Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
28.02.2006, 15:12
|
|
Новичок
Регистрация: 11.09.2005
Сообщений: 24
Провел на форуме:
42595
Репутация:
13
|
|
Root-kit. Ваше мнение
Какой rootkit на данный момет лучший? Ваше мнение + обоснование. LRK не обсуждаем... устарело.
Обсуждаем LKM и KIS rootkit'ы...
Может есть что-то более современное?
Как сдклать rootkit устойчивым от перезагрузок?
Какие есть rootkit'ы, который прикрепляются к существующим модулям ядра Linux.
P.S.
Я вот встретил пост на одном форуме... что вы по этому поводу думаете?
Hi,
at first s00ry for this banner.(I am interested in how many people send me to hell  )
So lets go: -> I am looking for people who wants to develope with me a modern type of rootkit (oh no shits such ADORE/KNARK).
I have got prototype now.
Some description:
- no LKM support needed (/dev/kmem)
- no compilation on victim
- all kernels support
- !!! no change syscall table -> means this:
example mkdir():
user -> kernel -> syscall -> "hacked"mkdir() -> jmp fake_mkdir() -> repair original mkdir() -> mkdir () -> "hack again" mkdir() -> kernel -> user
(idea form Silvio Cesare, i have never seen this metod in published rootkit)
Thx.Blackhunter
(ps:again sorry) |
|
|
11.02.2007, 18:05
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
>>- no LKM support needed (/dev/kmem)
Есть такие вещи, уже реализованны и валаяются в паблике на пакетсторме
>>- no compilation on victim
Реализовать, ИМХО, очень сложно, непереносимо и ненадёжно, учитывая перманентное изменение и развитие систем и ядер в частности. Какая-то направленность на проприетарность, что не есть хорошо =) Даже руткиты под открытые системы должны быть OpenSource!
>>- all kernels support
То же самое, что и выше, + автор не привёл название системы, для которой создаётся rootkit. (Linux? FreeBSD?)
>>- !!! no change syscall table -> means this:
example mkdir():
user -> kernel -> syscall -> "hacked"mkdir() -> jmp fake_mkdir() -> repair original mkdir() -> mkdir () -> "hack again" mkdir() -> kernel -> user
Не пойму как он это реализовывать собрался...
А насчёт патчинга kmem советую почитать статью Silvio Cesare здесь - http://reactor-core.org/runtime-kernel-patching.html Хотя идея уже очень тухлая.
Если собрать всё воедино, то имеем следующее:
mood-nt - 2.4.x/2.6.x kernels suckit2-like, работает с /dev/kmem
enyelkm - LKM-руткит, который не модифицирует sys_call_table.
Получается, функционал есть и уже реализован. Зачем изобретать велосипед ещё раз. Если только для собственной практики...
По большому счёту всю эту роскошь чаще всего можно не использовать, т.к даже на крупных хостингах с помощью обычных LKM типа itx-ng можно продержаться достаточно долго.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 11.02.2007 в 18:24..
|
|
|
|
28.02.2007, 22:38
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Кстати, вот в тему этого:
>>user -> kernel -> syscall -> "hacked"mkdir() -> jmp fake_mkdir() -> >>repair original mkdir() -> mkdir () -> "hack again" mkdir() -> kernel -> >>user
О чем-то подобном писал Крис Касперски в статье "Призраки ядра".
Там вкратце обсуждалась тема про патчинг самого сискола с внедрением jmp на "hacked" обрабочик. Однако, по его словам, это связанно с трудностями, точнее необходимостью тянуть за собой дизассемблер. В общем, тема обширная. Если у кого есть интересные материалы по этому поводу - кидайте линки. Избитые и всем известные темы типа phrack не придлагать =)
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
