简介 Reptile是github上一个很火的linux lkm rootkit,最近学习了一些linux rootkit的内容,在这里记录一下. 主要是分析reptile的实现 Reptile的使用 安装命令: sudo ./setup.sh install 然后执行下面的命令 /reptile/reptile_cmd show 接着就可以看到/reptile目录下的一些东西了,这是项目安装在系统中的一些文件,在安装完成后,默认是隐藏的.具体的执行命令就不再这里赘述了 会出现下面这些程序 Re…

简介 搜集一下linux lkm rootkit中常用的一些技巧 1.劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数,比如sys_close的地址来寻找 unsigned long ** get_sys_call_table(void) { unsigned long **entry = (unsigned long **)PAGE_OFFSET; ) { if (entry[__NR_close] == (unsigned long *)sys_close) { return ent…

2010-01-15 10:32 chinaitlab chinaitlab 字号:T | T 在这篇文章里, 我们将看到各种不同的后门技术,特别是 Linux的可装载内核模块(LKM). 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现.知道这些之后,我们可以制造我们 自己的基于LKM的Rootkit程序, 主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方. AD:2014WOT全球软件技术峰会北京站 课程视频发布 简介: 在这篇文章里,…

目录 . Rootkit Hunter Introduce() . Source Code Frame() . do_system_check_initialisation() . do_system_commands_checks() . do_rootkit_checks() . do_network_checks() . do_local_host_checks() . do_app_checks() 1. Rootkit Hunter Introduce rkhunter (Rootki…

仅作LKM rootkit研究之用,滥用后果自负. 查看支持版本是否为2.6.x/3.x/4.x: uname -r 下载代码: git clone https://github.com/m0nad/Diamorphine 进入目录编译: cd Diamorphine; make 安装模块: insmod diamorphine.ko 卸载: kill -63 0; rmmod diamorphine 使用:…

目录 . 入侵分析简介 . 基于日志的入侵分析技术 . 入侵分析CASE . 入侵分析CASE . 入侵分析CASE . 入侵分析CASE 1. 入侵分析简介 Windows 清除日志的方法 wmic nteventlog where "Logfilename = 'Application'" Call ClearEventLog wmic nteventlog where "Logfilename = 'Security'" Call ClearEventLog…

目录 . Rootkit相关知识 . BROOTKIT源码分析 . 关键技术点 . 防御策略 1. Rootkit相关知识 关于rootkit的相关其他知识,请参阅以下文章 http://www.cnblogs.com/LittleHann/p/3918030.html http://www.cnblogs.com/LittleHann/p/3910696.html http://www.cnblogs.com/LittleHann/p/3879961.html http://www.cnblo…

目录 . Chkrootkit Introduce . Source Code Frame . chklastlog.c . chkwtmp.c . ifpromisc.c . chkproc.c . chkdirs.c . check_wtmpx.c . strings.c . chkrootkit的使用场景及其局限 1. Chkrootkit Introduce chkrootkit是一个Linux系统下的查找检测rootkit后门的工具,需要明白的是,chkrootkit是一款ring3级…

Android Security¶ 确认签名¶ Debug签名: $ jarsigner -verify -certs -verbose bin/TemplateGem.apk sm 2525 Sun Jun 02 23:44:06 CST 2013 assets/XmlPullParser X.509, CN=Android Debug, O=Android, C=US [证书的有效期为 12-10-10 下午9:48 至 42-10-3 下午9:48] ... sm 544036 Sun J…

最近又学习了一下,感觉还有好多东西不知道,以后积累多一点再从新写一个. 在android上捣鼓了一下linux的内核rootkit,虽然中途遇到了无数坑,至今也没有完全写完,打算先好好啃一段时间linux内核,和理解一下android的linux内核的安全机制再继续写.但还是收获不小,想分享一下学习的一点小心得. 一个完整的内核rootkit大致可分为3个部分,分别为一:自身隐藏,二:信息收集,三:系统攻击.本文也打算从这三方面入手,其中自身隐藏和pc端大体一致.鉴于pc比android运行方便…