被定义为“根套件”或“根键套件”。Rootkits是恶意软件的一种形式,它们设计的目的是在受害者的计算机上隐藏自己的存在,同时允许攻击者...
cnnic.rar_rootkit
09-20
标题 "cnnic.rar_rootkit" 提到的是一个与 Rootkit 相关的压缩包,其中包含的主要是驱动程序。Rootkit 是一种恶意软件技术,主要用于隐藏其他恶意软件的存在,使其难以被安全软件或系统管理员检测到。在深入讨论之前...
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
【专题四】Rootkit的学习与研究
04-07
D:. │ Read me.txt │ 目录里面的文件.txt │ └─Rootkit ├─1。 内核hook │ ├─1)object hook │ │ 1)object hook.doc │ │ │ ├─2)ssdt hook │ │ 2)ssdt hook.doc │ │ SSDT Hook的妙用-对抗ring0 inline hook .doc │ │ swk0207.rar │ │ │ ├─3)inline-hook │ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc │ │ 3)inline-hook.doc │ │ cnnic.rar │ │ ExpLookupHandleTableEntry.rar │ │ ExpLookupHandleTableEntry2.rar │ │ kill_SecuritySoftware.rar │ │ PsLookupProcessByProcessId执行流程学习笔记.doc │ │ 句柄啊,3层表啊,ExpLookupHandleTableEntry啊.doc │ │ 干掉KV 2008, Rising等大部分杀软.doc │ │ 搜索未导出的函数地址.doc │ │ │ ├─4)idt hook │ │ bhwin_keysniff.rar │ │ IDT Hook .doc │ │ │ ├─5)IRP hook │ │ 5)IRP hook.doc │ │ irphook1.rar │ │ irphook2.rar │ │ irphook3.rar │ │ │ ├─6)SYSENTER hook │ │ 6)SYSENTER hook.doc │ │ SysEnterHook.rar │ │ │ ├─7)IAT HOOK │ │ 7)IAT HOOK.doc │ │ HybridHook.rar │ │ testtest.rar │ │ │ └─8)EAT HOOK │ 8)EAT HOOK.doc │ 利用导出表来禁止一些驱动程序的加载.doc │ 导出表钩子.rar │ ├─2。保护模式篇章第一部分: ring3进ring0之门 │ ├─1)通过调用门访问内核 │ │ 1)通过调用门访问内核.doc │ │ myCallGate.rar │ │ test.rar │ │ │ ├─2)通过中断门访问内核 │ │ 2)通过中断门访问内核.doc │ │ myIntGate.rar │ │ │ ├─3)通过任务门访问内核 │ │ 3)通过任务门访问内核.doc │ │ MyTaskGate.rar │ │ │ └─4)通过陷阱门访问内核 │ 4)通过陷阱门访问内核.doc │ exe.rar │ src.rar │ ├─3。保护模式篇章第二部分:windows分页机制 │ 1)windows分页机制.doc │ ├─4。保护模式篇章第三部分:直接访问硬件 │ ├─1)修改iopl,ring3直接访问硬件 │ │ 1)修改iopl,ring3直接访问硬件.doc │ │ drv.rar │ │ exe.rar │ │ │ ├─2)追加tss默认IO许可位图区域 │ │ 2)追加tss默认IO许可位图区域.doc │ │ drv.rar │
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 1756
r77-Rootkit是一个Ring3级别的RootkitRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
应急响应篇 --自动化查杀Linux后门及Rootkit
春日野穹
05-26 2247
0x0引言~ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使 企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出 解决方案与防范措施,为企业挽或减少经济损失,本篇主要概述两款基于linux下病毒查杀的工具(河马、chkrootkit) 文章目录 河马 webshell扫描器 下载传送门 安装过程 实战演示 chkrootkit 下载传送门 安装过程 实战演示 河马 webshell扫描器 1.下载
rkhunter(Rootkit猎手)安装使用
icanflying的博客
03-09 7857
一、rkhunter简介: 1、中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。 2、rootkit是什么? rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大
Rootkit检测技术发展现状
sangfor_edu的博客
04-14 1658
Rootkit 这一概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用了 Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。 在往期的Roo
如何预防Rootkit
04-12
的攻击? 好的,关于预防 Rootkit 攻击,你可以采取以下措施: 1. 及时更新操作系统和安全软件,以获得最新的安全补丁和病毒库文件。 2. 使用防病毒软件和防火墙等安全软件,可以有效防止 Rootkit 攻击。 3. 启用系统安全策略,限制用户的访问权限和系统的文件访问权限,可以有效地限制 Rootkit 攻击范围。 4. 安装可信的软件和驱动程序,避免使用未知的软件和驱动程序,可以避免被 Rootkit 侵入。 5. 定期进行系统漏洞扫描和清除不必要的软件和文件,可以保持系统的健康状态,减少受 Rootkit 攻击的风险。 当然,这只是一些基本的措施,如果您有更详细的需求,还需要根据您的具体情况定制相应的安全策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值