前言
Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用各种底层技术隐藏和保护自身,绕开安全软件的检测和查杀,通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。rootkit的取证分析是取证工作中的一大难点。
正文
常见的linux rookit取证方式有利用system.map发现_stext、_etext地址异常,检测加载的异常库文件,检测LD_PRELOAD等。常用的软件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以帮助我们快速的分析有无恶意软件,以及恶意软件使用的手法,快速发现rootkit痕迹。
今天看的两个项目分别是Babyhids和bpf-hookdetect
先看的是bpf-hookdetect,对这几个模块进行检测
如果存在调用,则记录。
在结束时判断有无记录,通过记录判断以及反馈有无hooked,以及一些进程信息
记录hooked的界面反馈
对于bpf-hookdetect,babyhids可以检测内核调用模块文件,能得到更多信息。
babyhids界面hooked反馈
原文始发于微信公众号(Th0r安全):利用ebpf检测rootkit项目取证分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论