1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-01-31 00:10:45 +09:00 committed by GitHub
parent 907976009e
commit c6d51140c1
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -273,10 +273,8 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
# rootkit
## LKM rootkit
- 動的にカーネルに組み込めるモジュールとしてLKM(Loadable Kernel Module)を利用
- LKMを利用してsys_call_tableの特定のカーネル関数のアドレスを任意のrootkitの機能を有した関数のアドレスへと書き換える
- システムコールが行われた際に本来とは異なるカーネル関数であるrootkitのカーネル関数が呼び出されることになる(システムコールフック)
- sys_call_tableへのアクセスは特権モードが必要であるためLKMを利用する
- 動的にカーネルに組み込めるモジュールであるLKM(Loadable Kernel Module)を利用してsys_call_tableの特定のカーネル関数のアドレスを任意の関数のアドレスへと書き換えることで本来とは異なるカーネル関数であるrootkitのカーネル関数等が呼び出せるようになる(システムコールフック)
- sys_call_tableへのアクセスは特権モードが必要であるためLKMを利用される
- rootkitの関数内で本来呼び出されるはずの正規のカーネル関数をあえて呼び出すことで正規の処理を行っているように見せかけることができる
- /proc/modulesからの隠ぺいも可能
- LKMについて
@ -294,7 +292,11 @@ rmmod [lkm_name].ko
**ref:**<br>
- LKMのrootkitへの応用について<br>
[侵入者の不利な情報を隠すLKM rootkitの仕組み,2003](https://www.atmarkit.co.jp/fsecurity/rensai/rootkit03/rootkit02.html)<br>
- サンプルLKM rootkit<br>
- サンプルLKM rootkit(work on Linux kernels 2.6.32-38 and 4.4.0-22 )<br>
[Linux Rootkit](https://github.com/nurupo/rootkit)
- サンプルLKM rootkitその(developed using linux kernel version 4.4.13)<br>
[rootkit-kernel-module](https://github.com/croemheld/lkm-rootkit)
- サンプルLKM rootkitその3(runs on kernel 2.6.x/3.x/4.x)<br>
[Reptile](https://github.com/f0rb1dd3n/Reptile)
- サンプルLKM rootkitその4(Tested on Linux kernel [4.19.62] & [4.15.0])<br>
[Sutekh](https://github.com/PinkP4nther/Sutekh)