Despre rootkit-uri deja scrise; Am scris că principala sarcină a oricărei rootkit - „permite unui hacker să vină înapoi și să nu fie observat în același timp.“ Am scris că acest lucru este realizat prin înlocuirea software-ul de sistem și de instalare „protroyanennyh“ demoni ...
Dar, pe măsură ce timpul trece aceste rootkit-uri - rootkituri schimba. rootkit-urile moderne nu mai sunt în schimbare și PS ls, nu setați protroyanneny passwd și inetd - acum rootkit-urile au ajuns OS inima - kernel (kernel). Astfel de rootkituri considerăm.
LKM-rootkituri atinge obiectivele lor printr-o denaturare a activității sistemului la nivelul de apeluri de sistem de manipulare (sys_getdents, sys_write, sys_close, sys_kill, sys_fork, sys_clone, sys_symlink - în cazul rootkit Adore, pe care o vom lua în considerare mai târziu). Pentru a face acest lucru, rootkit utilizează modulele de kernel incarcabile (descărcabilă Kernel Module -, prin urmare, reducerea -
LKM).
Modulele de kernel descărcabile au fost proiectate pentru a îmbunătăți funcționalitatea de bază și, în același timp păstrând dimensiunile sale rezonabile. În general, lucrul cu modulele incarcabile este după cum urmează: în cazul în care există un apel la resursa disponibilă în acest moment, se adresează nucleul demon (/ sbin / kerneld), care se încarcă modulul necesar și kernel-ul își continuă activitatea. În timp ce în sistem ca un modul, un rootkit poate cauza următoarele manipulare: un apel, de exemplu, sys_open (apel original) solicită o anumită funcție open_hacked ( «hacker funcție“) și rezultatele sunt date pentru rezultatele originalului
sys_open.
Pe de altă parte - toate programele (de exemplu, ls) utilizând apeluri de sistem, iar dacă aceste apeluri de sistem să denatureze, să schimbe și informațiile furnizate de program. Ie să denatureze rezultatele week-end, nu este necesar să se înlocuiască programul în sine (așa cum a fost înainte). Ca urmare, această metodă este inutil pentru a combate rootkit-uri ca software-ul checksum „binarele“ sistem de permutare.
Deci, LKM-rootkit-manipula apeluri sistem, dar ce știu ei?
Proceduri variabile: sys_getdents, sys_write, sys_close, sys_kill, sys_fork, sys_clone, sys_symlink
procese Ascunderea, fișiere, conexiuni, previne înregistrarea jurnalele „inutile“. Putem spune - Standard
set gentleman. Din copilărie place Linux, dar există și o versiune pentru FreeBSD - AdoreBSD. Un rootkit este în curs de dezvoltare dinamic - versiunea curentă - 0.39b4.
provocări: manipulată sys_getdents, sys_ioctl, sys_settimeofday, sys_kill, sys_fork, sys_clone, sys_read, sys_execve
Același set de gentleman + posibilitatea de a executa comenzile trimise de la o gazdă de la distanță. Din nou, este în curs de dezvoltare dinamic - versiunea curentă - 0.59 prieteni cu Linux 2.2.
provocări: manipulată sys_getdents, sys_query_module, sys_read, sys_open, sys_close
+ Set standard de foarte interesante de oportunitate - ascunderea părți ale fișierelor. Mecanismul de simplu și ingenios, în același timp: în cazul în care există două fișiere. atunci tot ce se află între aceste fragmente vor fi ascunse (și
chiar de fragmente, de asemenea). Scris pentru Linux 2.2.
provocări: manipulată sys_getdents, sys_getuid, sys_query_module, sys_kill, sys_fork, sys_clone, sys_open
Ascunde fișiere, procese și utilizatori. Acesta oferă utilizatorului root cu uid = 666 (foarte original ;-). Ascunde porturile deschise. Proiectat pentru Linux 2.1, 2.2.
Substituind să se uite aici: sys_getdents, sys_query_module, sys_read, sys_kill
Ascunde fișiere și procese. Un instrument foarte eficient pentru Linux 2.1.
Funcția variabilă: sys_getdents, sys_open
Ascunde fișierele de ochii indiscrete ale administratorului. Un instrument foarte vechi scrise pentru Linux 2.0
Iată o colecție mică ... și, desigur, că nu este vorba LKM-rootkit, dar cred că - cel mai demn.
Cum ar putea detecta un astfel de rootkit? pentru că acest modul, puteți încerca:
lsmod 1. comandă
2. Verificați conținutul fișierului / proc / modules (cat / proc / modules).
Dispus imediat avertizează - ambele metode de încercare, din moment ce diferite rootkit-uri sunt diferite de la ei „imunitate“. De exemplu, Synapsis se ascunde de la lspci (dar vizibile prin cat / proc / modules), Rial - va cădea pe ambele în același timp, și astfel încât să nu găsiți ador și knark ...
Cum să se ocupe cu rootkit-uri? Sfat vechi și universale, ca Dr. Aibolit - pur și simplu nu te lăsa rupe ...
Arată acest articol unui prieten: