前言

Rootkit木馬是一種系統(tǒng)內(nèi)核級(jí)病毒木馬，其進(jìn)入內(nèi)核模塊后能獲取到操作系統(tǒng)高級(jí)權(quán)限，從而使用各種底層技術(shù)隱藏和保護(hù)自身，繞開(kāi)安全軟件的檢測(cè)和查殺，通過(guò)加載特殊的驅(qū)動(dòng)，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏信息的目的。rootkit的取證分析是取證工作中的一大難點(diǎn)。

正文

常見(jiàn)的linux rookit取證方式有利用system.map發(fā)現(xiàn)_stext、_etext地址異常,檢測(cè)加載的異常庫(kù)文件，檢測(cè)LD_PRELOAD等。常用的軟件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以幫助我們快速的分析有無(wú)惡意軟件，以及惡意軟件使用的手法，快速發(fā)現(xiàn)rootkit痕跡。

今天看的兩個(gè)項(xiàng)目分別是Babyhids和bpf-hookdetect

先看的是bpf-hookdetect，對(duì)這幾個(gè)模塊進(jìn)行檢測(cè)

如果存在調(diào)用，則記錄。

在結(jié)束時(shí)判斷有無(wú)記錄，通過(guò)記錄判斷以及反饋有無(wú)hooked,以及一些進(jìn)程信息

記錄hooked的界面反饋

對(duì)于bpf-hookdetect，babyhids可以檢測(cè)內(nèi)核調(diào)用模塊文件，能得到更多信息。

babyhids界面hooked反饋

審核編輯：劉清