文章预览
原文首发在:奇安信攻防社区 https://forum.butian.net/share/3796 本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法; 0x01 前言 本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法; 从技术实现原理上看,笔者把其常见的rootkit隐藏手段大致分为五大类: 1、通过文件挂载实现隐藏 2、通过用户层劫持链接器或链接库实现隐藏 3、通过劫持系统环境变量,劫持相关命令,从而实现对影藏 4、通过内核层劫持实现隐藏 5、通过ebpf完成的动态劫持内核逻辑实现隐藏 0x02 实现 一、通过挂载/proc/pid实现pid隐藏 原理 ps 、netstat 是遍历/p
………………………………