A rootkitek olyan új hulláma

Mintegy rootkitek már írva; Azt írta, hogy a fő feladata olyan rootkit - „lehetővé teszi, hogy egy hacker jöjjön vissza, és nem veszik észre ugyanabban az időben.” Azt írta, hogy ez hogy kicseréljük a rendszer szoftver és telepítése „protroyanennyh” démonok ...

De az idő múlásával ezek a rootkitek - rootkitek változik. Modern rootkitek már nem változik ps és az ls, hogy ne állítsa protroyanneny passwd és az inetd - most a rootkitek elérte OS szív - kernel (rendszermag). Ilyen rootkitek tartjuk.

LKM-rootkitek elérjék céljaikat keresztül elferdíti a rendszer működik szintjén manipuláció rendszer hívások (sys_getdents, sys_write, sys_close, sys_kill, sys_fork, sys_clone, sys_symlink - abban az esetben, a rootkit Adore, amit figyelembe kell venni később). Ehhez a rootkit használ betölthető rendszermag modulok (betölthető rendszermag modulok - így a csökkentés -
LKM).

Letölthető kernel modulok úgy lettek tervezve, hogy fokozza az alapvető funkciókat, és ezzel egyidejűleg megőrizve ésszerű méretű. Általában a munka betölthető modulokkal a következő: ha van egy hivatkozás a forrás áll abban a pillanatban, hogy a címzettje a démon kernel (/ sbin / kerneld), amely betölti a szükséges modult, és a kernel folytatja a munkát. Míg a rendszer, mint a modult, egy rootkit okozhat a következő manipuláció: a hívás, például sys_open (eredeti hívást) felhívja egy bizonyos funkciót open_hacked ( «hacker” funkció) és annak eredményeit adjuk az eredményeket az eredeti
sys_open.

Másrészt - az összes program (pl ls) segítségével a rendszer kéri, és ha ezek a rendszer kéri, hogy torzítják, a változás és az információs program által biztosított. Ie torzítja az eredményeket a hétvégén, nem szükséges cserélni a program önmagában (mint korábban volt). Ennek eredményeképpen ez a módszer használhatatlan leküzdésére rootkitek mint ellenőrzésekor „bináris” permutáció rendszer szoftver.

Tehát, LKM-rootkit manipulálni rendszer kéri, de mit tudnak?

Változó eljárások: sys_getdents, sys_write, sys_close, sys_kill, sys_fork, sys_clone, sys_symlink

Elrejtése folyamatokat, fájlokat, kapcsolatokat, megakadályozza a felvétel „felesleges” naplók. Azt lehet mondani, - szabványos
úriember készlet. Gyermekkorom óta szeretem a Linux, de van még egy verzió FreeBSD - AdoreBSD. A rootkit dinamikusan fejlődik - a jelenlegi változat - 0.39b4.

Manipulált kihívások: sys_getdents, sys_ioctl, sys_settimeofday, sys_kill, sys_fork, sys_clone, sys_read, sys_execve

Ugyanez úriember set + a lehetőséget, hogy végre parancsokat egy távoli gépen. Ismét dinamikusan fejlődik - a jelenlegi változat - 0,59 barátok Linux 2.2.

Manipulált kihívások: sys_getdents, sys_query_module, sys_read, sys_open, sys_close

+ Standard sor nagyon érdekes lehetőség - elrejtése részein a fájlokat. A mechanizmus egyszerű és ötletes, ugyanakkor: ha van két fájlt. akkor minden, ami ezek között fragmentumok rejtve lesz (és
töredékek maguk is). Írásos Linux 2.2.

Manipulált kihívások: sys_getdents, sys_getuid, sys_query_module, sys_kill, sys_fork, sys_clone, sys_open

Elrejtése fájlokat, folyamatokat és a felhasználókat. Ez ad root felhasználó UID = 666 (nagyon eredeti ;-). Elrejtése nyitott portokat. Ajánlott Linux 2.1, 2.2.

Behelyettesítve nézni itt: sys_getdents, sys_query_module, sys_read, sys_kill

Elrejtése fájlokat és folyamatokat. Egy nagyon hatékony eszköz a Linux 2.1.

Függvényváltozó: sys_getdents, sys_open

Elrejtése a fájlok a kíváncsi szemek a rendszergazda. Egy nagyon régi eszközt írt Linux 2.0

Itt egy kis gyűjtemény ... és persze ez nem minden LKM-rootkitek, de azt hiszem - a leginkább méltó.

Hogyan lehetne érzékelni, mint egy rootkit? mert ez a modul, akkor próbáljon meg:

1. parancs lsmod
2. Ellenőrizze a fájl tartalmát a / proc / modules (cat / proc / modules).

Willing azonnal figyelmeztetni - Trial mindkét módszer, mivel különböző rootkit különbözik tőlük „immunitás”. Például Synapsis elrejti magát lsmod (de látható a cat / proc / modules), Rial - csökkenni fog mind egyszerre, és így nem találja imádni és knark ...

Hogyan kell kezelni a rootkitek? Tipp régi és egyetemes, mint Dr. Aibolit - csak ne hagyja magát megtörni ...

Itt található az ezt a cikket egy ismerősének: