问题标签 [rootkit]

什么是最好的（希望是免费的或便宜的）检测方法，然后，如有必要，删除您机器上发现的 rootkit？

我正在研究 Rootkit，我收到了很多警告，例如`

例如，当我尝试将自己的功能附加到sys_call_table[__NR_read].

在内核 <=2.6.25 中，函数change_page_attr()有助于更改某个地址的页面属性。但是，在 >=2.6.28 的新内核中，此函数已被弃用，并被替换为set_memory_*与 PAT 相关的函数。

Linux 内核文档并不清楚 PAT 函数的使用；我已经使用set_memory_wc()&set_memory_uc()来更改sys_call_table权限，但我继续收到相同的 BUG。我猜这些功能正在取代旧的change_page_attr().

我在 i915 模块中看到了一个示例，并且我以相同的方式使用了函数，但 BUG 仍在继续。

有什么帮助吗？我是否以错误的方式处理内核地址？

从 2009 年 7 月 Technet 一篇题为Inside Windows 7 User Account Control的文章中，Mark Russinovish描述了以标准用户身份运行的应用程序可以静默提升并获得管理权限：

...在具有标准用户权限的 PA（受保护的管理员）帐户中运行的第三方软件可以利用自动提升来获得管理权限。例如，该软件可以使用 WriteProcessMemory API将代码注入Explorer，并使用 CreateRemoteThread API执行该代码，这种技术称为DLL 注入。由于代码在资源管理器（Windows 可执行文件）中执行，因此它可以利用自动提升的 COM 对象（如复制/移动/重命名/删除/链接对象）来修改系统注册表项或目录并赋予软件管理权限权利。

他继续提到恶意软件永远不会这样做，因为这太难了：

...这些步骤需要刻意的意图，而不是微不足道的...

最后

...恶意软件可以使用相同的技术获得管理权限。

所以我很想看到一个实际的实现。

我原以为PROCESS_VM_WRITE将是不授予标准用户的权利。

注意：我自己永远不会做任何坏事，就像世界上所有其他开发人员一样。

我最近看到了 Bill Blunden 的《The Rootkit Aresenal 》一书，它详细（我是认真的！）描述了 Rootkit 的基础知识，还介绍了如何为 Windows 设计它们（因此需要对 IA32- 有一些基本的了解）内部）。因为我主要关注以 Linux 为中心的安全性，所以我只能使用这本书来获得基础知识，而不是与 Linux 内核相关的任何内容。任何人都可以推荐一本用于 Linux 的 Rootkits Dragon 书，它会给我一些实践经验吗？

万一有人要问我这个问题：

“你为什么要看rootkit？这不是很糟糕吗？”

slashdot 上有人曾经说过：

如果我们不了解我们可能受到攻击的方式，我们如何实施安全？

只是为了说明我在寻找什么：如果参考的目录看起来类似于以下内容，仅替换为 Linux rootkit 而不是 Windows，就足够了。

Rootkit 兵工厂目录

我读过在某些 XP 系统中，键盘中断位于 IDT 中的 0x31，但唯一确定的方法是解析 hall.dll 以查看与 IRQ 1 相关联的向量。我一直在互联网上搜索有关此的更多信息，我发现了此功能：

但它说该功能已过时，有人知道其他方法可以将中断向量绑定到 IRQ 1 吗？

多谢你们！

我已经看到netstat打开了两个奇怪的 tcp 连接：

我想知道这是否正常。有人能帮我吗？谢谢你！

我正在研究一个rootkit并对其进行反转。我打算为这种rootkit编写我的anti-rk。rootkit挂钩了一些无法从用户模式中解脱出来的内核模式函数，或者如果我将它们从用户模式中解开，它们不会逃脱并且会回来。那么你有什么建议呢？

我正在尝试从 open watcom IDE 中的 rootkit 武器库中编译一个 16 位汇编代码片段。它给出了错误“找到多个起始地址”。由于组装知识非常有限，我无法对其进行整理。这是代码：

请帮帮我。

我试图通过检查它们的 inode 和设备 ID 是否匹配来比较两个文件名是否引用同一个文件。目前，我打电话vfs_stat来获取ID。

问题是，如果我传递vfs_stat一个存储在用户空间中的文件名，它可以正常工作，但是如果我传递一个文件名，该文件名作为全局变量存储在我的内核模块中，它会出错EFAULT

如果两个文件相同，是否有其他方法可以获取 ID 或比较？

作为我的论文，我正在研究一些用于 Linux 内核 Rootkit 检测的新技术。我需要一些 rootkit 样本来测试我的方法并进行一些机器学习测试。但不是在计算机历史书籍中也可以找到的 packetstorm 中尘土飞扬的旧版本。我已经阅读了很多关于它的内容，并且在 phrack 和其他一些资源中看到了一些 rootkit 实现的新方法。为我实现 PoC rootkit 将花费大量时间，届时我将开始我的项目。

如果有人可以帮助我，将不胜感激。任何站点、ftp、受感染的系统、未知的 rootkit 库，任何可能作为我工作样本的东西都将受到赞赏。但考虑到这一点，我需要的是Linux 内核 Rootkits。任何类型，LKM，系统调用挂钩，对象挂钩，system.map /dev/mem 工作的东西

谢谢

ps 新的 rootkit 我并不是说像未报道或全新闻的 rootkit，适用于 ubuntu 10.04 或更高版本的东西会很棒（内核版本 2.6.32+）