[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00533] Re: rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00533] Re: rootkit に関するメモ β1
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 15:37:46 +0900

Port139 伊原です。

carbonaite って興味深いですねぇ...

DANNA さんは書きました:
>http://la-samhna.de/library/lkm.html
>
>参照したのはここらあたり。kstatを含めて検出できそうなこと書いてま
>すよね。

私の理解が間違ってなければ、kstat も kern_check もカーネルの syscall
テーブルが変更されていないかをチェックするようになってますよね？

疑問なのは、このチェックの方法なんですけどシステムコールを利用せず
に比較が可能なんでしょうか？
＃あぁーコード読めたらすぐわかるんだろうなぁ(T_T)


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00536] Re: rootkit に関するメモ β1
  - From: DANNA

References:
- [port139:00529] Re: rootkit に関するメモ β1
  - From: DANNA

Prev by Date: [port139:00532] Re: 日経 ITPro の記事
Next by Date: [port139:00534] Re: 日経 ITPro の記事
Previous by thread: [port139:00531] Re: rootkit に関するメモ β1
Next by thread: [port139:00536] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread