@Allure
2年前 提问
1个回答
针对linux操作系统的Rootkit包括什么
齐士忠
2年前
针对linux操作系统的Rootkit包括以下这些程序:
以太网嗅探器程序:用于获得网络上传输的用户名和密码等信息。
特洛伊木马程序:例如:inetd或者login,为攻击者提供后门。
隐藏攻击者的目录和进程的程序:例如:ps、netstat、rshd和ls等。
可能还包括一些日志清理工具:例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。
rootkit有以下功能:
隐藏文件:该恶意软件可以修改sys_getdents64系统调用或者直接更改底层readdir实现文件及目录的隐藏;
隐藏进程:和隐藏文件的方法类型,通过隐藏proc文件系统下的进程目录实现隐藏进程的效果;
隐藏连接:通过hook sys_read的调用实现隐藏连接,也可以通过修改计算机相应函数来隐藏;
隐藏模块:通过将模块从内核模块链表中摘除从而达到隐藏效果;
嗅探:通过libpacap库直接访问链路层截获数据包等方式来嗅探;
密码记录:一般通过判断当前运行程序的进程名或当前终端是否关闭回显的方式来获取用户输入的账户和密码;
日志擦除:内置他人编写的相应工具对日志文件进行修改,并且可以实现一些隐藏用户的操作。