linux后门adore-ng

Rootkit 之 adore-ng 模拟木马病毒锅巴少年 centos
Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。在我们生活中，经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是：良好的伪装使得对手对此长时间毫无察觉；他赢得敌人的信任并因此身居要职，这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。而我们今天要模拟学
链接分析【1】Linux内核模块rootkit adore-ng分析 linux
之前笔者几篇文章介绍了改链接分析的文章.关联文章的地址本文对Linux内核模块rootkit停止分析，对基于VFSoperationfunctionhook的adore-gn的实现停止分析。完全内容请点击如下链接：点击打开链接摘要 Rootkit.2 adore-ngtestrun.3 testenv.3 compil
linux后门adore-ng adore-ng
linux后门adore-ng也可以从这里下载http://stealth.openwall.net/rootkits/本文出自“Ach4ng”博客，请务必保留此出处http://ach4ng.blog.51cto.com/5617472/1011769
服务器被rootkit-ddrk攻击获得root权限的解决方案风光坏家伙 linux 服务器解决方案配置文件 root权限
已经两天了，上次解决掉一次，不过只删除了程序，应该是比较低级的root提权具体提权和清除方法摘录某黑客网站DDRK是一个Linux结合shv和adore-ng优点，内核级别的rootkit。DDRK中包含的文件：netstat #替换系统中的netstat，从ssh配置文件中读取端口并隐藏rk.ko #内核模块，实现文件和进程的隐藏功能setup #rootkit安装文件tty #ava工具bin
图说adore-ng之进程隐藏 lucien_cc
http://blog.csdn.net/sealyao/article/details/4667210
Linux下rootkit-ddrk攻击获得root权限以及清除方法 xhh_0168 linux 攻击 rootkit-ddrk ttyload ttymon
DDRK是一个Linux结合shv和adore-ng优点，内核级别的rootkit。DDRK中包含的文件：netstat #替换系统中的netstat，从ssh配置文件中读取端口并隐藏rk.ko #内核模块，实现文件和进程的隐藏功能setup #rootkit安装文件tty #ava工具bin.tgz ---ttymon ---sshd.tgz
两个linux内核rootkit--之二：adore-ng cnctloveyu struct 汇编 Module null FP linux内核
转自：http://blog.csdn.net/dog250/archive/2010/02/09/5303688.aspx 这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏
两个linux内核rootkit--之二：adore-ng dog250 汇编 struct Module null FP linux内核
这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏也是一个重要的内容，以下是一个简单的模块隐藏代码，使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载：...//省略头
两个linux内核rootkit--之二：adore-ng xitong linux
这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏也是一个重要的内容，以下是一个简单的模块隐藏代码，使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载： ...//省
两个linux内核rootkit--之二：adore-ng totoxian linux
这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏也是一个重要的内容，以下是一个简单的模块隐藏代码，使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载： ...//省
两个linux内核rootkit--之二：adore-ng dog250 struct 汇编 Module null FP linux内核
这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏也是一个重要的内容，以下是一个简单的模块隐藏代码，使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载：...//省略头
图解 adore-ng之清理犯罪现场 sealyao
Adore-ng清理现场的功能是在log中擦去我们想要隐藏的进程的一切消息。包括两个部分：1、Syslog记录的信息2、/var/log和/var/run中的特定文件。对于syslog，我们先看下syslog的工作流程：如上图所示，klogd和syslog之间是通过socket来实现通信的。adore对付syslog的方法是劫持sock_fs中的recvmsg。对于/var/log和/var/ru
图说adore-ng之端口隐藏 sealyao tcp buffer
端口隐藏，使用户无法通过netstat之类的命令，得到我们需要隐藏的端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出：netstat的主要操作有：open/read 文件/proc/net/tcp,/proc/net/udp,/proc/net/raw……，如下图:adore-ng的实现： adore默认隐藏的是tcp协议的端口2222和7350：1、找到p
图说adore-ng之进程隐藏 sealyao 工作
进程隐藏，使用户无法通过ps，top之类的命令，得到我们需要隐藏的进程信息。ps，top也是通过读/proc下的文件来完成的。Strace可以看出：ps，top的主要操作有：open/read文件/proc/XXX/stat和/proc/XXX/status，其中XXX是进程号；sys_getdents64。如下图：问题是我们在劫持readdir的时候，是不知道哪些进程是需要隐藏的，需要额外的信息
图说adore-ng之文件隐藏 sealyao struct ext File
文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数，让它读不出来。那读操作那个函数在哪呢？见下图。上图是以普通文件为例说明的，目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢？见下图。就是说，所有的ext2文
