Rootkit

最新推荐文章于 2025-05-08 15:37:02 发布
最新推荐文章于 2025-05-08 15:37:02 发布
阅读量1k 收藏
点赞数
分类专栏: Linux学习日志 网络安全 c++学习日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42107987/article/details/89529503
版权

一、rootkit介绍
Rootkit的作用在于“能维持root权限的一套工具”。它的目的是隐藏自己以及恶意程序,达到长期在目的主机存在并收集信息的目的。Rootkit一般和后门等程序结合使用,帮忙隐藏后门的踪迹。
通常,攻击者通过远程攻击获得root访问权限(譬如密码猜测、破解、缓冲区溢出、0-day漏洞),然后安装后门,便于之后回访,安装rootkit,隐藏踪迹,收集信息,便于长期回访以及获得对其他系统的访问权限。

二、linux中的权限问题
首先,在Linux系统的DAC中,所有的操作实质都是在进行进程访问文件的操作。而在验证操作时,主要关注两方面:

  • 进程的ID
  • 文件的ID

根据情况的不同会有以下的情况:

  • 进程有效ID为0,则为root权限,允许访问
  • 若进程的有效ID与文件所有者ID相同,则检查文件所有者访问位;
  • 若进程组有效ID与文件组ID相同,则检查文件组访问位;
  • 若都不相同,则检查文件其他用户访问位;

以上时一步一步来的,于是我们知道了进程有进程ID与组ID;文件则有owner ID、组ID、other ID每个ID有三个访问位:读写与执行。拥有onwer权限可用chmod修改其访问位。

上面提到了“有效ID”这个概念,因为有的进程在运行时需要改变自身的权限,而改变权限的方式就是通过修改用户ID或组ID,所以为了达到这种机制,又将ID分为了实际(Real ID)、有效和保存的三种。实际ID表明了我们实际是谁,有效的是运行时的身份,通常这两者是相同的。保存的ID包含了有效ID的副本。

我们可用setuid命令使让执行该命令的用户以该命令拥有者的权限去执行。

三、篡改系统调用
3.1系统调用流程
rootkit是让我们用来隐藏后门程序的,如我们修改ls命令使其不输出我们的程序。为了修改对面的库函数,我们得理解系统调用的过程。
在这里插入图片描述

  • 应用程序 代码调用系统调用( xyz ),该函数是一个包装系统调用的 库函数
  • 库函数 ( xyz )负责准备向内核传递的参数,并触发 软中断 以切换到内核;软中断指令int 0x80执行时,系统调用号会被放入eax寄存器
  • CPU 被 软中断 打断后,执行 中断处理函数 ,即 系统调用处理函数 ( system_call);
  • 系统调用处理函数 查询eax中的调用号,根据SCT的基址找到并调用系统调用服务例程 ( sys_xyz )

因此根据以上流程,想要修改sys_xyz便需要先找到SCT再计算调用地址,那么如何找到SCT的地址呢?

3.2 查找SCT
先看32位系统:

  • 查询idtr寄存获得IDT地址(IDT = Interrupt Descriptor Table 中断描述表)
//idt结构
struct idt
  {
  unsigned short limit;
  unsigned int base;
  }__attribute__((packed));
__asm__ __volatile__("sidt %0":"=m"(idt_table));
  • IDT存放的是中断门,中断门中的前两字节和后两字节存放的是中断向量地址
//中断门结构体
struct idt_gate { 
unsigned short off1; 
unsigned short sel; 
unsigned char nome,flags; 
unsigned short off2; }__attribute__((packed));
  • 找到0x80地址的系统调用处理例程地址,然后从其中找寻SCT地址
unsigned int get_sys_call_table_entry(unsigned int sys_call_entry,char * exp,char exp_len,unsigned int cope)
{
char * begin=sys_call_entry;
char * end=sys_call_entry+cope;
for(;begin<end;begin++)
{
 if(begin[0]==exp[0]&&begin[1]==exp[1]&&begin[2]==exp[2])
  return *((unsigned int *)(begin+3));
}
return 0;
}

64位:
64位有两个表,分别是64位的系统调用表SCT和32位的,其中32位的与上面相同,64位的使用特殊的sysenter/syscall指令。

3.3 篡改系统调用
获得SCT后,我们就能修改对应的系统调用地址了。
需要注意的是,SCT本身是有写保护的,所以,直接去修改会报错。首先要对它取消写保护。

//可以通过设置cr0寄存器的WP位为0,禁止CPU上的写保护。当然,写完之后,还是要将恢复写保护,防止SCT被其他进程意外篡改。
void disable_write_protection(void)
{
        unsigned long cr0 = read_cr0();
        clear_bit(16, &cr0);
        write_cr0(cr0);
}

void enable_write_protection(void)
{
        unsigned long cr0 = read_cr0();
        set_bit(16, &cr0);
        write_cr0(cr0);
}

