[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:03700] Re: LKM Rootkit 検出ツール

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:03700] Re: LKM Rootkit 検出ツール
From: ken <pakira@xxxxxxxxxxxx>
Date: Fri, 18 Jul 2003 22:30:45 +0900

けんです。


> > > Port139 伊原です。
> > > 
> > > LKM rootkit がシステムコールテーブル（用語の使い方あってます？）
> > > を書き換えた場合に、それを検出してアラートを出すソフト（仕組み）
> > > が幾つかあると思うのですが、
> > > 
> > >   samhain (http://la-samhna.de/samhain/)
> > >   nae (http://tf.happyhacking.net/archive/a.d.200x/2001/)
> > > 
> > > 他に何がありましたっけ？
> > > 
> > > カーネルを再コンパイルせずに利用できる形式のものが嬉しいです。
> > 
> > chkrootkit (http://www.chkrootkit.org/)
> > kstat (http://www.s0ftpj.org/en/site.html)
> > 
> > あたりは有名だと思います。既出でしたら流しちゃってください。
> 
> そういえば、StMichael とかもありましたっけ。
> http://sourceforge.net/projects/stjude


発見するためのものを列挙してみます。

Carbonite
http://www.foundstone.com/resources/proddesc/carbonite.htm
http://www.incident-response.org/Carbonite.htm

Rkscan
http://www.hsc.fr/ressources/outils/rkscan/index.html.en

Defuse Root Kit
http://www.astalavista.com/trojans/tools/cleaners/defuserootkit.tar



ちょっとお探しのものとは違うかもですが、そういう方面ということで。

RootkID
http://rk.cyberabuse.org/

rkdet
http://www.vancouver-webpages.com/rkdet/

Linux Security Modules
http://lsm.immunix.org/

LIDS
http://www.lids.org/

grsecurity
http://grsecurity.net/

References:
- [port139ml:03678] Re: LKM Rootkit 検出ツール
  - From: YASUDA Yasunori
- [port139ml:03696] Re: LKM Rootkit 検出ツール
  - From: Akira Ryowa

Prev by Date: [port139ml:03699] NetworkView2
Next by Date: [port139ml:03701] Incident Response/Forensics
Previous by thread: [port139ml:03696] Re: LKM Rootkit 検出ツール
Next by thread: [port139ml:03675] 昨日の某会議
Index(es):
- Date
- Thread