内核模块和扩展 可加载内核模块 (LKMs) 是可以根据需要加载和卸载到内核中的代码片段。 它们不需要重启系统即可扩展内核的功能。 例如,设备驱动程序是一类模块,它使内核可以访问连接到系统的硬件。 恶...
一文带你了解iptables用法及端口转发
扫码领资料获网安教程前言:逆风的方向,更适合飞翔!一、iptables简介1.定义:iptables的是一个用户空间实用程序,其允许系统管理员来配置IP分组过滤器规则的的Linux内核 防火墙,因为不...
Linux测评延展 — audit 审计
知识宝库在此藏,一键关注获宝藏1. 启动audit内核模块有些系统audit的内核模块时默认关闭。可以查看/proc/cmdline,若存在audit=0,则默认不启动audit。通过设置/...
驱动-内核空间与内核模块
在经过前两张学习,已经掌握了最基本的如何编写一个内核程序。那么什么是内核程序呢?从运行方式上说:内核程序运行在高2G内存中,与DLL、EXE一样,都是一个PE文件结构,不过他的后缀是.sys,同时不能...
检测LKM Rootkit的processdecloak
【一、楔子】:趋势科技于 2022 年 5 月记录了Reptile Rootkit 的首次使用,涉及追踪为 Earth Berberoka的入侵。该入侵集被发现使用该恶意软件来隐藏与跨平台 Pytho...
Linux | 揭秘SkidMap Rootkit复杂挖矿活动(一)
今年6月,SkidMap又开始新一轮挖矿活动,攻击手段相较于以前更加复杂。SkidMap挖矿家族存在两种主要的变体,目标分别为Debian/Ubuntu 和 RedHat/CentOS,根据不同的版本...
netlink实时获取网络信息原理分析
最近在做主机侧网络连接相关的调研,发现通过 linux 自带的netlink能实时获取网络连接五元组信息,可以用于网络活动可视化、异常连接检测、安全策略优化以及审计等功能,但网络上找到的相关文章不多,...
九维团队-青队(处置)| 使用内存取证检测高级恶意软件(三)
写在前边1.本文原文为K A, Monnappa. 2018年发表的《Learning Malware Analysis》的章节选段,本文均为译者对相关内容的翻译及实践记录,仅供各位学术交流使用。另出...
LKM Linux rootkit之Reptile分析二
Reptile内核模块分析 这篇文章分析一下内核模块部分,这部分主要功能就两个字:隐藏。通过前边的文章,知道了是通过cmd文件控制是否隐藏文件、模块、进程、网络连接等等。cmd模块是运行在用...
Linux持久化实操
BIOS启动 BIOS(Basic Input Output System),可以理解为是烧录到计算机内主板上的一段程序(主板上的一个黑色的小芯片),这个程序它可以读写COMS中...
CVE-2022-2639:Linux Kernel openvswitch提权漏洞
上方蓝色字体关注我们,一起学安全!作者:bnlbnf@Timeline Sec本文字数:846阅读时长:2~3min声明:仅供学习参考使用,请勿用作违法用途,否则后果自负0x01 简介Open vSw...
西工大遭网袭细节起底:网安技术武器化分析
0X01事件背景2016年,名为The Shadow Broker(影子经纪人)的黑客组织泄露了部分美国国家安全局(NSA)方程式组织(Equation Group)的工具,具备在当时的互联网上为所欲...