返回
rootkit入侵工具knark分析及防范

rootkit入侵工具knark分析及防范

ID:9489681

大小:63.00 KB

页数:8页

时间:2018-05-01

rootkit入侵工具knark分析及防范_第1页
rootkit入侵工具knark分析及防范_第2页
rootkit入侵工具knark分析及防范_第3页
rootkit入侵工具knark分析及防范_第4页
rootkit入侵工具knark分析及防范_第5页
资源描述:

《rootkit入侵工具knark分析及防范》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Rootkit入侵工具Knark分析及防范~教育资源库  什么是rootkit?  入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的rootkit可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、p协议。  *Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如,利用id服务

2、在一个特定的端口来创建一个bindshell,或者通过ssh守护进程提供访问途径。  在入侵者植入和运行后门程序之后,他会设法隐藏自己存在的证据,这主要涉及到两个方面问题:如何来隐藏他的文件且如何来隐藏他的进程。  为了隐藏文件,入侵者需要做如下事情:替换一些系统常用命令如ls,du,fsck。在底层方面,他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。  为了隐藏进程,他可以替换ps程序,或者通过修改argv[]来使程序看起来象一个合法的服务程序。有

3、趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。  RootKit-Knark的历史  Knark是第二代的新型rootkit工具-其基于LJM(loadablekernelmodule)技术,使用这种技术可以有效地隐藏系统的信息。在代码和README文件中都标注有不承担责任的声明,声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。  Knark是由creedsekure.编写的,主要基于mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布,当前版本是0.59。

4、可以从这里下载0.59版。  Knark特性  Knark0.59具有以下特性:  *隐藏或显示文件或目录  *隐藏TCP或UDP连接  *程序执行重定向  *非授权地用户权限增加(rootme)  *改变一个运行进程的UID/GID的工具  *非授权地、特权程序远程执行守护进程  *Kill–31来隐藏运行的进程  联合使用程序执行重新定向和文件隐藏,入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的,因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改,因此配置检测工

5、具在路径环境中也不会发现任何异常。  如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide,就可能实现甚至通过lsmod命令也不能发现knark的存在。  Knark软件包的安装和使用  该软件包的核心软件是knark,c,它是一个LinuxLKM(loadablekernel-module)。运行命令make来编译knark软件包,通过insmodknark命令来加载该模块。当knark被加载,隐藏目录/proc/knark被创建,123下一页友情提醒:,特别!该目录下将包含以下文

6、件:  author自我介绍  files系统中隐藏文件列表  hides在/proc/[tcp udp]隐藏的字符串  pids被隐藏的pids列表,格式类似于ps命令输出  redirects被重定向的可执行程序入口列表  该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块knark.o。除了taskhack.c,其用于直接修改/dev/kmem)  hidef用于在系统中隐藏文件  在/usr/lib目录下创建子目录hax0r,然后运行命令./hidef/usr/lib/.hax0r,则该目

7、录会被隐藏,ls或du等命令都不能显示该目录及其子目录。  unhidef用来恢复被隐藏的文件  你可以通过访问cat/proc/knark/files来察看你隐藏了哪些文件。通过./unhidef/usr/lib/.hax0r命令来解除对隐藏文件的隐藏。但是这里有个小小的bug,使得被隐藏的目录在/proc/knark/files中显示的是其加载开始的路径,也就是说如果系统有一个文件系统加载在/mnt,你隐藏了/mnt/secret,则在/proc/knark/files中显示的被隐藏的目录为/secret

8、。因此不会影响根文件被隐藏的目录。  ered用来配置重定向程序的执行  拷贝特洛伊木马版本的sshd为/usr/lib/.hax0r/sshd_trojan,然后运行./ered/usr/local/sbin/sshd/usr/lib/.hax0r/sshd_trojan,这样当/usr/local/sbin/sshd被运行时,实际上运行的特洛伊木马版本的sshd。可以通过命令./ered-c来清

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。