[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01080] Re: LKM ROOTKIT

To: port139@xxxxxxxxxxxxx
Subject: [port139:01080] Re: LKM ROOTKIT
From: Sonoda Michio <sonoda_michio@xxxxxxxxxxxxxxxx>
Date: Fri, 15 Feb 2002 10:47:01 +0900

園田です。 > >>さっき chkrootkit-0.35 のソース見てて気がついたんですが、knark っ >>>て /proc/knark って隠しディレクトリ作るんですね。 >> >>昨年８月１５日ごろのrootkitメモで、alamoを使えばやはり/proc/knarkをlsできる >>ようになる、とありますね。それと同様の機能を備えたということでしょうか。 > >knark で隠している場合、ls とかでは見えなくとも cd とかでパスを >正しく指定すればアクセスできるんぢゃなかったでしたっけ？ >「見えないけど存在は確認できる」という検出の仕方ではないかと推測 >してるんですがちゃいますかね？ cd /proc/knarkでディレクトリアクセスできるようですね。chrootkitがその方策を取っているのかはチェックしてませんが。 -- 園田道夫株式会社アイ・ティ・フロンティアセキュリティソリューション部 TEL:03-6221-5968 FAX:03-6221-7963 http://www.itfrontier.co.jp/sec/

Follow-Ups:
- [port139:01081] Re: LKM ROOTKIT
  - From: DANNA

References:
- [port139:01068] LKM ROOTKIT
  - From: DANNA
- [port139:01075] Re: LKM ROOTKIT
  - From: Sonoda Michio
- [port139:01079] Re: LKM ROOTKIT
  - From: Hideaki Ihara

Prev by Date: [port139:01079] Re: LKM ROOTKIT
Next by Date: [port139:01081] Re: LKM ROOTKIT
Previous by thread: [port139:01079] Re: LKM ROOTKIT
Next by thread: [port139:01081] Re: LKM ROOTKIT
Index(es):
- Date
- Thread