LKM Rootkit 项目教程

于 2024-09-07 09:06:15 发布
阅读量348 收藏 5
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00315/article/details/141984264

LKM Rootkit 项目教程

lkm-rootkitA LKM rootkit for most newer kernel versions.项目地址:https://gitcode.com/gh_mirrors/lk/lkm-rootkit

1. 项目介绍

LKM Rootkit 是一个用于大多数现代内核版本的可加载内核模块(LKM)rootkit。该项目的主要目的是通过LKM技术扩展Linux内核功能,并提供一种隐蔽的方式来加载和操作内核模块。LKM Rootkit 可以用于多种场景,包括但不限于隐藏进程、隐藏端口、彻底隐藏LKM模块以及向现有系统LKM模块注入代码。

2. 项目快速启动

2.1 环境准备

在开始之前,请确保你的系统满足以下要求:

  • Linux 操作系统(推荐使用较新的内核版本)
  • 安装了 gccmake 工具
  • 具备 root 权限

2.2 克隆项目

首先,克隆 LKM Rootkit 项目到本地:

git clone https://github.com/croemheld/lkm-rootkit.git
cd lkm-rootkit

2.3 编译和加载模块

进入项目目录后,编译并加载 LKM 模块:

make
insmod lkm-rootkit.ko

2.4 验证模块加载

使用 lsmod 命令查看模块是否成功加载:

lsmod | grep lkm_rootkit

如果模块成功加载,你应该能在输出中看到 lkm_rootkit 模块。

2.5 卸载模块

当你不再需要该模块时,可以使用以下命令卸载它:

rmmod lkm_rootkit

3. 应用案例和最佳实践

3.1 隐藏进程

LKM Rootkit 可以用于隐藏特定进程,使其在 ps 命令中不可见。通过修改内核代码,可以实现对特定进程的隐藏。

3.2 隐藏端口

类似地,LKM Rootkit 也可以用于隐藏特定端口,使其在 netstatss 命令中不可见。这对于需要隐蔽通信的场景非常有用。

3.3 彻底隐藏LKM模块

通过修改内核模块链表,LKM Rootkit 可以实现彻底隐藏自身,使其在 lsmod 命令中不可见。

3.4 向现有LKM模块注入代码

LKM Rootkit 还支持向现有的内核模块注入代码,从而实现对现有模块功能的扩展或修改。

4. 典型生态项目

4.1 Linux 内核开发工具

  • SystemTap: 一个用于动态追踪和分析Linux内核的工具。
  • Kprobes: 允许在内核代码的任意位置插入探测点,用于调试和性能分析。

4.2 安全工具

  • SELinux: 提供强制访问控制(MAC)机制,增强系统的安全性。
  • AppArmor: 另一个Linux安全模块,提供基于路径的访问控制。

4.3 开源社区

  • Linux Kernel Mailing List (LKML): 讨论Linux内核开发的邮件列表。
  • GitHub: 许多开源项目托管在GitHub上,包括LKM Rootkit。

通过这些工具和社区,你可以更深入地了解和参与到Linux内核的开发和安全研究中。

lkm-rootkitA LKM rootkit for most newer kernel versions.项目地址:https://gitcode.com/gh_mirrors/lk/lkm-rootkit

