应急响应——让Linux下的隐藏手段(Rootkit)无所遁形

文章预览

原文首发在：奇安信攻防社区 https://forum.butian.net/share/3796 本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法； 0x01 前言 本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法； 从技术实现原理上看，笔者把其常见的rootkit隐藏手段大致分为五大类： 1、通过文件挂载实现隐藏 2、通过用户层劫持链接器或链接库实现隐藏 3、通过劫持系统环境变量，劫持相关命令，从而实现对影藏 4、通过内核层劫持实现隐藏 5、通过ebpf完成的动态劫持内核逻辑实现隐藏 0x02 实现 一、通过挂载/proc/pid实现pid隐藏 原理 ps 、netstat 是遍历/p ………………………………