[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00510] LKM rootkit の検知方法

To: port139@xxxxxxxxxxxxx
Subject: [port139:00510] LKM rootkit の検知方法
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 13 Aug 2001 10:12:00 +0900

Port139 伊原です。

AD200x の際に、chkrootkit[*1] でカーネルモードの rootkit を検知できる
というお話がちらっと出ていましたので、この週末少し調べていたのですが、
カーネルモードの rootkit を調べる方法として kstat[*2] を利用する手法
があるんですね。

Detecting Loadable Kernel Modules (LKM)
http://members.prestige.net/tmiller12/papers/lkm.htm

プログラミングに詳しくないので、言葉が適切でないのかもしれませんが、
LKM としてロードされた rootkit が、システムコールのテーブルを書き換
えるので、テーブル値の変化から検知できるってことでしょうかね？

この手法って Windows NT/2000 でも利用できないんでしょうか？

なぜ kstat がテーブルの値を読み取る段階で、本来の値を見せるように細
工していないのか？という素朴な疑問もあるんですけど...

*1 http://www.chkrootkit.org/
*2 http://s0ftpj.org/en/site.html


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00511] Re: LKM rootkit の検知方法
  - From: Hideaki Ihara

Prev by Date: [port139:00509] Re: port139 呑み会
Next by Date: [port139:00511] Re: LKM rootkit の検知方法
Previous by thread: [port139:00497] Re: NTrootkit
Next by thread: [port139:00511] Re: LKM rootkit の検知方法
Index(es):
- Date
- Thread