Suche senden
Hochladen
Rootkit 101
•
8 gefällt mir
•
11,822 views
H
hackstuff
Folgen
Rootkit for new guy
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 59
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Check out my blog : https://oalieno.github.io/2019/06/07/security/pwn/rootkit/ Introduction and implementation of rootkit. Targeting linux kernel 5.x.x.
Rootkit 101
Rootkit 101
WEI CHIEH CHAO
unixtoolbox_zh_CN
unixtoolbox_zh_CN
wensheng wei
調試器原理與架構
調試器原理與架構
hackstuff
cmd injection
cmd injection
hackstuff
OpenWRT Case Study
OpenWRT Case Study
Bob Chao
Bypat博客出品-利用cent os快速构建自己的发行版
Bypat博客出品-利用cent os快速构建自己的发行版
redhat9
利用Cent Os快速构建自己的发行版
利用Cent Os快速构建自己的发行版
xingsu1021
20121111 linux intro
20121111 linux intro
Chang Mt
Empfohlen
Check out my blog : https://oalieno.github.io/2019/06/07/security/pwn/rootkit/ Introduction and implementation of rootkit. Targeting linux kernel 5.x.x.
Rootkit 101
Rootkit 101
WEI CHIEH CHAO
unixtoolbox_zh_CN
unixtoolbox_zh_CN
wensheng wei
調試器原理與架構
調試器原理與架構
hackstuff
cmd injection
cmd injection
hackstuff
OpenWRT Case Study
OpenWRT Case Study
Bob Chao
Bypat博客出品-利用cent os快速构建自己的发行版
Bypat博客出品-利用cent os快速构建自己的发行版
redhat9
利用Cent Os快速构建自己的发行版
利用Cent Os快速构建自己的发行版
xingsu1021
20121111 linux intro
20121111 linux intro
Chang Mt
Orange @ NISRA 2012 / 05 / 22
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
文件自由日-台中場 再生龍於雲端環境之應用-備份服務與大資料平台佈署
再生龍於雲端環境之應用
再生龍於雲端環境之應用
Chenkai Sun
Mysql客户端的一些展示命令与源码 Mysqld服务端的展示命令与源码 Mysql复制状态信息的查看命令与源码 Innodb monitor信息展示与源码
Mysql展示功能与源码对应
Mysql展示功能与源码对应
zhaolinjnu
lamp
Lamp安全全攻略
Lamp安全全攻略
Da Zhao
對於 Server Side 來說很常需要的功能就是使用者上傳檔案,到底這個功能,程式開發者是用什麼樣的想法去實現它呢?而駭客又是用甚麼樣的眼光去看待它呢?請讓我們看下去! Orange@chroot.org
WebConf 2013「Best Practices - The Upload」
WebConf 2013「Best Practices - The Upload」
Orange Tsai
icecc 可以視為 distccc 2.0 來看待, 將編譯工作有效的分散到個台機器上, 可有效降低工作流程中的編譯時間, 並且對於 cross-compilation 的支援, 這份簡報的分享包含幾個部份: 1) icecc 安裝與環境的架設 2) 如何透過 icecc 進行 cross-compilation 3) 使用心得以及相關實驗的數據 4) icecc 運作原理與內部設計
icecream / icecc:分散式編譯系統簡介
icecream / icecc:分散式編譯系統簡介
Kito Cheng
Redis 存储分片之代理服务Twemproxy 测试
Redis 存储分片之代理服务twemproxy 测试
Redis 存储分片之代理服务twemproxy 测试
kaerseng
20030623 linuxbasic and-security
20030623 linuxbasic and-security
建融 黃
Unixtoolbox zh cn
Unixtoolbox zh cn
xdboy2006
Showing what systemD is. These slides had been wrote in traditional chinese.
The New Process No. 1 of Linux -- SystemD
The New Process No. 1 of Linux -- SystemD
freedman6022e20
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
Kito Cheng
Study-Area @ Tainan & Taichung
網頁安全 Web security 入門 @ Study-Area
網頁安全 Web security 入門 @ Study-Area
Orange Tsai
Web2.0 attack and defence
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
SQL injection duplicate error principle
SQL injection duplicate error principle
SQL injection duplicate error principle
hackstuff
Python 網頁爬蟲由淺入淺
Python 網頁爬蟲由淺入淺
Python 網頁爬蟲由淺入淺
hackstuff
新手無痛入門Apk逆向
新手無痛入門Apk逆向
新手無痛入門Apk逆向
hackstuff
Demo File: http://l4ys.tw/f/rop_demo.zip 介紹從 Buffer Overflow 到 Return-Oriented Programming 的基本原理以及簡單的 ROP 攻擊代碼撰寫與利用方式
ROP 輕鬆談
ROP 輕鬆談
hackstuff
Algo/Crypto about CTF
Algo/Crypto about CTF
Algo/Crypto about CTF
hackstuff
Android Security Development Part 1: App Development How to create safe App ?
Android Security Development
Android Security Development
hackstuff
Dvwa low level
Dvwa low level
Dvwa low level
hackstuff
Php lfi rfi掃盲大補帖
Php lfi rfi掃盲大補帖
hackstuff
Crawler
Crawler
hackstuff
Weitere ähnliche Inhalte
Was ist angesagt?
Orange @ NISRA 2012 / 05 / 22
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
文件自由日-台中場 再生龍於雲端環境之應用-備份服務與大資料平台佈署
再生龍於雲端環境之應用
再生龍於雲端環境之應用
Chenkai Sun
Mysql客户端的一些展示命令与源码 Mysqld服务端的展示命令与源码 Mysql复制状态信息的查看命令与源码 Innodb monitor信息展示与源码
Mysql展示功能与源码对应
Mysql展示功能与源码对应
zhaolinjnu
lamp
Lamp安全全攻略
Lamp安全全攻略
Da Zhao
對於 Server Side 來說很常需要的功能就是使用者上傳檔案,到底這個功能,程式開發者是用什麼樣的想法去實現它呢?而駭客又是用甚麼樣的眼光去看待它呢?請讓我們看下去! Orange@chroot.org
WebConf 2013「Best Practices - The Upload」
WebConf 2013「Best Practices - The Upload」
Orange Tsai
icecc 可以視為 distccc 2.0 來看待, 將編譯工作有效的分散到個台機器上, 可有效降低工作流程中的編譯時間, 並且對於 cross-compilation 的支援, 這份簡報的分享包含幾個部份: 1) icecc 安裝與環境的架設 2) 如何透過 icecc 進行 cross-compilation 3) 使用心得以及相關實驗的數據 4) icecc 運作原理與內部設計
icecream / icecc:分散式編譯系統簡介
icecream / icecc:分散式編譯系統簡介
Kito Cheng
Redis 存储分片之代理服务Twemproxy 测试
Redis 存储分片之代理服务twemproxy 测试
Redis 存储分片之代理服务twemproxy 测试
kaerseng
20030623 linuxbasic and-security
20030623 linuxbasic and-security
建融 黃
Unixtoolbox zh cn
Unixtoolbox zh cn
xdboy2006
Showing what systemD is. These slides had been wrote in traditional chinese.
The New Process No. 1 of Linux -- SystemD
The New Process No. 1 of Linux -- SystemD
freedman6022e20
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
Kito Cheng
Study-Area @ Tainan & Taichung
網頁安全 Web security 入門 @ Study-Area
網頁安全 Web security 入門 @ Study-Area
Orange Tsai
Was ist angesagt?
