rootkit原理以及利用

作者: 康康 分类: Web安全,内网安全 发布时间: 2018-04-17 13:56

前些日子做应急响应,用了一个叫做rkhunter的rootkit查杀工具,但是面试被问到rookit以及查杀工具里面的原理。。哈哈哈,感谢那位面试官,不过网上的资料也不是特别多

rootkit原理概念:Rootkit是一个数字工具箱,可以加到恶意软件(木马病毒间谍软件)上来隐藏它,为它提供自由访问计算机的途径。恶意软件可以通过Rootkit加载到系统内核中,并通过修改内核达到隐蔽的目地(比如让系统认为恶意软件占用的空间为坏块,从而躲避杀软扫描)。Ro otkit可以提供自由访问计算机的途径,这个比较好理解,通过Rootkit注入系统内核的恶意程序运行在系统层,具有Ring0权限。

 

自己以一言以蔽之:rootkit可以藏在ring0的系统级别,可以通过重新编译常用的系统文件,将恶意的木马注入系统文件,达到隐藏和控制受害机的目的。

内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改

 

有关rkhunter:应该是有一个不断更新的规则库,定期扫描文件是否有rootkit特征指纹

对rootkit的认知还在不断更新,请多指教

发表评论

电子邮件地址不会被公开。 必填项已用*标注