2017.W10 Rootkit > 朕不给的 你看不到 ## 前言 ## 终於换讲底层的东西了 ... ## 内容 ## Rootkit[0] 一种用来影藏行踪的软体 或者广义来说是一种技术 在各作业系统中 都存在各种程度的 Rootkit 用来影藏资讯 根据不同的技术细节来说 可以将 Rootkit 分为若干程度： - User-Space[1] - Kernel-Space - Firmware and/or Hardware 在 User Space 的程度来看，Rootkit 的技术是直接串改监控程式的结果 透过利用函式库注入[2] 等方式 将监控程式的结果过滤而达到影藏行踪的目的 但如同他的攻击方式需攻击特定的程式 在使用不同的系统函数[3]的监控程式下 则依然无法达到完全匿踪的目的 而在 Kernel Space 的角度来看 Rootkit 攻击的则是作业系统最底层的系统函数 这个程度的函式库是可呼叫的最底层函数 藉由攥改这一层的结果 过滤特定的资讯来达到匿踪的目的 而最後的 Firmware/Hardware 层级 则是最底层的 Rootkit 从根本上就不让作业系统发现特定的硬体 像是可以虚拟出来一个伪造的硬碟 而 Firmware 只允许特定状态下才允许存取这个硬碟空间 在这种 Rootkit 下 无法透过任何系统函数读到这个硬碟来达到将资料匿踪的目的 以下是几种在个作业系统的 Rootkit - Linux/LD_PRELOAD rootkit[4] - MicroSoft/Alureon[5] - Mac/rubilyn[6] [0]: https://zh.wikipedia.org/wiki/Rootkit [1]: https://zh.wikipedia.org/wiki/%E4%BD%BF%E7%94%A8%E8%80%85%E7%A9%BA%E9%96%93 [2]: https://en.wikipedia.org/wiki/DLL_injection [3]: https://en.wikipedia.org/wiki/System_call [4]: http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/ [5]: https://en.wikipedia.org/wiki/Alureon [6]: http://seclists.org/fulldisclosure/2012/Oct/55 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1488897362.A.060.html