(12)
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
再生龍於雲端環境之應用
再生龍於雲端環境之應用
Mysql展示功能与源码对应
Mysql展示功能与源码对应
Lamp安全全攻略
Lamp安全全攻略
WebConf 2013「Best Practices - The Upload」
WebConf 2013「Best Practices - The Upload」
icecream / icecc:分散式編譯系統簡介
icecream / icecc:分散式編譯系統簡介
Redis 存储分片之代理服务twemproxy 测试
Redis 存储分片之代理服务twemproxy 测试
20030623 linuxbasic and-security
20030623 linuxbasic and-security
Unixtoolbox zh cn
Unixtoolbox zh cn
The New Process No. 1 of Linux -- SystemD
The New Process No. 1 of Linux -- SystemD
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
COSCUP 2014 : open source compiler 戰國時代的軍備競賽
網頁安全 Web security 入門 @ Study-Area
網頁安全 Web security 入門 @ Study-Area
Andere mochten auch
Web2.0 attack and defence
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
SQL injection duplicate error principle
SQL injection duplicate error principle
SQL injection duplicate error principle
hackstuff
Python 網頁爬蟲由淺入淺
Python 網頁爬蟲由淺入淺
Python 網頁爬蟲由淺入淺
hackstuff
新手無痛入門Apk逆向
新手無痛入門Apk逆向
新手無痛入門Apk逆向
hackstuff
Demo File: http://l4ys.tw/f/rop_demo.zip 介紹從 Buffer Overflow 到 Return-Oriented Programming 的基本原理以及簡單的 ROP 攻擊代碼撰寫與利用方式
ROP 輕鬆談
ROP 輕鬆談
hackstuff
Algo/Crypto about CTF
Algo/Crypto about CTF
Algo/Crypto about CTF
hackstuff
Android Security Development Part 1: App Development How to create safe App ?
Android Security Development
Android Security Development
hackstuff
Dvwa low level
Dvwa low level
Dvwa low level
hackstuff
Php lfi rfi掃盲大補帖
Php lfi rfi掃盲大補帖
hackstuff
Crawler
Crawler
hackstuff
Webshell 簡單應用
Webshell 簡單應用
hackstuff
Antivirus Bypass
Antivirus Bypass
hackstuff
The presentation a gave at the Drupal Design Camp Europe 2011 in Berlin. It is about the technology that drives the Theme API in Drupal 7.
Theme API
Theme API
rolfvandekrol
2007 CodeEngn Conference 01 Hook the Planet을 주제로 Windows 커널단의 후킹에 대한 전반적인 설명을 한다. http://codeengn.com/conference/01
[2007 CodeEngn Conference 01] dual5651 - Windows 커널단의 후킹
[2007 CodeEngn Conference 01] dual5651 - Windows 커널단의 후킹
GangSeok Lee
打雜一年四個月的簡陋分享。
在開始工作以前,我以為我會寫扣。
在開始工作以前,我以為我會寫扣。
Chih-Hsuan Kuo
Codeigniter custom Route
Codeigniter : Custom Routing - Manipulate Uri
Codeigniter : Custom Routing - Manipulate Uri
Abdul Malik Ikhsan
These slides cover how a debugger sets breakpoints on a debuggee process. I presented these slides at the Thursday evening 5-minutes-presentations at Recurse Center. Here's a more detailed explanation on the topic - http://majantali.net/2016/10/how-breakpoints-are-set/
Breakpoints
Breakpoints
Satabdi Das
對於 雲端運算中 執行的排程 最佳化的探討
排隊理論_An Exploration of The Optimization of Executive Scheduling in The Cloud ...
排隊理論_An Exploration of The Optimization of Executive Scheduling in The Cloud ...
