[port139:00536] Re: rootkit に関するメモ β1

[DANNA <danna@xxxxxxxxxxx>]

ダンナ＠サポセンです。

Carbonite と kstat を試してみました。

Carbonite ですけど、ドキュメントによると task_struct からプロセス
情報を得るみたいです。機能的にも lsof や ps の対rootkit版みたいな
カンジです。

一方の kstat ですが、こいつは多機能です。インターフェースの状態、
プロセスの表示、プロセスの詳細情報の表示、LKMの表示、system call
tableの表示など。

ただし残念なことに、改ざんされたLKM情報を復旧させることは出来ませ
んでした。ただし system call table を参照することにより、tableに
なんらかの改ざんが加えられていることは分かります。もっともシステ
ムが正常状態の時のkstatの情報と照らし合わせることになりますが。

あとは隠されたプロセスに関しては、とりあえずどちらのツールでも知
る事は可能でしょう。これも、これらのツールに対抗する手法が開発さ
れなければですけど。

そういえば、単に knark を動かしただけのホストは、chkrootkitでは何
も情報が得られなかったんですけど、AD200Xではどのような手法を紹介
してたのでしょう？(直メールでも良いから教えて！)

とま、とりあえずこんな所です。

+----------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+  Security Stadium
+  http://sec-stadium.hawkeye.ac/
+----------------------------------------+