当前位置:文档之家 › rootkit简介

rootkit简介

  • 格式:docx
  • 大小:38.72 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

什么是Rootkit病毒

什么是Rootkit病毒

什么是Rootkit病毒
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。

大多数安全解决方案不能检测到它们并加以清除。

因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。

如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit
能够自我激活。

一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit
能够再次执行,所以问题并没有彻底解决。

要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。

内核模式的rootkit通常攻击操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。

赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问NTFS 格式的原始卷,并可以绕开Windows 文件系统API(应用程序接口)。

这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。

对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。

来源:汤普森计算机安全实验室(Thompson Cyber Security Labs)。

Linux后门入侵检测工具

Linux后门入侵检测工具

【Linux】后门入侵检测工具一、rootkit简介rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。

rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。

rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。

1、文件级别rootkit文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。

在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。

通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等,其中login程序是最经常被替换的,因为当访问Linux时,无论是通过本地登录还是远程登录,/bin/login 程序都会运行,系统将通过/bin/login来收集并核对用户的账号和密码,而rootkit就是利用这个程序的特点,使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者通过输入设定好的密码就能轻松进入系统。

此时,即使系统管理员修改root密码或者清除root密码,攻击者还是一样能通过root用户登录系统。

攻击者通常在进入Linux系统后,会进行一系列的攻击动作,最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。

在默认情况下,Linux中也有一些系统文件会监控这些工具动作,例如ifconfig命令,所以,攻击者为了避免被发现,会想方设法替换其他系统文件,常见的就是ls、ps、ifconfig、du、find、netstat等。

如果这些文件都被替换,那么在系统层面就很难发现rootkit已经在系统中运行了。

Windows RootKit概述

Windows RootKit概述

挂钩技术—、WindowsRootKit概述2005年10月,RootKitRevealer的作者MarkRussinovich发现Sony公司使用RootKit以保护其电子出版物不受盗版侵权DMark在他的Blog上指出Sony公司不仅在消费者毫不知情的情况下(既没有明确告知消费者,也没有在软件的服务条款中提及)向消费者的电脑中安装了—个RootKit,而且知情的攻击者还可以利用这个RootKit隐藏自己的工具。

随后,RootKit 引起了人们广泛关注。

Rootkit是黑客在入侵目标系统后,开辟后门和隐藏行为的技术或者是工具。

当攻击者通过某种方式进入被入侵的系统并安装上RootKit就可以欺骗目标计算机的操作系统,从而达到隐藏所有修改并拥有操作系统控制权。

WindowsRootKit的核心技术就是隐藏技术,隐藏的内容包括文件、目录、进程、注册表项、网络端口、设备驱动器、网卡模式等。

RootKit最早出现于Unix系统中,随着计算机技术的发展,现在多种操作系统平台中都出现了RootKit。

其中Windows系统上的RootKit技术,尤其受到广泛重视,RootKit也分为几种:(一)早期RootKit工作原理是把系统中的一些程序替换成恶意的版本,当这些替换的程序运行时,就会自动隐藏特定的对象。

如称为RootKit之父的Cabanas病毒…(二)用户模式RootKit这种RootKit是安装在系统当前用户的安全上下文环境,替换、挂钩(hook!或者修改某些操作系统调用和DLL中的函数。

(三)内核模式RootKit现在的WindowsRootKit所使用的技术也从用户模式向内核模式发展,内核模式RootKit不仅能拦截底层的API调用,而且还会操作内核数据结构。

二、WindowsRootKit的检测技术WindowsRootKit检测技术总是伴随着Rootkit技术的发展而发展的,检测技术的发展也迫使WindowsRootKit技术不断更新。

