[閒聊] 2017.W10 - Rootkit

看板NetSecurity (資安資訊安全)作者CMJ0121 (請多指教!!)時間7年前 (2017/03/07 22:36)推噓3(3推 0噓 0→)

留言3則, 3人參與討論串1/1

2017.W10 Rootkit > 朕不給的你看不到 ## 前言 ## 終於換講底層的東西了 ... ## 內容 ## Rootkit[0] 一種用來影藏行蹤的軟體或者廣義來說是一種技術在各作業系統中都存在各種程度的 Rootkit 用來影藏資訊根據不同的技術細節來說可以將 Rootkit 分為若干程度： - User-Space[1] - Kernel-Space - Firmware and/or Hardware 在 User Space 的程度來看，Rootkit 的技術是直接串改監控程式的結果透過利用函式庫注入[2] 等方式將監控程式的結果過濾而達到影藏行蹤的目的但如同他的攻擊方式需攻擊特定的程式在使用不同的系統函數[3]的監控程式下則依然無法達到完全匿蹤的目的而在 Kernel Space 的角度來看 Rootkit 攻擊的則是作業系統最底層的系統函數這個程度的函式庫是可呼叫的最底層函數藉由攥改這一層的結果過濾特定的資訊來達到匿蹤的目的而最後的 Firmware/Hardware 層級則是最底層的 Rootkit 從根本上就不讓作業系統發現特定的硬體像是可以虛擬出來一個偽造的硬碟而 Firmware 只允許特定狀態下才允許存取這個硬碟空間在這種 Rootkit 下無法透過任何系統函數讀到這個硬碟來達到將資料匿蹤的目的以下是幾種在個作業系統的 Rootkit - Linux/LD_PRELOAD rootkit[4] - MicroSoft/Alureon[5] - Mac/rubilyn[6] [0]: https://zh.wikipedia.org/wiki/Rootkit [1]: https://zh.wikipedia.org/wiki/%E4%BD%BF%E7%94%A8%E8%80%85%E7%A9%BA%E9%96%93 [2]: https://en.wikipedia.org/wiki/DLL_injection [3]: https://en.wikipedia.org/wiki/System_call [4]: http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/ [5]: https://en.wikipedia.org/wiki/Alureon [6]: http://seclists.org/fulldisclosure/2012/Oct/55 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1488897362.A.060.html