[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01080] Re: LKM ROOTKIT



園田です。

> >>さっき chkrootkit-0.35 のソース見てて気がついたんですが、knark っ
>>>て /proc/knark って隠しディレクトリ作るんですね。
>>
>>昨年8月15日ごろのrootkitメモで、alamoを使えばやはり/proc/knarkをlsできる
>>ようになる、とありますね。それと同様の機能を備えたということでしょうか。
>
>knark で隠している場合、ls とかでは見えなくとも cd とかでパスを
>正しく指定すればアクセスできるんぢゃなかったでしたっけ?
>「見えないけど存在は確認できる」という検出の仕方ではないかと推測
>してるんですがちゃいますかね?

cd /proc/knarkでディレクトリアクセスできるようですね。chrootkitがその方策を 取っているのかはチェックしてませんが。
-- 園田道夫
株式会社アイ・ティ・フロンティア
セキュリティソリューション部
TEL:03-6221-5968 FAX:03-6221-7963
http://www.itfrontier.co.jp/sec/