07-Rootkit技术

07-Rootkit技术
Rootkit技术 技术
烟台大学 网络中心 万红波
系统监控技术与反监控
系统监控可以暴露绝大部分的病毒
进程监控 网络端口监控 网络流量监控
Rootkits最早是一组用于UNIX操作系统的工具 集,黑客使用它们隐藏入侵活动的痕迹。
Rootkit技术 技术
Rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities. Rootkit技术的核心是躲避各种检测。 Rootkit的分类:
新技术层出不穷,并逐步的应用到病毒软件的 编写中。
Rootkits: Subverting the Windows Kernel ROOTKITS--WINDOWS内核的安全防护 内核的安全防护
工作在用户态的相关技术,躲避检测;
3. User-mode Rootkits
比如,劫持系统调用的方法;
用户态的检测程序
利用系统调用获得进程信息
Rootkit
劫持系统调用过程
内核服务 通常通过释放动态链接库(DLL)文件,并将它们注入到其它软件及 系统进程中运行,通过HOOK方式 方式对消息进行拦截,使得检测程序返 方式 回错误的信息,达到隐藏文件和进程的目的;
HOOK技术 技术
Windows操作系统是建立在事件驱动机制之上的,系统各部分之 间的沟通也都是通过消息的相互传递而实现的。 在通常情况下,应用程序只能处理来自进程内部的消息或是从其 他进程发过来的消息,如果需要对在进程外传递的消息进行拦截 处理就必须采取一种被称为HOOK(钩子)的技术。 钩子的本质是一段用以处理系统消息的程序,通过系统调用,将 其挂入到系统,在对特定的系统事件(比如键盘事件)进行Hook; 一旦发生已Hook的事件,对该事件进行Hook的程序就会收到系统 的通知,这时程序就能在第一时间对该事件做出响应。

基于内核Rootkit的恶意网页防护系统

基于内核Rootkit的恶意网页防护系统

基于内核Rootkit的恶意网页防护系统摘要:随着Internet的飞速发展,恶意网页已经成为影响网络安全的主要问题之一。

Rootkit是一种基于Windows分层驱动模型的技术。

介绍了一种基于Rootkit技术的恶意网页防护系统的设计,对恶意网页防护的研究具有一定的参考价值。

关键词:恶意网页;防护;Rootkit0 引言恶意网页指利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页内的Java Applet、JavaScript脚本语言程序、ActiveX控件等,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户信息,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

为保护系统不受恶意网页侵害,一种方法是检测浏览器当前网页,对下载的网页内容进行扫描,自动检测网页内容。

若发现恶意代码,则禁止访问该网页。

检测网页内容的方法一般类似于病毒扫描的特征匹配方法。

但是特征匹配方法一般只能对已知的恶意网页攻击有效,对未知的恶意攻击则无法判断。

由于特征匹配法只简单地对网页内容进行串扫描,有时也会发生误判的情况。

为躲避特征扫描,恶意网页代码可以代码混淆或加密技术,很容易躲避检测。

恶意网页要达到破坏或入侵系统的目的,有3种可能:分别是下载文件、修改注册表、启动非法进程,如果对这些可能的操作进行监控,那么不论恶意网页如何加密或混淆代码,都会被检测到,从而向用户发出警告,达到系统保护的目的。

1 RootkitRootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码。

Windows Rootkit分为内核模式Rootkit和用户模式Rootkit。

内核模式Rootkit工作在ring0级,具有最高的操作的权限;用户模式Rootkit工作在权用户态,权限较低。

Windows Rootkit是基于Windows分层驱动模型的技术。

分层驱动是指2个或更多的驱动程序,分别创建设备对象,并且形成一个由高到低的设备对象栈,这样可以将功能复杂的驱动程序分解成多个简单的驱动程序.当IRP请求被传送到设备栈的顶部时,可以由顶层的设备对象直接结束IRP请求或者传送到下层的设备对象。

恶意代码剖析和Rootkit检测

恶意代码剖析和Rootkit检测
Joanna Rutkowska, Jamie Butler, flashsky, S.K. Chong, Barnaby Jack, Greg Hoglund, Derek Soder, crazylord
42
STKIT– Shok Toolkit J
Files
Registry keys 这
Devices