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

lkm-rootkit:作为 linux 内核模块实现的 rootkit
06-08
lkm-rootkit 作为 linux 内核模块实现的 rootkit ##Syscall 表:###NOTICE:此内核模块仅与 64 位 PC 兼容。 如果您的 PC 是 32 位,请不要运行。 加载“rootkit”模块: make -f Makefile sudo insmod rootkit.ko dmesg | tail 要移除模块: sudo rmmod rootkit 为了能够获得root访问权限: After loading the module, Invoke the write function with the last parameter (the count) passed as -1 为了能够隐藏端口: After loading the module, Isssue the following command echo "hp PORT
lkm-rootkit:lkm Rootkit 支持 x8664、arm、mips
07-04
lkm-rootkit an lkm rootkit support x86/64,arm,mips 支持 kernel version 2.6 及 3.x , 支持 x86, x86_64, arm, mips 平台, 支持进程隐藏、进程免杀(root 无法 kill) 支持文件隐藏、文件免杀(root 无法修改、删除) 支持tcpv4/v6端口隐藏、udpv4/v6端口隐藏 支持模块本身隐藏 支持提权 支持应用层接口下发执行功能的命令 源码主体源于国外一位大牛写的 suterusu 项目。 本人在此基础上添加了mips架构的支持,以及进程免杀、文件免杀等功能。
LKM rootkit:Reptile学习
weixin_30485799的博客
06-07 1209
简介 Reptile是github上一个很火的linux lkm rootkit,最近学习了一些linux rootkit的内容,在这里记录一下。 主要是分析reptile的实现 Reptile的使用 安装命令: sudo ./setup.sh install 然后执行下面的命令 /reptile/reptile_cmd show 接着就可以看到/rept...
Backdoor and Linux LKM Rootkit
weixin_30342209的博客
07-21 350
Backdoor and Linux LKM Rootkit(中文) http://www.3our.com 未知 2004-8-9 Backdoor and Linux LKM Rootkit(中文) 翻译:e4gle(大鹰) Backdoor an...
一个基于 LKM 的 Linux 内核级 rootkit 的实现
郭同学如是说
02-27 1601
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
后门技术和Linux LKM Rootkit详细解析
03-04
知道这些之后,我们可以制造我们自己的基于LKMRootkit程序,主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM...
Vixen:基本的Solaris LKM Rootkit
05-16
基本的Solaris LKM Rootkit 这是我去年编写的Solaris rootkit。 它还不完整,但是基础。 隐藏文件,进程和模块。 在Solaris 10 SPARC和x86上进行了测试。 运行compile.sh应该配置您的系统以供使用。 在那之后运行/...
在Linux Kernels 2.6.x / 3.x / 4.x / 5.x中运行的LKM rootkit-C/C++开发
05-27
Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核5.7之后支持,没有kallsyms_lookup_name。 BrokePkg Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核...
Diamorphine:Linux Kernels 2.6.x3.x4.x5.x(x86x86_64和ARM64)的LKM rootkit
01-31
Diamorphine:Linux Kernels 2.6.x3.x4.x5.x(x86x86_64和ARM64)的LKM rootkit
Wukong开源LKM Rootkit:深度隐身Linux系统
标题“LKMrootkitWukong.zip”和描述中提及的是一套运行在Linux平台上的LKM(Loadable Kernel Module,可加载内核模块)rootkit,名为“Wukong”。从这些信息中,我们可以挖掘出一系列相关的知识点,包括Linux内核...
LKMrootkitWukong.zip
07-19
Rootkit 是隐者,负责隐身,它是由二进制代码、脚本和配置文件组成的一套工具,能够使用它隐秘地保持对计算机的访问权限,以便在不引起系统管理员注意的情况下发布命令、搜索数据。Wukong是一套开源的、运行在Linux平台上的LKM rootkit,主要功能如下:1. 隐藏Linux进程。2. 隐藏TCP连接。3. 隐藏文件和目录。4. 隐藏LKM自身。5. 通过特殊的口令,建立与Backdoor之间的TCP连接。Enjoy Hacking! 标签:Wukong
经典rootkit
11-07
很经典的rookits技术,就是有点旧了,不过学习经验还是很好的。
深入理解rootkit 攻击
11-22
这是我学习rootkit攻击时候选的 几篇比较好的资料,有助于深入理解和学习rootkit攻击的原理。
后门技术和Linux LKM Rootkit详解
zhxlinux的专栏
03-04 1044
在这篇文章里, 我们将看到各种不同的后门技术,特别是 Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们 自己的基于LKMRootkit程序, 主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。序言在一些黑客组织中, Rootkit (或者backdoor) 是一
linux lkm rootkit常用技巧
weixin_30625691的博客
06-12 342
简介 搜集一下linux lkm rootkit中常用的一些技巧 1、劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数,比如sys_close的地址来寻找 unsigned long ** get_sys_call_table(void) { unsigned long **entry = (unsigned long **)PAGE_OFFSET; ...
从linux内核初窥LKM(抛砖引玉之rootkit隐藏进程 or tcp连接原理)
milu_Sec的博客
12-30 1808
在前面的文章中我们介绍了如何使用rootkit(那篇文章标题打错了,少了个t)以及简单介绍了什么是rootkit,为了让读者更深入的了解,于是我们开了本专题,来一起探索学习rootkit的原理以及如何手搓一个rootkit,之后会出一系列的文章围绕rootkit原理来写。今天先介绍如何拦截系统调用,修改命令返回结果。上一篇可能对于什么是rootkit解释的不够清楚,这里重新解释一下,不过还是建议读者配合上一篇一起食用参考。
权限维持-Linux-内核加载 LKM-Rootkit 后门
最新发布
金灰的博客
07-08 1313
免责声明:本文仅做技术交流与学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柏珂卿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值