私はカーネル レベルのルートキットの検出に取り組んでおり、最初のテスト ルートキットとして Adore-Ng を選択しました。このルートキットが Linux カーネル (2.4、2.6 バージョン) で自身と他のプロセスを隠す方法を知った後、カーネルにロードされる方法を知りたいと思います。
具体的に知りたいのは、
1. Linux カーネル内の既存の API を呼び出す、または
2. コンパイルするとすぐにカーネルにロードされるように、ハードコーディングされたアセンブリ命令はありますか?
私は Adore-Ng のソース コードを調べましたが、この方向で何も見つけることができず、隠れるという目標をどのように達成するかしかわかりませんでした。
ロード動作を見つける方法を誰か教えて/提案できますか? ありがとう。
Adore ルートキットのコアは悪意のあるモジュールであるため、カーネルにロードするには、最初にルート アクセスが必要であり、次に insmod (または modinfo) を実行します。Adore をロードするもう 1 つの方法は、Phrack ボリューム 0x0b、問題 0x3d で説明されているように、信頼できるカーネル モジュールに感染することです。クリーナーモジュールが呼び出されないため、前の方法ほどステルスではありません。あなたはソース コードを調べたので、Adore モジュールが正規のモジュールに感染したら、よりクリーンなモジュールを呼び出すようにソースを変更する適性があると思います。(モジュール感染の痕跡も残さないようにしてください。クリーナーはそれを検出しません)。有能な管理者であれば署名付きモジュールを使用するため、これらの方法が 2.6 メインライン以降のプロダクション カーネルで機能するとは思わないでください。