Drivers

Processes
Threads

Jobs

Sockets

Security

tokens
23
Windows实行的对象
对象管理器如何跟踪这么多种类的对象? 它不用记住所有对象的类型 对象类型是动态注册的 每个对象类型都有一套操作:open、 create、secure、close
7
反病毒方法的缺陷
很少rootkit是公开的
低可靠性
Rootkits深度隐藏并且非破坏性
少量的rootkit样本被送到反病毒公司
太迟了… Rootkits可以使antivirus的hook失效 (通 常通过文件系统的过滤驱动) AV 定义出来的太晚了 J
8
HIPS方法
两个层面的防御 防止机器被exploits
局限:
攻击者可以通过新的核心权限泄露漏洞绕过 用某种机敏的方式通过符号连接(symbolic link)访问\Device\PhysicalMemory
37
自卫能力:第二步
防止rootkit固定
禁止任何试图创建 HKLM\SYSTEM\CurrentControlSet\*\Type 为类型0或者类型1(改变为4为禁止) 禁止任何试图修改存在的 HKLM\SYSTEM\CurrentControlSet\*\Type

rootkit

Rootkit百科内容来自于:在网络安全中经常会遇到rootkit一词,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。

实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。

通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。

进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。

接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit 的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。

通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。

Rootkit是什么

Rootkit 是什么
Rootkit 是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit 一般都和木马、后门等其他恶意程序结合使用。

在悬念迭起的中外谍战片里,对战双方中的一派势力通常会派遣特工人员潜伏到对手阵营中。

这名卧底人员良好的伪装使得对手对此长时间毫无察觉;为了能够长期潜伏他不贸然采取高风险行为以免过早暴露自己;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。

从某种意义上说这位不速之客就是Rootkit——持久并毫无察觉地驻留在目标计算机中,对系统进行操纵、并通过隐秘渠道收集数据的程序。

Rootkit 的三要素就是:隐藏、操纵、收集数据。

“Rootkit”中root 术语来自于unix 领域。

由于unix 主机系统管理员账号为root 账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。

然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。

因此Rootkit 的初始含义就在于“能维持root 权限的一套工具”。

Windows下Rootkit启动技术的研究与应用的开题报告

Windows下Rootkit启动技术的研究与应用的开题报告一、研究背景与意义Rootkit是一种可以深度隐藏在操作系统中的恶意软件,其使用非常广泛,比如可以用于窃取用户的敏感信息,破坏系统功能等等。

同时,Rootkit也是一种非常难以检测和清除的恶意软件,因为其可以深度隐藏在操作系统中,并且可以不断更新自己的技术来逃避杀毒软件的检查。

因此,研究Rootkit的启动技术对于保障计算机网络安全具有重要的意义。

二、研究内容本研究将重点研究Windows下Rootkit的启动技术,从以下几个方面展开:1. Rootkit的原理及分类首先,对Rootkit的原理及其分类进行研究,掌握基本概念及其工作原理。

