[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00511] Re: LKM rootkit の検知方法

To: port139@xxxxxxxxxxxxx
Subject: [port139:00511] Re: LKM rootkit の検知方法
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 13 Aug 2001 10:17:51 +0900

いはらです。

もっとプログラミングの勉強しておけばよかったと思う今日この頃・・・

Hideaki Ihara さんは書きました:
>LKM としてロードされた rootkit が、システムコールのテーブルを書き換
>えるので、テーブル値の変化から検知できるってことでしょうかね？

一般的に？よく”フックする”という言い方がされると思いますが、これは
内部的な処理としてはどう動いているのでしょうか？

UNIX では システムコールのテーブルを書き換えて、それが呼ばれた時に
別の処理がされることを フック と表現するのでしょうか？

Windows NT/2000 の場合も同じことがされてるのでしょうか？それとも、
なにかトリガーのようなものを仕掛けておくんでしょうか？


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00512] Re: LKM rootkit の検知方法
  - From: DANNA
- [port139:00513] Re: LKM rootkit の検知方法
  - From: Sonoda Michio
- [port139:00514] Re: LKM rootkit の検知�方法
  - From: nekurai

References:
- [port139:00510] LKM rootkit の検知方法
  - From: Hideaki Ihara

Prev by Date: [port139:00510] LKM rootkit の検知方法
Next by Date: [port139:00512] Re: LKM rootkit の検知方法
Previous by thread: [port139:00510] LKM rootkit の検知方法
Next by thread: [port139:00512] Re: LKM rootkit の検知方法
Index(es):
- Date
- Thread