[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00530] Re: rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00530] Re: rootkit に関するメモ β1
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 14:13:53 +0900

Port139 いはらです。

夏休みの研究課題は rootkit ってところでしょうかね（笑）

DANNA さんは書きました:
>insmodを使うかどうか分からないですが、すくなくともカーネルに読み
>込む部分って、なんらかのファイルに変更を加える必要があると思うん
>です。違うかな？

LKM rootkit 自身のファイルと、それをシステムにロードするファイル
についてはファイルへの変更が必要という意味でしょうか？
例えば、

/etc/rc2.d/S999_rootkit_start

のようなファイルで LKM rootkit をロードしている場合、このファイル
を作成した段階で、/rc.2d のディレクトリ情報に変化が発生しますから、
運がよいと検知できるのかな？

LKM rootkit をロードする手法としてはどんなのが想定できるんでしょ
うかね？

>逃避ついでにもうちょっと遊んでみよう。って旬過ぎてます？

まだマイブームです（笑）


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00531] Re: rootkit に関するメモ β1
  - From: DANNA

References:
- [port139:00529] Re: rootkit に関するメモ β1
  - From: DANNA

Prev by Date: [port139:00529] Re: rootkit に関するメモ β1
Next by Date: [port139:00531] Re: rootkit に関するメモ β1
Previous by thread: [port139:00529] Re: rootkit に関するメモ β1
Next by thread: [port139:00531] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread