BSD ROOTKIT 设计--内核黑客指引书(第6章)
2009-05-13 11:55:02来源:未知 阅读 ()
6综合应用6.1 HIDS 是干什么的
6.2 绕过HIDS
6.3 执行
[url=javascript:;]重定向[/url]
6.4 文件隐藏
6.5 隐藏KLD
6.5.1 linker_files 链表
6.5.2 linker_file 结构
6.5.3
[url=javascript:;]modules[/url]
链表
6.5.4 module 结构
6.5.5 示例
6.6 禁止访问,修改,改变时间的更新
6.6.1 改变时间
6.6.2 示例
6.7 概念验证: 欺骗 Tripwire
6.8 小结
6
PUTTING IT ALL TOGETHER
综合应用
We’ll now use the techniques from the previous chapters to write a complete example
[url=javascript:;]rootkit[/url]
—albeit a trivial one—to bypass Host-based Intrusion Detection Systems (HIDSes).
现在我们运用前面章节的技术来写一个完整的示例rootkit---虽然是价值不大--来绕过基于主机的入侵检测系统(HIDSes).
6.1 What HIDSes Do
6.1 HIDS 是干什么的
In
general, an HIDS is designed to monitor, detect, and log the
modifications to the files on a filesystem. That is, it is designed to
detect file tampering and trojaned binaries. For every file, an HIDS
creates a cryptographic hash of the file data and records it in a
database; any change to a file results in a different hash being
generated. Whenever an HIDS audits a filesystem, it compares the
current hash of every file with its counterpart in the database; if the
two differ, the file is flagged.
一般来说来,HIDS设计用来监控,探测文件系统,并把文件系统被修
改的信息记录到一个文件中。也就是说,它是用来探测有害文件和木马二进制文件的。针对每一个文件,HIDS都创建文件数据的一个加密hash值到一个数据
库中。文件的任何改变将导致产生一个不同的hash。每当HIDS监查一个文件系统,它用每一个文件当前的hash与它在数据库中的副本进行比较。如果两
者不同,这个文件就被标记出来。
In principle this is a good idea, but . . .
在理论上说这是个好主意,但是...
6.2 Bypassing HIDSes
6.2 绕过HIDS
The
problem with HIDS software is that it trusts and uses the operating
system’s APIs. By abusing this trust (e.g., hooking these APIs) you can
bypass any HIDS.
HIDS软件的问题是,它信任并使用操作系统的API.通过利用这种信任(比如,挂钩这些API),你就能够绕过任何一种HIDS.
NOTE
It’s somewhat ironic that software designed to detect a root level
compromise (e.g., the tampering of system binaries) would trust the
underlying operating system.
提示 设计用来探测root级别潜在威胁(比如,操作系统二进制文件的窜改)的软件还需要信任操作系统底层,这有点讽刺意味。
The
question now is, “Which calls do I hook?” The answer depends on what
you wish to accomplish. Consider the following scenario. You have a
[url=javascript:;]FreeBSD[/url]
machine with the binary shown in Listing 6-1 installed in /sbin/.
现在问题是."我该挂勾哪些调用?" 它的答案取决于你想要实现什么。考虑下面的情况,你有一台FreeBS机器,在它的/sbin/目录下
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 求《4.4BSD操作系统设计与实现》英文版影印版 2009-05-13
- FreeBSD快速指引 2009-05-13
- 《操作系统原理与设计》 2009-05-13
- MOLPRO 2006.1 2009-05-13
- top是给Linux设计的 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
