adore-ng

Rootkit 之 adore-ng 模拟木马病毒

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。而我们今天要模拟学
锅巴少年·2020-06-30 03:10

链接分析【1】Linux内核模块rootkit adore-ng分析

之前笔者几篇文章介绍了改链接分析的文章.关联文章的地址    本文对Linux内核模块rootkit停止分析,对基于VFSoperationfunctionhook的adore-gn的实现停止分析。            完全内容请点击如下链接:    点击打开链接    摘要        Rootkit.2    adore-ngtestrun.3    testenv.3    compil
·2013-05-17 22:00

linux后门adore-ng

linux后门adore-ng也可以从这里下载http://stealth.openwall.net/rootkits/本文出自“Ach4ng”博客,请务必保留此出处http://ach4ng.blog
·2012-10-03 11:18

服务器被rootkit-ddrk攻击获得root权限的解决方案

已经两天了,上次解决掉一次,不过只删除了程序,应该是比较低级的root提权具体提权和清除方法摘录某黑客网站DDRK是一个Linux结合shv和adore-ng优点,内核级别的rootkit。
风光坏家伙·2012-05-06 18:42

图说adore-ng之进程隐藏

http://blog.csdn.net/sealyao/article/details/4667210
lucien_cc·2012-05-03 15:00

Linux下rootkit-ddrk攻击获得root权限以及清除方法

 DDRK是一个Linux结合shv和adore-ng优点,内核级别的rootkit。
xhh_0168·2011-05-11 15:35

两个linux内核rootkit--之二:adore-ng

转自:http://blog.csdn.net/dog250/archive/2010/02/09/5303688.aspx 这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏
cnctloveyu·2010-02-25 12:00

两个linux内核rootkit--之二:adore-ng

这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载:...//省略头
dog250·2010-02-09 22:00

两个linux内核rootkit--之二:adore-ng

这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
xitong·2010-02-09 22:00

两个linux内核rootkit--之二:adore-ng

这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
totoxian·2010-02-09 22:00

两个linux内核rootkit--之二:adore-ng

这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载:...//省略头
dog250·2010-02-09 22:00

图解 adore-ng之清理犯罪现场

Adore-ng清理现场的功能是在log中擦去我们想要隐藏的进程的一切消息。包括两个部分:1、Syslog记录的信息2、/var/log和/var/run中的特定文件。
sealyao·2009-10-26 20:00

图说adore-ng之端口隐藏

Strace可以看出:netstat的主要操作有:open/read 文件/proc/net/tcp,/proc/net/udp,/proc/net/raw……,如下图:adore-ng的实现: adore
sealyao·2009-10-20 13:00

图说adore-ng之进程隐藏

进程隐藏,使用户无法通过ps,top之类的命令,得到我们需要隐藏的进程信息。ps,top也是通过读/proc下的文件来完成的。Strace可以看出:ps,top的主要操作有:open/read文件/proc/XXX/stat和/proc/XXX/status,其中XXX是进程号;sys_getdents64。如下图:问题是我们在劫持readdir的时候,是不知道哪些进程是需要隐藏的,需要额外的信息
sealyao·2009-10-14 08:00

图说adore-ng之文件隐藏

文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数,让它读不出来。那读操作那个函数在哪呢?见下图。上图是以普通文件为例说明的,目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢?见下图。就是说,所有的ext2文
sealyao·2009-10-12 08:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他