我正在检测内核级别的rootkit,并选择Adore-Ng作为我的第一个测试rootkit。在知道了这个rootkit如何隐藏自己以及Linux内核中的其他进程(2.4,2.6版本)之后,我现在想知道它是如何加载到内核中的。
具体来说,我想知道是否
1。它调用Linux内核中的任何现有API OR
2。它是否有任何硬编码的汇编指令,一旦编译它就会被加载到内核中?
我浏览了Adore-Ng的源代码,但在这方面找不到任何东西,只能看到它是如何实现隐藏目标的。
任何人都可以告诉/建议我如何找到它的加载行为? 感谢。
答案 0 :(得分:1)
Adore rootkit的核心是恶意模块,因此要将其加载到内核中,首先需要root访问权限,然后运行insmod(或modinfo)。 加载Adore的另一种方法是感染受信任的内核模块,如Phrack卷0x0b,问题0x3d中所述。它不会像以前那样隐秘,因为不会调用更清洁的模块。由于您浏览了源代码,我相信一旦Adore模块感染了合法模块,您就有能力修改源以调用清理器模块。 (确保你也没有留下模块感染的痕迹;清洁工不会选择那个)。 任何值得他的盐的管理员都会使用签名模块,因此不要指望这些方法在2.6主线之后的生产内核上工作。