婉萍 蔡
台灣SITCON投影片,by張家榮(Jared)。 mbed OS是ARM為了物聯網所推出的作業系統,號稱IOT界的Android,IOT無所不在,記錄大量的個人資料,於是安全性便顯得十分關鍵。 uVisor位於mbed最底層,為一專門負責安全的hypervisor,管理整個系統的記憶體安全;掌握了記憶體,就掌握了所有的輸入、輸出,就能確保程式碼、記憶體不會被任意執行、修改、竊取。 目前uVisor的完成度也相當低,開發進度緩慢,主要的原因是uVisor基於安全的考量,不允許I/O的直接存取,也就無法顯示任何訊息。 此計畫期望藉由整合多項開放原始碼專案:CrashDebug、CrashCatcher、MRI到uVisor,改善將來在mbed OS上開發App的開發者,可以在不影響到作業系統或其他box的情況下,順利除錯。
ARM uVisor Debug Refinement Project(debugging facility improvements)
ARM uVisor Debug Refinement Project(debugging facility improvements)
家榮 張
隱藏服務資訊、防止資訊洩漏 你有過被掃描工具塞好塞滿塞爆 Log 的經驗嗎? 你有過配置訊息被摸的一清二楚的尷尬窘境嗎? 無論是身為網管的你、伺服器維運者的你或是公司裡 the one and only 懂電腦的你,都必須懂得保護自己 Ref: https://svn.nmap.org/nmap/nmap-os-db
UCCU 朕不給的你不能看
UCCU 朕不給的你不能看
SHANG-DE JIANG
Andere mochten auch
(20)
Web2.0 attack and defence
Web2.0 attack and defence
SQL injection duplicate error principle
SQL injection duplicate error principle
Python 網頁爬蟲由淺入淺
Python 網頁爬蟲由淺入淺
新手無痛入門Apk逆向
新手無痛入門Apk逆向
ROP 輕鬆談
ROP 輕鬆談
Algo/Crypto about CTF
Algo/Crypto about CTF
Android Security Development
Android Security Development
Dvwa low level
Dvwa low level
Php lfi rfi掃盲大補帖
Php lfi rfi掃盲大補帖
Crawler
Crawler
Webshell 簡單應用
Webshell 簡單應用
Antivirus Bypass
Antivirus Bypass
Theme API
Theme API
[2007 CodeEngn Conference 01] dual5651 - Windows 커널단의 후킹
[2007 CodeEngn Conference 01] dual5651 - Windows 커널단의 후킹
在開始工作以前,我以為我會寫扣。
在開始工作以前,我以為我會寫扣。
Codeigniter : Custom Routing - Manipulate Uri
Codeigniter : Custom Routing - Manipulate Uri
Breakpoints
Breakpoints
排隊理論_An Exploration of The Optimization of Executive Scheduling in The Cloud ...
排隊理論_An Exploration of The Optimization of Executive Scheduling in The Cloud ...
ARM uVisor Debug Refinement Project(debugging facility improvements)
ARM uVisor Debug Refinement Project(debugging facility improvements)
UCCU 朕不給的你不能看
UCCU 朕不給的你不能看
Ähnlich wie Rootkit 101
HoneyCon 2013 的講題與簡報
Splunk資安智慧分析平台
Splunk資安智慧分析平台
Ching-Lin Tao
2014成功大學嵌入式系統實驗室暑期訓練之Linux Kernel(Power)的追蹤程式碼
2014暑期訓練之Linux kernel power
2014暑期訓練之Linux kernel power
冠宇 陳
Port Embedded Linux
嵌入式平台移植技巧概說
嵌入式平台移植技巧概說
Joseph Lu
Linux 檔案系統基本運作原理,LVM,Soft RAID,以及檔案系統應用。
Linux File system
Linux File system
Kenny (netman)
02.python.开发最佳实践
02.python.开发最佳实践
Na Lee
Mahout是hadoop上scalable machine learning工具,也是bigdata分析的解決方案。 這場talk會分享 hadoop與mahout環境快速建立的建議,避免還沒操作到mahout就在架環境時GG的困境,也會簡單介紹 recommendation,cluster,frequent pattern,...等原理,並搭配一些範例分享如何透過mahout來實作。
Mahout資料分析基礎入門
Mahout資料分析基礎入門
Jhang Raymond
HoneyCon 2012 的講題與簡報
APT行為偵測術
APT行為偵測術
Ching-Lin Tao
快快樂樂學 Scrapy
快快樂樂學 Scrapy
recast203
基于Oracle/Sun JDK与OpenJDK在Linux上的crash的几个案例分析
Java Crash分析(2012-05-10)
Java Crash分析(2012-05-10)
Kris Mok
Foundation of software development 2
Foundation of software development 2
netdbncku
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
