NSFocus Information Technology Co. Ltd.
RootKit技术(Windows系统)
于旸(yuyang@nsfocus.com) 绿盟科技 2005年10月
Professional Security Solution Provider
今天的内容 什么是RootKit 简单介绍Unix的RootKit Windows的RootKit
– –
编写技术 检测技术
RootKit的未来
Professional Security Solution Provider
1
什么是RootKit "Root" "Kit"——"系统管理员工具箱" 最早在Unix系统下出现
–
原意:由多个工具组成的工具包,在入侵后用来清除日 志,留后门等 修改过的ls,find,ps,netstat,login,ssh…… 设置rootshell,cron后门…… Sniff程序 用于清除日志的脚本,zap……
– – – –
现在通常把具有隐藏文件,进程,网络连接等功能 的后门称之为RootKit
Professional Security Solution Provider
2
现代RootKit的基本特征
能够隐藏文件
–
自身和指定的其他文件
能够隐藏进程
–
自身和指定的其他进程
隐藏网络通讯 隐藏其他相关的信息
– –
隐藏注册表键值(在Windows系统下) 过滤掉RootKit可能产生的日志
入侵者可通过主动或者被动的网络连接控制安装了RootKit 的系统
Professional Security Solution Provider
3
Unix上的RootKit 编写Unix RootKit具有先天的优势
– –
大多数比较容易得到源代码 历史悠久,相关文档多
Unix RootKit的数量比较多 相应的检测方法也比较成熟 Unix上的RootKit的种类
– – –
传统RootKit LKM 直接修改内核
4
Professional Security Solution Provider
Unix上的RootKit——LKM LKM:Loadable Kernel Moudle 最常见的平台是Linux,其次是Sun OS LKM RootKit的特点
–
装/卸载简单

下一页