参考连接:https://www.zhihu.com/people/ustcsse308/activities

经典rootkit
11-07
很经典的rookits技术,就是有点旧了,不过学习经验还是很好的。
apache-rootkit:具有 rootkit 功能的恶意 Apache 模块
06-23
apache-rootkit 具有 rootkit 功能的恶意 Apache 模块 C. Papathanasiou 2015 通过运行编译: $ apxs -c -i mod_authg.c 然后在 Apache 的 apache2.conf 文件中激活它,例如 URL /authg 如下: # apache2.conf...
Rootkit介绍
weixin_34400525的博客
03-05 483
  Rootkit 是一种特殊类型的 malware(恶意软件)。   Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不能删除它们。   虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。   Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的...
Linux后门,不止于藏(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
05-08 859
目录下的公钥,看看有没有不属于你的“客人”。防范Rootkit,需要从源头做起,加强安全意识,及时更新系统和软件,避免下载和安装可疑的文件,才能最大限度地降低风险。他们会利用已有的漏洞,提升自己的权限,或者直接修改系统文件,让自己拥有root权限,而你却一无所知。高级的攻击者会精心构造恶意脚本,隐藏在看似无害的任务中,或者利用Crontab的特性,让后门在特定时间、特定条件下触发,防不胜防。真正的威胁在于,攻击者可以利用PAM的灵活性,定制各种身份验证绕过方案,甚至可以伪造身份验证信息,让你根本无法察觉。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit是一种高级的系统安全工具,它主要用于隐蔽和保护恶意软件活动,使它们不被常规的安全软件检测到。在本文中,我们将深入探讨Rootkit如何使用Hook技术来隐藏端口,以及如何通过驱动加载实现这一目标。我们还将...
简易Rootkit - C#客户端与Windows驱动程序.zip
11-30
简易rootkit,麦洛克菲期间毕设,C#客户端+windows驱动 简易Rootkit的毕业设计项目涉及到系统级编程,特别是Windows驱动开发,这是一个高级且敏感的领域。以下是一个基于C#客户端和Windows驱动程序的基本项目框架。...
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
"Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e" 这个标题表明我们关注的主题是关于2019年版的Rootkits和Bootkits技术的英文版专业资料。"rootkits and bootkits 2019 Enlish edition" 描述...
(rootkit)FindProcess_windowskernel_rootkit_源码.zip
10-25
【标题】:“(rootkit)FindProcess_windowskernel_rootkit_源码.zip”是一个与Windows内核级别的Rootkit相关的源代码包。Rootkit是一种恶意软件技术,它的主要目标是隐藏自身和其他恶意程序的存在,使得普通安全工具...
RootKit学习教程
07-01
全面,严谨。看雪出品必是精品。 包含源代码和讲解,通俗易懂。菜鸟必看。。
rootkit
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 1422
第一章    背景 1.1 Rootkit的概念 1.2 Rootkit及其检测技术的发展现状 1.3 Rootkit检测工具介绍 1.4本书所涉及的概念和工具 第二章    Rootkit与检测技术相关的硬件基础 2.1 三环和零环 2.2 保护模式的内存保护 2.3  IDT/GDT/LDT 2.4 系统调用环境切换 第三章
什么是rootkit
weixin_34019929的博客
08-26 547
Rootkit自身也是***后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit***就是信息世界里的 AIDS(爱滋病),一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的...
什么是 Rootkit
南北极之间
07-06 5968
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
rootkit 综述
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
09-03 1572
在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a compute
rookit
woshidaniu的专栏
06-27 476
推荐:NT操作系统的Rootkit技术初探目前偶对Windows下的Rootkit技术在学习的过程中有些心得,在这里写出来和各位朋友进行分享。Rootkit最早是起源于UNIX,出现在20世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了Rootkit这个名称。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing N
Rootkits,黑客之颠!
2402_84205067的博客
05-23 994
以上就是四个月入门内核安全的学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。大家在学习的时候,可以结合自己的实际情况进行缩短和增加学习时间。比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。大家对这份学习路线有什么疑问都可以在评论区告诉我哦。
FreeBSD内核Rootkit编程指南
"BSD ROOTKIT.pdf - 一本关于在FreeBSD操作系统下进行内核模式rootkit编程和开发的初稿指南,由Joseph Kong撰写,sniper翻译,qvel整理。内容涉及内核黑客技术,旨在教育读者理解并掌握rootkit的创建与设计。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值