[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01079] Re: LKM ROOTKIT

To: port139@xxxxxxxxxxxxx
Subject: [port139:01079] Re: LKM ROOTKIT
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 14 Feb 2002 18:29:08 +0900

こんばんは、伊原です。

On Thu, 14 Feb 2002 12:01:33 +0900
Sonoda Michio <sonoda_michio@xxxxxxxxxxxxxxxx> wrote:

>>さっき chkrootkit-0.35 のソース見てて気がついたんですが、knark っ
>>て /proc/knark って隠しディレクトリ作るんですね。
>
>昨年８月１５日ごろのrootkitメモで、alamoを使えばやはり/proc/knarkをlsできる 
>ようになる、とありますね。それと同様の機能を備えたということでしょうか。

knark で隠している場合、ls とかでは見えなくとも cd とかでパスを
正しく指定すればアクセスできるんぢゃなかったでしたっけ？
「見えないけど存在は確認できる」という検出の仕方ではないかと推測
してるんですがちゃいますかね？

>一つのツールでいろいろカバーしてくれるとラクになりますね（笑）。

chkrootkit はサポートする OS が多いので嬉しいですね。

＃Solairs 用の CD-ROM とか作っておくと便利かしら...
＃でも NT と同じでバイナリを含めた CD は配布できないか...

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139:01080] Re: LKM ROOTKIT
  - From: Sonoda Michio

References:
- [port139:01068] LKM ROOTKIT
  - From: DANNA
- [port139:01075] Re: LKM ROOTKIT
  - From: Sonoda Michio

Prev by Date: [port139:01078] Microsoft DNS Service
Next by Date: [port139:01080] Re: LKM ROOTKIT
Previous by thread: [port139:01075] Re: LKM ROOTKIT
Next by thread: [port139:01080] Re: LKM ROOTKIT
Index(es):
- Date
- Thread