[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00539] Re: rootkit に関するメモ β1
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00539] Re: rootkit に関するメモ β1
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Tue, 14 Aug 2001 18:26:27 +0900
ダンナ@真面目な会社員モードです。
いはらさん
> LKMの表示なんですけど、例えば、insmod modhide.o として knark の
> モジュールを隠すようにした場合でも kstat を利用するとモジュール
> を確認することができるということでしょうか?
modhideでモジュールを隠すと、やっぱりkstatでも参照できません。確実
な方法は、やはり SystemCallTable の整合性チェックだと思います。以下
に実行例をあげます。
# chkrootkit-0.33ではknarkは検出できませんでした。
[root@decoy KSTAT]# kstat -M
Module Address
knull 0xc3014000
knark 0xc3011000
3c509 0xc300e000
0xc01fe3c0
[root@decoy KSTAT]# lsmod
Module Size Used by
knull 100 0 (unused)
knark 5944 0 (unused)
3c509 5812 1 (autoclean)
[root@decoy knark-0.50]# insmod modhide.o
modhide.o: init_module: Device or resource busy
[root@decoy knark-0.50]# lsmod
Module Size Used by
knark 5944 0 (unused)
3c509 5812 1 (autoclean)
[root@decoy knark-0.50]# lsmod
Module Size Used by
knark 5944 0 (unused)
3c509 5812 1 (autoclean)
[root@decoy knark-0.50]# insmod modhide.o
modhide.o: init_module: Device or resource busy
[root@decoy knark-0.50]# lsmod
Module Size Used by
3c509 5812 1 (autoclean)
[root@decoy KSTAT]# kstat -M
Module Address
knull 0xc3016000
3c509 0xc300e000
0xc01fe3c0
+----------------------------------------+
+ DANNA @ SAPOSEN
+ e-mail : danna@xxxxxxxxxxx
+ web site : http://www.hawkeye.ac/micky
+ Security Stadium
+ http://sec-stadium.hawkeye.ac/
+----------------------------------------+