专栏名称: 亿人安全
知其黑,守其白。手握利剑,心系安全。主要研究方向包括:Web、内网、红蓝对抗、代码审计、安卓逆向、工控、ctf系列。
今天看啥  ›  专栏  ›  亿人安全

应急响应——让Linux下的隐藏手段(Rootkit)无所遁形

亿人安全  · 公众号  ·  · 2024-10-10 11:36
    

文章预览

原文首发在:奇安信攻防社区 https://forum.butian.net/share/3796 本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法; 0x01 前言 本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法; 从技术实现原理上看,笔者把其常见的rootkit隐藏手段大致分为五大类: 1、通过文件挂载实现隐藏 2、通过用户层劫持链接器或链接库实现隐藏 3、通过劫持系统环境变量,劫持相关命令,从而实现对影藏 4、通过内核层劫持实现隐藏 5、通过ebpf完成的动态劫持内核逻辑实现隐藏 0x02 实现 一、通过挂载/proc/pid实现pid隐藏 原理 ps 、netstat 是遍历/p ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览