2. Windows操作系统的引导过程对Windows操作系统的引导过程进行深入研究,掌握Windows启动时的各项配置、驱动程序和系统服务等。

3. Rootkit启动技术的研究分别从BIOS阶段、Boot Loader阶段、内核阶段等方面研究Rootkit 的启动技术,深入理解Rootkit的各个阶段及其相应的技术。

4. Rootkit启动技术的应用在深入研究Rootkit的启动技术的基础上,探究如何应用研究成果,对系统进行检测和防御措施等。

三、技术路线1. 阅读相关文献,深入了解Rootkit的原理及其工作方式。

2. 深入研究Windows操作系统的引导过程,并使用相关工具对Windows启动流程进行跟踪调试。

3. 对Rootkit的启动技术进行深入研究,包括BIOS阶段、Boot Loader阶段、内核阶段等方面。

4. 进行实验验证,确定Rootkit的启动技术的可行性。

5. 将研究成果转化为系统防御措施,加强系统安全防护能力。

四、研究成果与实用价值本研究的主要成果有如下几点:1. 对Rootkit的启动技术进行深入研究,掌握Rootkit的启动机制及其技术特点。

2. 构建Rootkit启动技术的实验系统,并进行实验验证。

计算机病毒名词解释

计算机病毒名词解释计算机病毒是指一种具有复制自身能力,侵入和破坏计算机系统功能的恶意代码或程序。

它可以通过互联网、移动存储介质、电子邮件附件、下载文件等途径传播。

计算机病毒有着不同的类型和功能,下面对一些常见的计算机病毒名词进行解释。

1. 木马病毒(Trojan Horse):木马病毒伪装成合法程序,但实际上携带了恶意代码。

一旦用户执行了木马病毒,攻击者就可以获取用户计算机中的个人信息、密码等,并对系统进行各种破坏。

2. 蠕虫病毒(Worm):蠕虫病毒在计算机网络中自我复制和传播,不需要用户的干预。

它可以通过网络漏洞、共享文件、电子邮件等方式传播,并且会消耗大量的网络带宽和计算资源,使系统运行缓慢或崩溃。

3. 病毒炸弹(Virus Bomb):病毒炸弹是一种特殊的病毒,它在符合特定条件时才会激活并在短时间内大量复制自身,造成系统资源耗尽或系统瘫痪。

4. 核心病毒(Rootkit):核心病毒可以隐藏在操作系统内核中,使其难以检测和清除。

它可以修改系统文件、窃取信息、远程控制计算机等,对系统造成重大影响并破坏系统安全。

5. 肉鸡(Zombie):肉鸡是指被黑客控制的一台或多台已感染的计算机,黑客可以通过肉鸡协同进行分布式拒绝服务攻击、垃圾邮件发送等违法活动。

6. 扩散病毒(Polymorphic Virus):扩散病毒通过不断变异其自身代码,使其形态不断改变,从而很难被杀毒软件检测和清除。

7. 引导扇区病毒(Boot Sector Virus):引导扇区病毒会感染计算机硬盘的引导扇区,从而在计算机启动时激活,并通过感染其他磁盘来传播。

8. 虚拟机病毒(Virtual Machine Virus):虚拟机病毒是专门针对虚拟化环境(如VMware、VirtualBox等)中的虚拟机进行攻击的病毒。

它可以在虚拟机之间传播或向宿主机发起攻击。

9. 网络蠕虫(Internet Worm):网络蠕虫通过互联网传播,利用网络漏洞自我复制,感染更多的计算机。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

RootkitRootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合;广义而言,Rootkit也可视为一项技术。

目录1.rootkit是什么 (1)2.rootkit的功能 (1)1.rootkit是什么Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。

技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。

在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more.Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。

实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。

通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。

进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。

接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。

通过rootkit 的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。

2.rootkit的功能最早Rootkit用于善意用途,但后来Rootkit也被骇客用在入侵和攻击他人的电脑系统上,电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹,因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。

Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。

Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。

这篇安全资讯就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。

从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。

rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉(特点)。

换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是计算机黑客,还是计算机取证人员。

黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息,或等待时机,伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动!一、背景知识我们通常所说的智能机器,大至超级计算机,中到个人PC,小至智能手机,通常都有两部分组成:硬件和软件。

并且,设备的智能是通过软件来实现的。

所有软件中,有一种是必不可少的,那就是操作系统。

操作系统可以简单理解为一组高度复用的核心程序,一方面,它要管理低层的硬件设备,另一方面,为上层其它程序提供一个良好的运行环境。

真是同人不同命,同为软件,操作系统却享有至高无上的特权:它不仅管理硬件,而且其他所有软件也都受制于它。

因为在应用程序和硬件之间隔着操作系统,所以应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件。

也就是说,对应用程序而言,硬件是不可见的。

当然,凡事是没有绝对的,应用程序绕过操作系统来直接访问硬件也不是不可能的,但这样做会付出高昂的代价。

设想一个软件开发商在开发一款功能丰富的软件,功能本身就够他头痛得了,现在他还得操心某个数据在某个磁道的某个簇上,某个字符在某品牌显示器上的颜色的二进制代码等等繁琐的事情,不用说财力和物力,单说开发周期就是无法容忍的。

