[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00553] Re: rootkit に関するメモ β1
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00553] Re: rootkit に関するメモ β1
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Wed, 15 Aug 2001 13:33:57 +0900
ダンナ@サポセンです。
いはらさん
> http://www.chkrootkit.org/ の Web を見てみたんですが、knark は
> 書いてないんですけど、The following rootkits, worms and LKMs
> are currently detected: の部分に
> lrk3, lrk4, lrk5, lrk6 (and some variants);
> Adore LKM;
> という表記はありますね。
Adore LKMを実験環境に仕掛けて、chkrootkit-0.33で検出できるか試し
てみました。OSはRH6.2Eの素インストです。
結果から言うと、adoreが単に立ち上がってる状態では、LKMとして検出
してはくれませんでした。ただし、プロセスを隠してる場合は以下のよ
うに検出されます。
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
あと、adore本体のディレクトリとかも探してはくれませんでした。
一方、kstatでもほぼ似たような検出結果ですね。隠されたプロセスを
表示できて、SystemCallTableの異常は検出してくれるけど、LKMの存在
は検出してくれません。これは他のLKM rootkitでも似たような状態で
した。
ということで、
Kernel Module として読み込まれたrootkitは Kernel Module としての
検出は難しいが、SystemCallTableの情報から判別は可能である。ただ
し、正常な状態でのSystemCallTableの情報を保存しておく必要がある。
隠されたプロセスを発見するのは比較的容易である。
あとは隠されたファイルに関してですけど、これはTCTとかで探すよう
かな。
とま、こんなとこで。
+----------------------------------------+
+ DANNA @ SAPOSEN
+ e-mail : danna@xxxxxxxxxxx
+ web site : http://www.hawkeye.ac/micky
+ Security Stadium
+ http://sec-stadium.hawkeye.ac/
+----------------------------------------+