摘要:
简介 taskverse是《linux二进制分析》一书作者编写的一个隐藏进程的检测工具,它使用/proc/kcore来访问内核内存,github的地址在这里:https://github.com/elfmaster/taskverse。 /proc/kcore 这个文件是内核提供的用来遍历内核内存的 阅读全文
摘要:
介绍 《linux二进制分析》中提到了使用kprobe来写内核rootkit,还给出了一个简单的源码实现,这里看一下他的源码 kprobe kprobe的介绍可以看下面这几篇文章 介绍:https://www.cnblogs.com/honpey/p/4575928.html 原理:https:// 阅读全文
摘要:
这两天看了一本书叫《linux二进制分析》,这里面提到的一个小工具kdress,这里分析一下 源码在:https://github.com/elfmaster/kdress kdress介绍 /boot目录下有一个vmlinux的文件,这是一个经过压缩的linux内核,不过缺少内核符号表,kdres 阅读全文
摘要:
2018年oakland论文:理解linux恶意软件 论文地址:http://www.s3.eurecom.fr/~yanick/publications/2018_oakland_linuxmalware.pdf introduction 论文提出了linux而已软件长期没有被关注,尤其是学术界。 阅读全文
摘要:
用汇编编写一个病毒 在github上看到大神用汇编编写的linux病毒,学习一下 github地址:https://github.com/cranklin/cranky-data-virus/blob/master/cranky_data_virus.asm 源码分析: 阅读全文
摘要:
介绍 今天碰到一个有趣的python病毒,在这里https://github.com/cranklin/Python-Virus/blob/master/pythonvirus.py#L37 源码 分为3个部分 1、搜索,搜寻所有的python脚本 2、取出当前文件的前39行,也就是这个脚本的长度, 阅读全文
摘要:
简介 搜集一下linux lkm rootkit中常用的一些技巧 1、劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数,比如sys_close的地址来寻找 这要求判断的地址是导出函数,这样才能获取到地址 根据IDT地址,找到中断处理函数,再从中根据特征码找到系统调用表 在i386的机器中,使 阅读全文
摘要:
转自http://www.91ri.org/16803.html 1.1 起因 今天在搜索关于Linux下的后门姿势时,发现一条命令如下:软链接后门: 1 ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555; 1 ln -sf /usr/sbin/s 阅读全文
摘要:
资料 ppt:https://www.blackhat.com/docs/us-16/materials/us-16-Leibowitz-Horse-Pill-A-New-Type-Of-Linux-Rootkit.pdf github:https://github.com/r00tkillah/H 阅读全文
摘要:
简介 Reptile是github上一个很火的linux lkm rootkit,最近学习了一些linux rootkit的内容,在这里记录一下。 主要是分析reptile的实现 Reptile的使用 安装命令: 然后执行下面的命令 接着就可以看到/reptile目录下的一些东西了,这是项目安装在系 阅读全文