一些rootkit攻击的工作原理是在其中插入一个新的二进制格式 格式化列表并向内核提供恶意内容 每次都返回错误代码ENOEXEC的处理程序 调用。由于新的处理程序插入到头部 格式列表,每次执行恶意处理程序 执行新进程。列表的大小在系统之后是不变的 启动,仅在新的二进制格式发生时更改 安装。由于此攻击会插入新的二进制格式 更改格式列表的长度。 我在一篇文章中读过这篇文章。我想知道内核3也是如此吗?如果是,我如何检查格式列表的长度? 我在内核3.11.4中找到了这个结构:
/*
* This structuredefines the functions that are used to load the binary formats that
* linux accepts.
*/
struct linux_binfmt {
struct list_head lh;
struct module *module;
int (*load_binary)(struct linux_binprm *);
int (*load_shlib)(struct file *);
int (*core_dump)(struct coredump_params *cprm);
unsigned long min_coredump; /* minimal dump size */
};
是lh列出的是formats list?
答案 0 :(得分:0)
我不知道如何计算内核3中的格式,但如果你的电脑被rootkit攻击,尽管知道格式的数量,你也无法做任何事情。您阅读本文的文章提出了在尝试添加新格式(不变违规)时检测rootkit攻击的方法。