Описание тега rootkit
A rootkit is software that enables continued privileged access to a computer while actively hiding its presence from administrators by subverting standard operating system functionality or other applications. The term rootkit is a concatenation of "root" (the traditional name of the privileged account on Unix operating systems) and the word "kit" (which refers to the software components that implement the tool).
1
ответ
Ядро паники - не удалось copy_from_user, kmalloc?
Я пишу руткит для своего класса ОС (учитель в порядке, я прошу помощи здесь). Мой руткит перехватывает системный вызов sys_read, чтобы скрыть "волшебные" порты от пользователя. Когда я копирую пользовательский буфер * buf (один из аргументов sys_rea…
09 май '13 в 00:32
2
ответа
Что такое книга Dragon для руткитов в Linux?
Недавно я наткнулся на эту книгу Билла Бландена под названием " The Rootkit Aresenal ", в которой дается подробное (я имею в виду!) Описание основополагающих руткитов, а также рассказывается о том, как их проектировать для Windows (поэтому требуется…
27 фев '11 в 21:52
1
ответ
netstat подозрительные сокеты ssh
Когда я запускаю netstat -t на моем сервере, я получаю следующее: -sshd 14369 root 3u IPv4 1317773 0t0 TCP localhost: ssh-> 82.77.64.139:62334 (УСТАНОВЛЕНО) -sshd 14494 root 3u IPv4 1319053 0t0 TCP localhost: ssh-> 218.87.109.151:22536 (ESTABLISHED …
18 июл '17 в 14:26
1
ответ
Предупреждение Debian rkhunter при использовании опции --pkgmgr
У меня есть веб-сервер, использующий rkhunter для защиты руткитов. Когда я проверяю, rkhunter не возвращает предупреждений в части руткита (так что, я думаю, я в порядке). Но я получаю много предупреждений при выполнении проверки свойств файла. Я по…
30 май '17 в 06:57
1
ответ
Как обнаружить скрытый процесс в Linux
Я где-то читал, что руткиты скрывают процесс, сбрасывая его ссылки в task list. Во-первых, мой вопрос, когда он выпадает из списка задач, как это можно запланировать в ядре 3.*? На самом деле я хочу обнаружить скрытые процессы, сравнивая running про…
07 авг '13 в 11:20
1
ответ
Изменение параметров перед их передачей в NtWriteFile после подключения SSDT.
В настоящее время я работаю над лекцией (и изучаю) о руткитах для Windows. Мне удалось перехватить запись SSDT для NtWriteFile и отобразить простое сообщение на WinDbg, но теперь мне любопытно, каким будет лучший (и самый безопасный) способ изменени…
13 дек '18 в 19:51
0
ответов
Функция обмена в таблице системных вызовов в x86
Я пытаюсь переопределить системный вызов для sys_open и отслеживать поведение пользователя с этим. Я использую ядро Linux 4.13.0-041300. Это мой код до сих пор #include <linux/module.h> #include <linux/kernel.h> #include <linux/init…
23 фев '19 в 13:49
3
ответа
Обнаружить и удалить руткит
Каков наилучший (надеюсь, бесплатный или дешевый) способ обнаружения, а затем, при необходимости, удаления руткита, найденного на вашем компьютере?
20 сен '08 в 03:51
1
ответ
loopback на порт tcp с локального хоста на локальный хост
Я видел бег netstat что там открыты два странных tcp соединения: tcp4 0 0 localhost.49153 localhost.1023 ESTABLISHED tcp4 0 0 localhost.1023 localhost.49153 ESTABLISHED Интересно, нормально ли это? Кто-нибудь может мне помочь? благодарю вас!
31 май '12 в 13:55
1
ответ
Атака руткитов путем добавления новых двоичных форматов
Некоторые атаки руткитов работают путем вставки нового двоичного формата в список форматов и предоставления ядру вредоносного обработчика, который возвращает код ошибки ENOEXEC каждый раз, когда он вызывается. Поскольку новый обработчик вставляется …
16 ноя '13 в 15:28
1
ответ
Страница ядра Linux C мешает работе с предыдущей переменной
Я хочу зацепить read в ядре Linux, чтобы показать, какой процесс читает файл в /home/xytao/safe каталог. // get absolute file path from file struct char *get_filename(struct file *file) { char *buf = (char *)__get_free_page(GFP_KERNEL); if (!buf) { …
23 окт '18 в 06:33
1
ответ
Установка SSDT-хука на 32-битной виртуальной машине Windows 7 возвращает системную ошибку 2
Я использую следующий код для создания драйвера, который перехватывает таблицу SSDT Win7-32bit. Это взято прямо из книги Грега и Джейми. Обратите внимание, что я даже не вызываю код перехвата из main: main.c http://pastebin.com/Ck8FSVbv SSDT_Hook.h …
14 дек '16 в 17:34
0
ответов
Установка Fedora 23 SmartGit
Вместо того, чтобы найти какой-либо обходной путь для создания пары ключей моей по большей части стандартной установки Fedora 23 (по умолчанию SELinux, если это помогает) к стене аутентификации BitHucket SSH, я работал над тем, чтобы установить Smar…
29 дек '15 в 03:30
1
ответ
Может кто-нибудь сказать, что делает эта программа? Это 99,9% вируса и выглядит для меня бредом
Эта программа была отправлена на мой адрес электронной почты со мной в качестве отправителя. Но когда я посмотрел на IP-адрес, он был послан с него: 123.237.168.132 Это IP-адрес из Индии, он указан в 12 из 59 черных списков и помечен как подозрите…
04 авг '16 в 10:09
1
ответ
Разработка драйвера Windows / руткитов - указатель на функцию - STATUS_INVALID_PARAMETER
Это довольно сложная проблема, чтобы объяснить в Интернете, но я не могу понять, что происходит, и мне действительно нужна помощь, так что здесь! По сути, я написал программное обеспечение для обеспечения безопасности (в качестве драйвера ядра), кот…
19 апр '17 в 17:25
1
ответ
Какое устройство использует команда cmd 'dir'?
Извините за неясный вопрос! В командной строке команда 'dir' выводит список всех файлов и каталогов в каталоге, как вы, вероятно, знаете. Я сейчас читаю "Подрыв ядра Windows: руткиты". Один пример кода в книге скрывает TCP-соединения. Он использует …
10 апр '13 в 11:08
1
ответ
Как вывести список скрытых файлов / процессов /regKeys по руткиту
Я хотел знать, как я могу перечислить файлы, процессы или ключи реестра, которые скрыты руткитом? Например, Gmer делает это, и я хочу знать, как. Спасибо! PS: мой основной язык программирования - AutoIt, но любой ответ, который можно использовать в …
01 фев '13 в 01:44
0
ответов
Могу ли я найти все работающие модули ядра, даже если они скрыты?
Я начинаю разрабатывать модули ядра и задаюсь вопросом обо всех методах, чтобы узнать, какие модули запущены, чтобы удалить их (включая скрытые модули). Например, следующий модуль имеет две строки, чтобы скрыть его. (Это типичный прием разработки ру…
19 фев '18 в 15:22
0
ответов
Windows api MessageBoxA не может работать с чистым стеком?
Я хочу вызвать функцию с чистым стеком, который может отрезать стек вызовов. ==================== начало псевдокода =========================== ===== stackBaseAddress = найти базовый адрес стека с помощью NtCurrentTeb stackCurrentSize = stackBaseAdd…
16 янв '14 в 13:58
0
ответов
Понимание предупреждений rkhunter
Я стал параноиком и запустил chkrootkit и rkhunter для поиска руткитов. Не похоже, что chkrootkit нашел что-то, но rkhunter вернул некоторые предупреждения. Я думаю, что многие могут быть ложными срабатываниями, но меня больше всего волнуют "возможн…
28 мар '17 в 22:24