PHP，安卓，UI，java，linux视频教程合集 cocos2d-x小菜 java UI PHP android linux
╔-----------------------------------╗┆
各表中的列名必须唯一。在表 'dbo.XXX' 中多次指定了列名 'XXX'。 bozch .net .net mvc
在.net mvc5中，在执行某一操作的时候，出现了如下错误：各表中的列名必须唯一。在表 'dbo.XXX' 中多次指定了列名 'XXX'。经查询当前的操作与错误内容无关，经过对错误信息的排查发现，事故出现在数据库迁移上。回想过去：在迁移之前已经对数据库进行了添加字段操作，再次进行迁移插入XXX字段的时候，就会提示如上错误。 &
Java 对象大小的计算 e200702084 java
Java对象的大小如何计算一个对象的大小呢？
Mybatis Spring 171815164 mybatis
ApplicationContext ac = new ClassPathXmlApplicationContext("applicationContext.xml"); CustomerService userService = (CustomerService) ac.getBean("customerService"); Customer cust
JVM 不稳定参数 g21121 jvm
-XX 参数被称为不稳定参数，之所以这么叫是因为此类参数的设置很容易引起JVM 性能上的差异，使JVM 存在极大的不稳定性。当然这是在非合理设置的前提下，如果此类参数设置合理讲大大提高JVM 的性能及稳定性。可以说“不稳定参数”
用户自动登录网站永夜-极光用户
1.目标:实现用户登录后,再次登录就自动登录,无需用户名和密码 2.思路:将用户的信息保存为cookie 每次用户访问网站,通过filter拦截所有请求,在filter中读取所有的cookie,如果找到了保存登录信息的cookie,那么在cookie中读取登录信息,然后直接
centos7 安装后失去win7的引导记录程序员是怎么炼成的操作系统
1.使用root身份(必须)打开 /boot/grub2/grub.cfg 2.找到 ### BEGIN /etc/grub.d/30_os-prober ### 在后面添加 menuentry "Windows 7 (loader) (on /dev/sda1)" {
Oracle 10g 官方中文安装帮助文档以及Oracle官方中文教程文档下载 aijuans oracle
Oracle 10g 官方中文安装帮助文档下载：http://download.csdn.net/tag/Oracle%E4%B8%AD%E6%96%87API%EF%BC%8COracle%E4%B8%AD%E6%96%87%E6%96%87%E6%A1%A3%EF%BC%8Coracle%E5%AD%A6%E4%B9%A0%E6%96%87%E6%A1%A3 Oracle 10g 官方中文教程
JavaEE开源快速开发平台G4Studio_V3.2发布了無為子 AOP oracle mysql javaee G4Studio
我非常高兴地宣布,今天我们最新的JavaEE开源快速开发平台G4Studio_V3.2版本已经正式发布。大家可以通过如下地址下载。访问G4Studio网站 http://www.g4it.org G4Studio_V3.2版本变更日志功能新增 (1).新增了系统右下角滑出提示窗口功能。 (2).新增了文件资源的Zip压缩和解压缩
Oracle常用的单行函数应用技巧总结百合不是茶日期函数转换函数(核心)数字函数通用函数(核心)字符函数
单行函数; 字符函数,数字函数,日期函数,转换函数(核心),通用函数(核心) 一:字符函数: .UPPER(字符串) 将字符串转为大写 .LOWER (字符串) 将字符串转为小写 .INITCAP(字符串) 将首字母大写 .LENGTH (字符串) 字符串的长度 .REPLACE(字符串,'A','_') 将字符串字符A转换成_
Mockito异常测试实例 bijian1013 java 单元测试 mockito
Mockito异常测试实例： package com.bijian.study; import static org.mockito.Mockito.mock; import static org.mockito.Mockito.when; import org.junit.Assert; import org.junit.Test; import org.mockito.
GA与量子恒道统计 Bill_chen JavaScript 浏览器百度 Google 防火墙
前一阵子，统计**网址时，Google Analytics（GA）和量子恒道统计（也称量子统计），数据有较大的偏差，仔细找相关资料研究了下，总结如下：为何GA和量子网站统计（量子统计前身为雅虎统计）结果不同？首先：没有一种网站统计工具能保证百分之百的准确出现该问题可能有以下几个原因：（1）不同的统计分析系统的算法机制不同；（2）统计代码放置的位置和前后
【Linux命令三】Top命令 bit1129 linux命令
Linux的Top命令类似于Windows的任务管理器，可以查看当前系统的运行情况，包括CPU、内存的使用情况等。如下是一个Top命令的执行结果： top - 21:22:04 up 1 day, 23:49, 1 user, load average: 1.10, 1.66, 1.99 Tasks: 202 total, 4 running, 198 sl
spring四种依赖注入方式白糖_ spring
平常的java开发中，程序员在某个类中需要依赖其它类的方法，则通常是new一个依赖类再调用类实例的方法，这种开发存在的问题是new的类实例不好统一管理，spring提出了依赖注入的思想，即依赖类不由程序员实例化，而是通过spring容器帮我们new指定实例并且将实例注入到需要该对象的类中。依赖注入的另一种说法是“控制反转”，通俗的理解是：平常我们new一个实例，这个实例的控制权是我
angular.injector boyitech AngularJS AngularJS API
angular.injector 描述: 创建一个injector对象, 调用injector对象的方法可以获得angular的service, 或者用来做依赖注入. 使用方法: angular.injector(modules, [strictDi]) 参数详解: Param Type Details mod
java-同步访问一个数组Integer[10]，生产者不断地往数组放入整数1000，数组满时等待；消费者不断地将数组里面的数置零，数组空时等待 bylijinnan Integer
