[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00565] Re: rootkit に関するメモβ 2

To: port139@xxxxxxxxxxxxx
Subject: [port139:00565] Re: rootkit に関するメモβ 2
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 16 Aug 2001 16:11:38 +0900

Port139 伊原です。

DANNA さんは書きました:
>ほとんどのrootkitってトロイをパッケージしてません？ちがうかな？

 rootkit とは、ps や ls 、netstat などのコマンド ファイルを悪意のある
 ものに置き換え、トロイの木馬をシステムに潜り込ませたり、悪意のある
 ファイルやプロセス、通信を表示させないといった目的を持ったツール群の
 ことを指す。

ってな表現の方がいいですかね？

>を上手に使えばなんとか対応できるかなぁ。LKMじゃないrootkitの場合
>はバイナリ書き換えまくるので、再インストールの方が圧倒的にラクそ
>うだけど。

LKM ぢゃなくて、ファイル書き換えまくるのは検知そのものは簡単ですね。
これは、OS にあまり依存せずに共通の手法が使えるので嬉しいんですが、
問題は LKM 探索ツールが Linux 対応以外が少ないってところですかね。


---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:00566] Re: rootkit に関するメモβ 2
  - From: Koga Youichirou

References:
- [port139:00564] Re: rootkit に関するメモβ 2
  - From: DANNA

Prev by Date: [port139:00564] Re: rootkit に関するメモβ 2
Next by Date: [port139:00566] Re: rootkit に関するメモβ 2
Previous by thread: [port139:00564] Re: rootkit に関するメモβ 2
Next by thread: [port139:00566] Re: rootkit に関するメモβ 2
Index(es):
- Date
- Thread