Опрос на сайте

для игр
для работы
для учёбы
для всего
незнаю, все купили и я купил


Календарь
«    Октябрь 2013    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Архив новостей
Июль 2010 (5)
Июнь 2010 (12)
Декабрь 2009 (6)
Июль 2008 (6)
Июнь 2008 (6)
Март 2008 (6)
Февраль 2008 (5)
Январь 2008 (5)
Декабрь 2007 (11)
Ноябрь 2007 (13)
Октябрь 2007 (11)
Сентябрь 2007 (11)
Апрель 2007 (7)

Наши друзья


Популярные статьи

Статистика

Июнь 2010 (12)
Декабрь 2009 (6)
Июль 2008 (6)
Июнь 2008 (6)
Март 2008 (6)
Февраль 2008 (5)
Январь 2008 (5)
Декабрь 2007 (11)
Ноябрь 2007 (13)
Октябрь 2007 (11)
Сентябрь 2007 (11)
Апрель 2007 (7)

-->

Несколько конкретных примеров RootKit уровня ядра

24.02.2020

Adore - RootKit уровня ядра для Linux

Подобно Knark, Adore является RootKit на базе LKM, нацеленным на систему Linux. Он включает стандартные возможности RootKit уровня ядра, в частности сокрытие файлов, процессов, сети и модули ядра. Однако мы рассматриваем 1xbet зеркало, потому что в нем есть сильное дополнительное свойство: встроенный черный ход с правами супервизора.

Встроенный черный ход Adore позволяет атакующему соединяться с системой и получать приглашение командной оболочки с правами супервизора. Это довольно простая штука, Netcat делает то же самое. Хорошим новшеством Adore является включение данной функции непосредственно в модуль ядра. Обнаружить программу очень трудно, потому что нет никаких указаний на файлы, процессы или слушание сетевых портов.

Загружаемый модуль ядра с RootKit для Solaris

Загружаемый модуль ядра с RootKit для Solaris, возможно, даже более разрушителен, чем инструмент для Linux, - просто потому, что намного больше серверов Internet основаны на Solaris. Plasmoid - член компьютерного андеграунда, связанный с сайтом «Выбор хакера» (The Hacher’s Choice), написал превосходную «белую» статью о LKM с RootKit для Solaris.

LKM с RootKit для Solaris включает переадресацию выполнения, сокрытие файлов и процессов. Дополнительно он описывает, как переадресовать любой системный вызов, сделанный каждым приложением на машине. Так, любая программа, которая запрашивает открытие файла, выполнение или удаление его либо делает любой другой системный вызов, может быть переадресована атакующим по своему усмотрению. Эта возможность позволяет управлять системой на очень мелком уровне детализации.

RootKit уровня ядра для Windows NT от RootKit

Большая работа по RootKit уровня ядра для Windows NT проделана группой, организованной Грэгом Хоглундом (Greg Hoglund). Этот инструмент не является загружаемым модулем ядра. Он выполнен как патч для ядра Windows NT. Ядро Windows NT не поддерживает загружаемые модули ядра, но само ядро может быть исправлено атакующим с помощью патча, устанавливающего RootKit уровня ядра. Хотя работа над RootKit уровня ядра для Windows NT еще не завершена, данный инструмент в своей нынешней форме довольно силен. Он поддерживает переадресацию выполнения и сокрытие нужных записей в системном реестре. Администратор не способен увидеть атакующего в системном реестре при помощи средства просмотра системного реестра или редактора записи. Дополнительно RootKit для Windows NT предлагает атакующему прямой доступ к сетевой карте, позволяя посылать или получать произвольный сетевой трафик.





























Главная страница | Партнёры | Контакты | Статистика | Прайс | RSS Информер