2017.W10 Rootkit > 朕不給的 你看不到 ## 前言 ## 終於換講底層的東西了 ... ## 內容 ## Rootkit[0] 一種用來影藏行蹤的軟體 或者廣義來說是一種技術 在各作業系統中 都存在各種程度的 Rootkit 用來影藏資訊 根據不同的技術細節來說 可以將 Rootkit 分為若干程度： - User-Space[1] - Kernel-Space - Firmware and/or Hardware 在 User Space 的程度來看，Rootkit 的技術是直接串改監控程式的結果 透過利用函式庫注入[2] 等方式 將監控程式的結果過濾而達到影藏行蹤的目的 但如同他的攻擊方式需攻擊特定的程式 在使用不同的系統函數[3]的監控程式下 則依然無法達到完全匿蹤的目的 而在 Kernel Space 的角度來看 Rootkit 攻擊的則是作業系統最底層的系統函數 這個程度的函式庫是可呼叫的最底層函數 藉由攥改這一層的結果 過濾特定的資訊來達到匿蹤的目的 而最後的 Firmware/Hardware 層級 則是最底層的 Rootkit 從根本上就不讓作業系統發現特定的硬體 像是可以虛擬出來一個偽造的硬碟 而 Firmware 只允許特定狀態下才允許存取這個硬碟空間 在這種 Rootkit 下 無法透過任何系統函數讀到這個硬碟來達到將資料匿蹤的目的 以下是幾種在個作業系統的 Rootkit - Linux/LD_PRELOAD rootkit[4] - MicroSoft/Alureon[5] - Mac/rubilyn[6] [0]: https://zh.wikipedia.org/wiki/Rootkit [1]: https://zh.wikipedia.org/wiki/%E4%BD%BF%E7%94%A8%E8%80%85%E7%A9%BA%E9%96%93 [2]: https://en.wikipedia.org/wiki/DLL_injection [3]: https://en.wikipedia.org/wiki/System_call [4]: http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/ [5]: https://en.wikipedia.org/wiki/Alureon [6]: http://seclists.org/fulldisclosure/2012/Oct/55 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1488897362.A.060.html