[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03694] Re: LKM Rootkit 検出ツール
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03694] Re: LKM Rootkit 検出ツール
- From: YASUDA Yasunori <Yasunori.Yasuda@xxxxxxxxxxx>
- Date: Fri, 18 Jul 2003 12:50:30 +0900
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:03686] Re: LKM Rootkit 検出ツール
Date: Fri, 18 Jul 2003 08:42:07 +0900
<省略>
> 不正アクセス調査ガイド、が書かれた頃と(対策・検出側は)あまり状況
> に変化はないってところなんでしょうか?
多分、そんなに変わらないでしょう。LKM や /dev/kmem の利用を問わ
ず、書き換えたい場所は x86 なら IDT (0x80用)かシステムコールテー
ブルでしょうから、ここの書き換えを調べるか、改竄されてそうなシス
テムコールの挙動を調べるかでしょう。
(/dev/kmem を使えばサイズに気をつければテキストも書き換えられま
すが。)
> OS 標準で RedHat が何か仕組みを入れたお話があった気がするのですが
> なんでしたっけ?(^^;;
うーん、ちょっと私は知りません。そんな仕組みが入っているのであれ
ば私も知りたいです。
#そういえば Linux 2.6 系だと LSM が標準になるので、 LIDS/LSM を
#使えば LKM rootkit や /dev/kmem 書き換え系の rootkit を防御す
#ることができますね。ディストリビューション標準になるのはまだ先
#でしょうけど。
--
YASUDA Yasunori/安田 泰勲