本文介绍了Rootkit的概念和其隐藏进程的特性,Rootkit旨在难以被检测和删除,能隐藏任何软件。作者通过分析内核模块加载过程,展示了如何在Linux系统中注册模块通知处理函数,实现文件隐藏。通过对getdents系统调用的拦截,过滤特定文件,从而达到隐藏的效果。
点击蓝字 关注我们
# 前言
在家闲着无聊写了一个隐藏文件隐藏进程的驱动模块就是大家俗称的rootkit技术
#Rootkit介绍
Rootkit 是一种特殊类型的 malware(恶意软件),Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。攻击者可以找出目标系统上的现有漏洞。漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个Rootkit。这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。找出 Rootkit 十分困难。有一些软件包可以检测 Rootkit。这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit。基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit。一个流行的基于行为的 Rootkit 检查程序是 Rootki
最低0.47元/天 解锁文章
扫一扫
1354
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
