[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00537] Re: rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00537] Re: rootkit に関するメモ β1
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 17:05:33 +0900

Port139 伊原です。

kstat の make が通らないのは私の人格エラーなのかしら（号泣）

DANNA さんは書きました:
>一方の kstat ですが、こいつは多機能です。インターフェースの状態、
>プロセスの表示、プロセスの詳細情報の表示、LKMの表示、system call
>tableの表示など。

はい、質問。
LKMの表示なんですけど、例えば、insmod modhide.o として knark の
モジュールを隠すようにした場合でも kstat を利用するとモジュール
を確認することができるということでしょうか？

>そういえば、単に knark を動かしただけのホストは、chkrootkitでは何
>も情報が得られなかったんですけど、AD200Xではどのような手法を紹介
>してたのでしょう？(直メールでも良いから教えて！)

いえたんに”chkrootkit”でカーネルモードの rootkit を検知できる
って話をどなかたがされていただけで、具体的にどういった手法という
お話は出ていませんでした。

knark でモジュールを隠したりすると chkrootkit でも検出できたりす
るんでしょうか？



---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00539] Re: rootkit に関するメモ β1
  - From: DANNA

References:
- [port139:00536] Re: rootkit に関するメモ β1
  - From: DANNA

Prev by Date: [port139:00536] Re: rootkit に関するメモ β1
Next by Date: [port139:00538] Re: 日経 ITPro の記事
Previous by thread: [port139:00536] Re: rootkit に関するメモ β1
Next by thread: [port139:00539] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread