一个Rootkit小玩具

admin 2023年12月11日15:18:51评论17 views字数 670阅读2分14秒阅读模式

    最近在学Linux Kernel Module程序编写,本质上还是为了开发Rootkit来的,学了些基础的东西,个人感觉欺负部分安服仔还是够用的...

    程序没有名字....嗯 因为太简单了,不好意思带啥名字...

    先来介绍一下功能吧,主要做了这些事情,隐藏ls命令下的文件,自己的想法是为了后续的SetSuperUser后门做伏笔,但是后来就没写了,,,因为懒病上身了,后续会更新的...一定会更新,主要隐藏了2个文件名,evil.php以及EVILDEVICEBACKDOOR,一个作为web网页木马,一个留作驱动木马

一个Rootkit小玩具

    其次对进程做了一些操作,通过kill -64命令发送给需要隐藏保护的进程,之后会将需要保护的进程隐藏,通过ps命令无法找到,以及隐藏了lsmod,通过lsmod也找不到加载的模块,卸载的函数没写(都上内核木马了还打算卸载???当然重启解决一切问题 )

    图中ping进程已经无法通过ps命令找到,程序正常执行,同函数内禁止了结束进程的信号,通过kill或kill -9 无法结束进程,进程无法杀死

一个Rootkit小玩具

一个Rootkit小玩具

    其次就是端口隐藏,跑一个nc链接,然后向程序发送64号信号,可以看到netstat -atp已经无法看到远连了4444端口(我只隐藏了4444)

一个Rootkit小玩具

有兴趣的师傅可以下载下来试试,程序后续会更新完善....

扯皮了这么多,直接上github链接
https://github.com/yifaang/Simple-Linux-Rootkit

原文始发于微信公众号(CSJH网络安全团队):一个Rootkit小玩具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日15:18:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一个Rootkit小玩具http://cn-sec.com/archives/2276982.html

发表评论

匿名网友 填写信息