• 2024-10-12【应急响应+Linux】常见的rootkit隐藏手段:前言
    原文首发在:奇安信攻防社区https://forum.butian.net/share/3796本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法;前言本文主要针对黑灰产、以及蠕木僵毒等恶意软
  • 2024-10-12【应急响应+Linux】常见的rootkit隐藏手段:通过用户层劫持加载器/连接器隐藏进程pld(用户层rootkit)
    原理linux在进程启动后,和windows加载dll一样会按照一定的顺序加载动态链接库,相关顺序如下:加载环境变量LD_PRELOAD指定的动态库加载文件/etc/ld.so.preload指定的动态库搜索环境变量LD_LIBRARY_PATH指定的动态库搜索路径搜索路径/lib64下的动态库文件攻击者常见使用的劫
  • 2024-10-12【应急响应+Linux】常见的rootkit隐藏手段:通过劫持shell环境,实现文件、进程名隐藏等操作
    原理修改或构造/etc/profile.d/下sh文件,劫持环境变量,从而实现覆盖常见的命令,如:ps、ls、lsof等;实现:1、配置环境变量shell脚本:重新登录用户之后;或者使用命令source/etc/profile更新配置,使生效;2、根目录下存在的myshell.sh文件被隐藏:执行ls命令效果:排查方法:使用strace
  • 2024-10-12【应急响应+Linux】常见的rootkit隐藏手段:通过挂载/proc/pid实现pid隐藏
    原理ps、netstat是遍历/proc来显示pid的原理,通过隐藏相关/proc/pid文件夹来实现pid隐藏实现运行如下命令,将pid对应文件夹挂载到隐藏目录上面mount-obind/home/.hidden/proc/9212现象:如下图,使用root权限调用netstat发现PID和Programname都是空:排查方法1、ca
  • 2024-08-26如何使用Kdrill检测Windows内核中潜在的rootkit
    关于KdrillKdrill是一款用于分析Windows64b系统内核空间安全的工具,该工具基于纯Python3开发,旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。需要注意的是,该项目与Python2/3兼容,无其他依赖组件,无需Microsoft符号或网络连接即可执行安全检查。KDrill还
  • 2023-07-06[Rootkit] 修改 peb 隐藏 dll(断链)
    PEB中有一个成员Ldr:typedefstruct_PEB{UCHARInheritedAddressSpace;UCHARReadImageFileExecOptions;UCHARBeingDebugged;UCHARBitField;ULONGImageUsesLargePages:1;ULONGIsProtectedProcess:1;ULONGIsLegacyProcess:1;
  • 2023-05-03使用psscan检测dkom攻击——对于那些直接修改内存对象的rootkit,例如通过dkom实现进程隐藏,这个命令就非常好用了
    pslist和psscan的区别列表:“pslist”模块使用与将在实时计算机上执行的任务列表命令相同的算法。而且,Windows任务管理器也使用相同的方法。上面提到的命令“pslist”遍历Windows内核维护的活动进程结构列表。windows内核使用EPROCESS数据结构来描述每一个
  • 2023-03-21rootkit隐藏端口
    1.基本原理rootkit隐藏的基本步骤是:hook掉某一个系统函数,用自己的函数代替自己的函数调用原函数,然后对于原函数的结果进行处理返回处理结果2.实现2.1应该hook
  • 2022-12-22一款隐藏嵌入式Rookit的DDoS木马分析
    一款隐藏嵌入式Rookit的DDoS木马分析发布于2018-02-0610:07:28阅读 7150 该款木马分析文章在2015年由@PETERKÁLNAI最先发表于AVAST的公开blog中,木马的架构
  • 2022-12-08僵尸网络:如何植入电脑的简易课程
    Botnets:Howtogetrootedinoneeasylesson僵尸网络:如何植入电脑的简易课程Author:MichaelKassner作者:MichaelKassner翻译:endurer,2008-12-02,第3版Category:General
  • 2022-09-02Linux Rootkit技术
    一、介绍 Rootkit这一概念最早出现于上个世纪九十年代初期,CERTCoordinationCenter(CERT/CC)于1994年在CA-1994-01这篇安全咨询报告中使用了Rootkit这个词汇。在这之后R