Kernel Hacking (RootKits)
Apresentamos neste trabalho uma teoria completa sobre kernel hacking, mostrando assim suas vantagens, desvantagens e soluções utilizadas pelos administradores de sistemas para contra-atacar as implementações tão geniosas dos atacantes, sobressaltando a utilização de rootkits.
[ Hits: 28.858 ]
Por: Guilherme Junior em 21/12/2006 | Blog: http://www.i9technologia.com/igui
Como encontrar a tabela de chamadas de sistema
Após a obtenção do endereço da tabela de chamadas de sistema, o rootkit fica sem limites. O desenvolvedor pode rodar o strace para descobrir quais chamadas de sistema precisa manipular para enganar um programa específico.
A relação dos rootkits com o kernel 2.6
Um alívio aos usuários do kernel 2.6, pois como exceção do Adore-NG, não existem rootkits disponíveis para esta versão, tanto benignos quanto malignos.O motivo deste alívio é que os kernels mais antigos utilizam símbolos para exportar a tabela de chamadas de sistema, tornando mais fácil modificar tais chamadas, enquanto que o kernel 2.6 mantém esses endereços em segredo. Um atacante precisaria dispor dos seguintes recursos para alterar uma chamada de sistema:
- O código-fonte do kernel e os arquivos criados durante a compilação;
- Um link simbólico de /lib/modules/versão_do_kernel/build para /usr/src/versão_do_kernel;
- Um kernel.conf correspondente;
- Um Makefile para rootkit;
Conclusões
Mesmo que os administradores façam uso de programas que utilizem checksums, como por exemplo o Aide ou o Tripwire, isto não garante a sua proteção, pois estes são programas alocados no espaço do usuário e os rootkits de kernel manipulam diretamente as chamadas de sistema ou qualquer outra parte do kernel enganando assim qualquer programa do espaço do usuário.Para averiguação de invasões e etc o administrador deve exatamente saber como o rootkit funciona para assim buscar evidências.
É importante saber ainda que para cada rootkit a ser analisado, os alvos a serem examinados e procurados são possivelmente diferentes.
Se mesmo após a leitura do artigo surgir alguma dúvida sobre o tema (KERNEL HACKING), por favor envie um e-mail para domguilherme -o- gmail.com. Ficarei feliz em ajudá-lo.
2. Kernel dinâmico
3. Como encontrar a tabela de chamadas de sistema
Entendendo o que é Engenharia Social
Suporte a SATA NCQ em chipset NForce
Compilando Kernel no CentOS 6.0
O kernel do Linux: A definição, importância e funcionalidades
Compilando um Kernel customizado a partir do código-fonte do Kernel do Debian 12
Gerência e criação de módulos do kernel
Interessantíssimo esse artigo, parabéns, por esses e outros motivos sempre é importante baixar somente programas de origens confiáveis, pois do contrário poderá ter seu sistema completamente comprometido.
Muito bom o artigo. Principalmente porque não se tem muito material em PT-BR sobre rootkits e afins. E nem como eles agem.
10.
Parabéns
Mando mtt bemm!!
Já te mandei um e-mail blz??
FALOWSS!!
IcePeak
Ótimo artigo
Saber como os RootKits funcionam é ótimo, pois é uma ameaça real em servidores Linux.
Valeu,pois esta ferramenta maliciosa(Rootkits),com certeza sao as mais ultilizadas na atualidade ,visto que,a mesma fornece muita objetividade,agora quanto a ser detectadas ou não vai de depender de quem configura o Rootkits e dos administradores que manipulam os caçadores de Rootkits,valeu camarada por fornecer esse conhecimento,obrigado!!!
Excelente artigo!
Exatamente o que eu estava precisando!
Que tal uma continuação se aprofundando nos rootkits que "trabalham" no kernel?
Parabéns, Guilheme.
Muito bom o seu texto.
Só queria contribuir com uma observação.
Como vc mesmo alertou, há uma enorme possibilidade de se manipular a tabela de interrupções, seria prudente o administrador utilizar ferramentas de administração de sistema compiladas estaticamente e, se possível, gravá-las em uma mídia (cd ou dvd).
Assim, vc garante que , mesmo que seu sistema seja invadido e um rootkit seja utilizado, vc não terá uma saída duvidosa de seus comandos de administração, como ps, netstat e lsmod.
Por fim, gostaria de parabenizar você pela iniciativa e , acima de tudo, pela abordagem no seu texto. Estou no aguardo de mais artigos sobre o assunto.
Parabéns ;-)
Patrocínio
Destaques
Artigos
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Dicas
Encontre seus arquivos facilmente com o Drill
Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Tópicos
Dúvida - RAID 1 - Cópia de disco - Grub - Debian (4)
Ubuntu 22.04 / Bluethooth - Falha na conexão BlueZ | Não conecta caixa... (2)
Top 10 do mês
-
Xerxes
1° lugar - 66.766 pts -
Fábio Berbert de Paula
2° lugar - 51.193 pts -
Mauricio Ferrari
3° lugar - 14.900 pts -
Alberto Federman Neto.
4° lugar - 13.767 pts -
Daniel Lara Souza
5° lugar - 13.400 pts -
Diego Mendes Rodrigues
6° lugar - 12.427 pts -
Buckminster
7° lugar - 12.004 pts -
edps
8° lugar - 11.670 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.791 pts -
Andre (pinduvoz)
10° lugar - 10.261 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