所以,现在的应用程序都是使用操作系统提供的简单明了的服务来访问系统的,因为毕竟没有谁愿意自讨苦吃。

二、内核的主要功能从上文中我们已经了解,内核在系统中处于核心枢纽的地位,下面我们具体介绍内核中与Rootkit紧密相关的几个主要功能,更重要的是这些功能对Rootkit的意义所在:进程管理。

进程可以简单理解为运行中的程序,它需要占用内存、CPU时间等系统资源。

现在的操作系统大多支持多用户多任务,也就是说系统要并行运行多个程序。

为此,内核不仅要有专门代码来负责为进程或线程分配CPU时间,另一方面还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。

内核是怎么知道系统中有多少进程、各进程的状态等信息的?就是通过这些数据结构,换句话说它们就是内核感知进程存在的依据。

因此,只要修改这些数据结构,就能达到隐藏进程的目的。

文件访问。

文件系统是操作系统提供的最为重要的功能之一。

内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统,并提供一个一致的接口供上层程序调用。

也就是说,这部分代码完全控制着对硬盘的访问,通过修改内核的这部分代码,攻击者能够隐藏文件和目录。

安全控制。

对大部分操作系统来说,因为系统中同时存在多个进程,为了避免各进程之间发生冲突,内核必须对各进程实施有效的隔离措施。

比如,在MS-Windows系统中,每个进程都被强制规定了具体的权限和单独的内存范围。

因此,对攻击者而言,只要对内核中负责安全事务的代码稍事修改,整个安全机制就会全线崩溃。

内存管理。

现在的硬件平台(比如英特尔的奔腾系列处理器)的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。

举例来说,进程A按照地址0x0030030读取内存,它得到值的是“飞机”;然而,进程B也是按照同样的地址0x0030030来读取内存,但它取得的值却是“大炮”。

像上面这样,同一个地址指向截然不同的两个物理内存位置,并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。

如果这一点利用好了,我们可以让Rootkit躲避调试程序和取证软件的追踪。

上面介绍了内核的主要功能,以及它们对Rootkit的重大意义。

说到这里,我们就要切入正题了,即:只要我们颠覆(即修改)了操作系统的核心服务(即内核),那么整个系统包括各种应用就完全处于我们的掌控之下了。

要想颠覆内核,前提条件是能把我们的代码导入内核。

其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。

所有的rootkit 基本上都是由几个独立的程序组成的,一个典型rootkit包括:1 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。

2 特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。

3 隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。

4 可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。

一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。

还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。

接着使用日志清理工具清理系统日志,消除自己的踪迹。

然后,攻击者会经常地通过安装的后门进入系统查看嗅探器的日志,以发起其它的攻击。

如果攻击者能够正确地安装rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了。

但是,大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事,警觉的系统管理员可以根据这些异常情况判断出系统被侵入。

不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了。

许多rootkit中有一个叫做FIX的程序,在安装rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序。

FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。

如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现。

LINUX ROOTKIT IV前面说过,大部分rootkit是针对Linux和SunOS的,下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。

Linux Rootkit IV是一个开放源码的rootkit,是Lord Somer编写的,于1998年11月发布。

不过,它不是第一个Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。

这些rootkit包括常用的rootkit组件,例如嗅探器、日志编辑/删除工具、和后门程序的。

经过这么多年的发展,Linux Rootkit IV功能变的越来越完善,具有的特征也越来越多。

不过,虽然它的代码非常庞大,却非常易于安装和使用,只要执行make install就可以成功安装。