[port139:00554] Re: rootkit に関するメモ β1

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

DANNA さんは書きました:
>一方、kstatでもほぼ似たような検出結果ですね。隠されたプロセスを

んー、kstat が RedHat 7.x で動かないのは痛いですねぇ。
#Turbo でも失敗したんですけど...
先ほど、Carbonite も試してみたんですが、RedHat 7.0 では make に
失敗しました。

>Kernel Module として読み込まれたrootkitは Kernel Module としての
>検出は難しいが、SystemCallTableの情報から判別は可能である。ただ
>し、正常な状態でのSystemCallTableの情報を保存しておく必要がある。

正常な状態での SystemCallTable の情報を保存、の部分ですけど
例えば /boot/System.bap の内容を改ざんすることで kstat など
からの検出を回避可能という意味でふ？
って、開いてみればいいのか・・・うーむ、System.map って起動
時に都度作成されるって理解でいいんすかね？

>あとは隠されたファイルに関してですけど、これはTCTとかで探すよう
>かな。

Alamo って Adore （名前が似てる）に対してどうなんでしょうか？
理論上はいけると思うんですけど。
＃手元で adore ロードすると動きが妙なんでテストできないんす..


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/