public class PC { /** * 题目：生产者-消费者。 * 同步访问一个数组Integer[10]，生产者不断地往数组放入整数1000，数组满时等待；消费者不断地将数组里面的数置零，数组空时等待。 */ private static final Integer[] val=new Integer[10]; private static
使用Struts2.2.1配置 Chen.H apache spring Web xml struts
Struts2.2.1 需要如下 jar包: commons-fileupload-1.2.1.jar commons-io-1.3.2.jar commons-logging-1.0.4.jar freemarker-2.3.16.jar javassist-3.7.ga.jar ognl-3.0.jar spring.jar struts2-core-2.2.1.jar struts2-sp
[职业与教育]青春之歌 comsci 教育
每个人都有自己的青春之歌............但是我要说的却不是青春... 大家如果在自己的职业生涯没有给自己以后创业留一点点机会,仅仅凭学历和人脉关系,是难以在竞争激烈的市场中生存下去的.... &nbs
oracle连接(join)中使用using关键字 daizj JOIN oracle sql using
在oracle连接(join)中使用using关键字 34. View the Exhibit and examine the structure of the ORDERS and ORDER_ITEMS tables. Evaluate the following SQL statement: SELECT oi.order_id, product_id, order_date FRO
NIO示例 daysinsun nio
NIO服务端代码： public class NIOServer { private Selector selector; public void startServer(int port) throws IOException { ServerSocketChannel serverChannel = ServerSocketChannel.open(
C语言学习homework1 dcj3sjt126com c homework
0、课堂练习做完 1、使用sizeof计算出你所知道的所有的类型占用的空间。 int x; sizeof(x); sizeof(int); # include <stdio.h> int main(void) { int x1; char x2; double x3; float x4; printf(&quo
select in order by , mysql排序 dcj3sjt126com mysql
If i select like this: SELECT id FROM users WHERE id IN(3,4,8,1); This by default will select users in this order 1,3,4,8, I would like to select them in the same order that i put IN() values so:
页面校验-新建项目 fanxiaolong 页面校验
$(document).ready( function() { var flag = true; $('#changeform').submit(function() { var projectScValNull = true; var s =""; var parent_id = $("#parent_id").v
Ehcache（02）——ehcache.xml简介 234390216 ehcache ehcache.xml 简介
ehcache.xml简介 ehcache.xml文件是用来定义Ehcache的配置信息的，更准确的来说它是定义CacheManager的配置信息的。根据之前我们在《Ehcache简介》一文中对CacheManager的介绍我们知道一切Ehcache的应用都是从CacheManager开始的。在不指定配置信
junit 4.11中三个新功能 jackyrong java
junit 4.11中两个新增的功能，首先是注解中可以参数化，比如 import static org.junit.Assert.assertEquals; import java.util.Arrays; import org.junit.Test; import org.junit.runner.RunWith; import org.junit.runn
国外程序员爱用苹果Mac电脑的10大理由 php教程分享 windows PHP unix Microsoft perl
Mac 在国外很受欢迎，尤其是在设计/web开发/IT 人员圈子里。普通用户喜欢 Mac 可以理解，毕竟 Mac 设计美观，简单好用，没有病毒。那么为什么专业人士也对 Mac 情有独钟呢？从个人使用经验来看我想有下面几个原因： 1、Mac OS X 是基于 Unix 的这一点太重要了，尤其是对开发人员，至少对于我来说很重要，这意味着Unix 下一堆好用的工具都可以随手捡到。如果你是个 wi
位运算、异或的实际应用 wenjinglian 位运算
一．位操作基础，用一张表描述位操作符的应用规则并详细解释。二．常用位操作小技巧，有判断奇偶、交换两数、变换符号、求绝对值。三．位操作与空间压缩，针对筛素数进行空间压缩。 &n
weblogic部署项目出现的一些问题（持续补充中……） Everyday都不同 weblogic部署失败
好吧，weblogic的问题确实…… 问题一： org.springframework.beans.factory.BeanDefinitionStoreException: Failed to read candidate component class: URL [zip:E:/weblogic/user_projects/domains/base_domain/serve
tomcat7性能调优（01） toknowme tomcat7
Tomcat优化： 1、最大连接数最大线程等设置 <Connector port="8082" protocol="HTTP/1.1" useBodyEncodingForURI="t
PO VO DAO DTO BO TO概念与区别 xp9802 java DAO 设计模式 bean 领域模型
O/R Mapping 是 Object Relational Mapping（对象关系映射）的缩写。通俗点讲，就是将对象与关系数据库绑定，用对象来表示关系数据。在O/R Mapping的世界里，有两个基本的也是重要的东东需要了解，即VO，PO。它们的关系应该是相互独立的，一个VO可以只是PO的部分，也可以是多个PO构成，同样也可以等同于一个PO（指的是他们的属性）。这样，PO独立出来，数据持

linux后门adore-ng

你可能感兴趣的:(adore-ng)