[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00529] Re: rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00529] Re: rootkit に関するメモ β1
From: DANNA <danna@xxxxxxxxxxx>
Date: Tue, 14 Aug 2001 14:01:31 +0900

ダンナ＠サポセンです。

書類書きが続いたので現実逃避でLKM RootKitで遊ぶことにしました。

いくつかドキュメントを読んでみて思ったのですけど、LKM RootKitって
ファイルの置き換えって本当に存在しないのでしょうか？

insmodを使うかどうか分からないですが、すくなくともカーネルに読み
込む部分って、なんらかのファイルに変更を加える必要があると思うん
です。違うかな？

Knark と adore あたりで確認してみようと思ったら、SecurityFocus繋
がんない。

http://www.foundstone.com/rdlabs/proddesc/carbonite.html

http://la-samhna.de/library/lkm.html

参照したのはここらあたり。kstatを含めて検出できそうなこと書いてま
すよね。

あと、Loadable Kernel Module じゃなくって、kernelそのものを完全に
書き換えちゃう手法ってどうですか？シェルまで書き換えて、どのバイ
ナリが動いてるかさえも分からないとか。

逃避ついでにもうちょっと遊んでみよう。って旬過ぎてます？

+----------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+  Security Stadium
+  http://sec-stadium.hawkeye.ac/
+----------------------------------------+

Follow-Ups:
- [port139:00530] Re: rootkit に関するメモ β1
  - From: Hideaki Ihara
- [port139:00533] Re: rootkit に関するメモ β1
  - From: Hideaki Ihara

References:
- [port139:00524] rootkit に関するメモ β1
  - From: Hideaki Ihara

Prev by Date: [port139:00528] Re: 日経 ITPro の記事
Next by Date: [port139:00530] Re: rootkit に関するメモ β1
Previous by thread: [port139:00524] rootkit に関するメモ β1
Next by thread: [port139:00530] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread