[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00540] Re: rootkit に関するメモ β1

To: port139@xxxxxxxxxxxxx
Subject: [port139:00540] Re: rootkit に関するメモ β1
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 14 Aug 2001 20:34:27 +0900

こんばんは、伊原です。

DANNA さん、kstat はどの OS 上で使ってます？
とりあえず、RedhHat 7.0、7.1 で make に失敗するのでバイナリを検索中。

DANNA さんは書きました:
>modhideでモジュールを隠すと、やっぱりkstatでも参照できません。確実
>な方法は、やはり SystemCallTable の整合性チェックだと思います。以下
>に実行例をあげます。

やっぱり駄目ですかぁ。
Solairs でも同様のツールってあるんでしょうかね？
理論的には同じ仕組みで検出可能ですよね多分・・・

># chkrootkit-0.33ではknarkは検出できませんでした。

というわけで、この手法では駄目ということが判明ですな。


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00543] Re: rootkit に関するメモ β1
  - From: DANNA

References:
- [port139:00539] Re: rootkit に関するメモ β1
  - From: DANNA

Prev by Date: [port139:00539] Re: rootkit に関するメモ β1
Next by Date: [port139:00541] Alamo(トロイの木馬「 K nark」の対策ソフト)
Previous by thread: [port139:00539] Re: rootkit に関するメモ β1
Next by thread: [port139:00543] Re: rootkit に関するメモ β1
Index(es):
- Date
- Thread