[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03817] Re: LKM Rootkit 検出ツール
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03817] Re: LKM Rootkit 検出ツール
- From: YASUDA Yasunori <Yasunori.Yasuda@xxxxxxxxxxx>
- Date: Wed, 30 Jul 2003 18:55:55 +0900
From: YASUDA Yasunori <Yasunori.Yasuda@xxxxxxxxxxx>
To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:03694] Re: LKM Rootkit 検出ツール
Date: Fri, 18 Jul 2003 12:50:30 +0900
<省略>
> 多分、そんなに変わらないでしょう。LKM や /dev/kmem の利用を問わ
> ず、書き換えたい場所は x86 なら IDT (0x80用)かシステムコールテー
> ブルでしょうから、ここの書き換えを調べるか、改竄されてそうなシス
> テムコールの挙動を調べるかでしょう。
> (/dev/kmem を使えばサイズに気をつければテキストも書き換えられま
> すが。)
教えてもらったのを斜め読みしてみると Defuse Root Kit って他のと
ちょっと違って以下の様な検出の仕方をするみたいですね。
「vmlist (vmalloc 領域に確保したデータの線形リスト)内の
struct module と同じデータサイズが module list に登録されてい
るかどうかをチェックして、登録されていなければ LKM rootkit と
みなす。」
ついでに、怪しいモジュールのクリーンアップもするようです。
#他のも真面目に見た方が良さそうなので、見てみようかな。
--
YASUDA Yasunori/安田 泰勲