rootkit技术

rootkit技术


一、什么是"rootkit"?
入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。
在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。
入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。
设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。
系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件,那些程序就会给黑客最高权限。
Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。
具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。
".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。
ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。
Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。
Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。
在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。
为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。
为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。


我的机器配什么显卡最合适?当然,要让他的性能发挥到最大
分区呀分区
我要问哪里有卖ETC音响
我的电脑为什么插上鼠标和键盘就不好使用了呢
我的光驱不知道怎么的读不到光盘上内容
什么是路由器
IBM最新的是那一款??多少钱!好用吗?
为什么笔记本电脑不象台式机一样可以自己买零件组装?
请问:一般键盘的某些键间歇性不能使用是怎么造成的?
如何查看硬盘的转速呀?如果硬盘上没有标的话!怎么看?
有没有高性能集成显卡这回事 集成显卡作图行吗?是pice的集成显卡呢 是不是可以再插换其它的独立显卡
如何看电脑部件由何厂商提供
内存的问题 十万火急!
能不能先格式化硬盘再分区和先分区后格式化有什么区别呢??
怎么用电压表测量三极管是否是好的
我的内存使用率怎么都是很高呢?
请懂电脑的进一下
怎么在DOS下还原分区啊?
我的内存使用率怎么都是很高呢?
软驱问题,插入软盘有"吱吱"的响声,这是怎么回事?
两条HY内存混插是否有问题?
哪位有老主板超频的资料
电脑能永远用吗?
数字播放器在网上如何下载
谁可以告诉我怎样用电压表测量三极管的封装和好坏
给百度知道提点建议,大家也发表发表,内容里面见
一人旧显卡大约多少钱呀?
网络问题。。
推荐一下哪个bt比较好用,具体怎么设置保护硬盘
液晶显示器玩QQ游戏出现的问题,求教?
我准备配一个5000左右的的电脑,能跑极飞8,doom3,液晶 请大家推荐推荐
LCD会聚问题啊!
DEBUG问题
硬件考题求住 大家能不能给我几个好点的考题啊
SIS645的主板能支持技嘉 GV-R955N2D雷神金刚吗
常期坐在电脑前会不会流产
怎样选购笔记本电脑
电脑启动小问题
电脑无法启动
4500左右能买什么样的电脑!急急
玩魔兽争霸,CPU使用率是100。这样正常么?
rootkit技术
怎么看硬盘上的那串字母?产商,型号,等等?
用什么显卡好
我的电脑为什么128兆内存变成30多兆的内存?此外怎样把硬盘格式化?
为什么有人说CRT显示器爆炸不会伤到人,因为爆炸时是往里爆炸的?是真的吗?
HP6L打印机不进纸
票证打印机打印总是多走一页纸!
点烟器线国家标准是什么?
为什么我在卸载旧的摄像头程序时提示"It will unninstall the driver!"怎样才能卸载呢?
显示器在开机的时候,有吱吱的响声,这是怎么回事啊,是显像管的问题吗?
要在一台笔记本上装无线网卡应该怎么办
屏蔽指什?,被屏蔽了如何解决.
请问现在一个17的夜晶显示器多少钱哈
低格DM硬盘(40G)时间是不是要很久?
电脑经常自动重启?
时丕明我好想你呀
老鸟给指点一下 看我这套方案如何
老鸟给指点一下啊 俺的攒机方案
HB56UW264DB-6L我内存条上芯片上写的.这是什么意思呀?
请教:我的是笔记本,想买台台式机那样的刻录机,可以吗?
MAYA 的教程
RIX无线鼠标是否采用802.11b
我们公司想要买一批售饭机(也有人叫它消费POS),谁知道哪里有?
600元左右的显卡有哪些较好用的
笔记本和台式机连接
现在130万像素的摄像头什么牌子性价比最好啊,大虾进~~
请问我GHOST软件DISK TO DISK 怎么克窿速度变慢拉原来20多分钟现在4个小时??
我该买个什么样的笔记本呢?
DDR333和DDR400可以一起用吗
17寸彩色显示器响应太慢的原因
为什么品牌机给的内存都那么少?
请问高手我的电脑一打开音乐就出现“DirectSound"驱动程序坏了请问怎么安装。
我的鼠标指针为哈到处乱跑?是不是有病毒了
怎样复制硬盘
1、软件名称2、车载mp3 3、pplive
100份文件用复印机和打印机哪个更省机器?
世霸815主版
人们长说的几点几的cpu是什么意思呀??
清华同方f5600刚买三个月能卖多少钱?
电脑状态栏的声音喇叭没了?
谁能帮我找个桌面时钟,要好看点的
请问有谁知道a6va分辨率
请问我把一个区给格式化了 能还原吗?
键盘有多少个键
APC指纹锁
富士通s2020能玩实况8么?
APC指纹锁
金正 my 307D MP3无法在我的电脑上打开,怎么办????
有谁知道西安哪有卖三手电脑的?
网卡驱动程序
sql安装盘刻录
硬盘响,还死机,怎么办?erro loading os
显示器不小心弄到水了怎么办?
sempron 3200+的cpu相当于奔腾几点几啊?
NOKIA3230可以通过GPRS连接电脑上网么?怎么设置?
移动硬盘如何分区?
为什么我的显示器经常自动关闭
手写商务通可以连在电脑上当写字板用吗///
主板的品牌有哪些?和北桥芯片。

100
91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 926546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577 578 579 580 581 582 583 584 585 586 587 588 589 590 591 592 593 594 595