<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
linux下rootkit的另類檢測
當***獲取管理員許可權時,首先是抹掉***系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用
rootkits
,簡單的說,
rootkits
是一種經修改的***指令碼、系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。
rootkits
被廣泛使用,它允許***者獲得後門級訪問。過去,
rootkits
通常是替換作業系統中的正常二進位制執行程式,如
iogin
程式、ifconfig
程式等。但這兩年來
rootkits
發展很快,發展到直接對底層核心進行操作,而不再需要去修改單個的程式。通過修改作業系統核心,核心級的
rootkits
使乙個被修改核心的作業系統看上去和正常的系統沒有區別,它們通常都包含重定向系統呼叫的能力。因此,當使用者執行類似ps、
netstat
或ifconfig
之類的指令的時候,實際執行的是乙個特洛伊的版本。這些工具還可以隱藏程序、檔案和埠使用情況等,使用者將得不到真實的系統情況報告。
rootkits
防禦辦法:
防禦rootkits
的最有效的方法時定期的對重要系統檔案的完整性進行核查,這類的工具很多,像
tripwire
就是乙個非常不錯的檔案完整性檢查工具。一但發現遭受到
rootkits
***,那就比較麻煩了,
必須完全重灌所有的系統檔案部件和程式,
以確保安全性。
這裡再向大家介紹乙個簡單易用的
linux
下的rootkits
檢測方法。
zeppoo
是一款小巧的、優秀的
linux
下的rootkits
檢測工具。
zeppoo
允許linux
系統管理員在
i386
硬體體系下監控
/dev/kmem
和/dev/mem
中是否存有
rootkits
存在的跡象。
zeppoo
可以檢測隱藏的系統任務、模組、
syscalls
、惡意符號和隱藏的連線。讓
linux
系統管理員根據
zeppoo
發現的隱藏的、非法的程式來及時的判斷是否
linux
系統中存在
rootkits。
zeppoo
的使用
可以到[url]
zeppoo-0.0.4.tar.gz
的壓縮包。解壓縮後安裝步驟如下:
#cd zeppoo
#make;make install
如下圖:
基本命令格式如下:
zeppoo -引數
列出系統任務
-p 顯示在記憶體中執行的任務。 列出
syscalls -s
顯示系統呼叫。 列出
idt
檔案指紋特徵
-f file
產生某檔案的指紋特徵
(syscalls
,idt)。
其他功能
-c options
檢查任務,網路,
檔案指紋特徵
check tasks
,networks
,fingerprints。
-d device
使用裝置
(/dev/mem
,/dev/kmem)。
-m 快速模式。
-t systemmap
指定system.map
來解決syscalls
和idt
檔名問題。 顯示
/dev/mem
中所有執行任務,可以看到所有執行
任務的uid、
gid、檔名和記憶體位址等重要引數。
#zeppoo -p -d /dev/mem
檢測和顯示所有隱藏任務,如果
zeppoo
沒有在記憶體中檢測到可疑任務,
zeppoo
則會提示「沒有隱藏任務,您的系統看上去是安全的」,當然,這個提示只能作為參考,系統管理員還要進行進一步的認證分析:
#zeppoo -c -p
Linux下Rootkit的另類檢測
linux下rootkit的另類檢測 當黑客獲取管理員許可權時,首先是抹掉入侵系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用rootkits,簡單的說,rootkits是一種經修改的攻擊指令碼 系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。rootkits被廣泛...
Linux下Rootkit的另類檢測
linux下rootkit的另類檢測 當黑客獲取管理員許可權時,首先是抹掉入侵系統的相關記錄,並且隱藏自己的行蹤,要實現這一目的最常用的方法就是使用rootkits,簡單的說,rootkits是一種經修改的攻擊指令碼 系統程式,用於在乙個目標系統中非法獲取系統的最高控制許可權。rootkits被廣泛...
如何檢測Linux核心的Rootkit
最近一段時間搞了些rootkit攻略,每個方法都比較徹底,無論是隱藏程序,還是隱藏cpu利用率,隱藏tcp連線,隱藏檔案,甚至隱藏cpu風扇的狂轉,均採用了相對底層的方案,一般的rootkit檢測很難檢測到。所謂的一般的rootkit就是那些通常的hook,比方說hook系統呼叫,hook proc...