Определяем Userland Preload Rootkits

Недавно был выпущен новый руткит по имени Азазель. Этот руткит похож на предыдущие версии Jynx/Jynx2, но является более продвинутым и сфокусирован на борьбе с отладкой и с методами обнаружения. Это приводит нас к проблеме обнаружения руткитов, такими продуктами как RkHunter. Проще говоря, если вы запустите этот инструмент в потенциально скомпрометированой среде, вы не можете доверять выводу этой программы. RkHunter опирается прежде всего на механизм обнаружение сигнатур, который прекрасен для известных угроз, которые используют дефолтные значения и имена файлов. Вот простой метод обнаружения, который сравнивает адрес системных вызовов загруженных напрямую с libc, а "рядом" адрес этого системного вызова. Сравнивая эти два значения, можно более точно определить Userland Preload Rootkits.

Продолжить чтение

Вы должны войти, чтобы отправлять комментарии на этот сайт - пожалуйста, либо войдите, либо - если вы еще не зарегистрированы - [щелкните] здесь , чтобы зарегистрироваться