對一個完全沒有接觸過 Kubernetes 的開發人員來說,要憑空想像這個全新架構,經常鴨子聽雷,摸不著頭緒。多奇數位創意在導入 Kubernetes 的過程中,就遇到了這個問題。 以至於在開發人員與 IT 人員溝通的過程中,產生了極大落差。保哥將在本次演說分享,多奇數位創意如何在實際導入 Kubernetes 架構的過程中,如何有效跟開發人員溝通,讓大家了解這個全新的平台跟開發人員之間的關係為何。 講者的話: 讓開發人員也能了解 Kubernetes 為他們帶來的效益,以及在 DevOps 的過程中如何有效溝通。 https://summit.ithome.com.tw/kubernetes/
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
Will Huang
Oracle10g Rac Configuration For Linux X86
Oracle10g Rac Configuration For Linux X86
Oracle10g Rac Configuration For Linux X86
dbabc
design pattern
设计模式之禅
设计模式之禅
sunnychuh
GOLANG TAIWAN GATHERING #77 X CNTUG 探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH 演講者:耿映翔 演講日期:2023/12/14 演講地點:天瓏書局
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
YingSiang Geng
# DevOps 人一定要知道的持續交付技巧 - Ansible & GitLab CI 實戰演練 > Mirror from https://speakerdeck.com/chusiang/continuous-delivery-workshop-with-ansible-x-gitlab-ci Ansible 是個與 Puppet, Salt, Chef 並列其四的 Infrastructure as Code 組態設定工具,其簡單易用的特性讓人愛不釋手;GitLab 是業界常見的 Git 私有版本控制服務,搭配其 GitLab CI 更能建立屬於自己的發佈流程。 本次凍仁將藉由工作坊的形式,帶領大家一探持續交付的世界和自動化的威力! * 活動網址: https://www.meetup.com/DigitalOceanHsinchu/events/243518189/ * Gist note: https://gist.github.com/chusiang/56843a737b8c3931c1736d6939a4e172 #Ansible #GitLab #DevOps #Workshop
Continuous Delivery Workshop with Ansible x GitLab CI
Continuous Delivery Workshop with Ansible x GitLab CI
Chu-Siang Lai
Simple tech-talk
Simple tech-talk
liltos
Install Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 L
heima911
unix toolbox 中文版
unix toolbox 中文版
Jie Bao
Python Class 2 - A basic real world case for python newbie
Learn python 2 - Real World Case
Learn python 2 - Real World Case
Chia-Hao Tsai
Ähnlich wie Rootkit 101
(20)
Splunk資安智慧分析平台
Splunk資安智慧分析平台
2014暑期訓練之Linux kernel power
2014暑期訓練之Linux kernel power
嵌入式平台移植技巧概說
嵌入式平台移植技巧概說
Linux File system
Linux File system
02.python.开发最佳实践
02.python.开发最佳实践
Mahout資料分析基礎入門
Mahout資料分析基礎入門
APT行為偵測術
APT行為偵測術
快快樂樂學 Scrapy
快快樂樂學 Scrapy
Java Crash分析(2012-05-10)
Java Crash分析(2012-05-10)
Foundation of software development 2
Foundation of software development 2
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
Oracle10g Rac Configuration For Linux X86
Oracle10g Rac Configuration For Linux X86
设计模式之禅
设计模式之禅
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
Continuous Delivery Workshop with Ansible x GitLab CI
Continuous Delivery Workshop with Ansible x GitLab CI
Simple tech-talk
Simple tech-talk
Install Oracle11g For Aix 5 L
Install Oracle11g For Aix 5 L
unix toolbox 中文版
unix toolbox 中文版
Learn python 2 - Real World Case
Learn python 2 - Real World Case
Rootkit 101
1.
Rootkit 101 -
僅適合新⼿手的 rootkit cmj @ 2015.07.19 1
2.
適合新⼿手 • 如果你會寫 rootkit
- 你可能太晚聽了~ • 如果你沒⽤用過 Linux - 你可能太早聽了~ 2
3.
內容 - 這次獻給⼤大家的~ ✤
根據經驗,我所看過的 rootkit ✤ 延伸 rootkit 原本的概念 ✤ 概念性的 rootkit 3
4.
能不能用,我也不知道 >.^ 4
5.
WARNING 投影⽚片內容可能包含不適合您閱讀的成⼈人⽂文章,請確定擁 有⾜足夠的⼼心智與判斷能⼒力,了解並分析接下來的內容是否 正確與合法。︒。本著作的作者不負擔任何您,因本著作⽽而衍 伸的任何法律問題:包含但不限於因任意⽂文字的排列組合 與圖⽰示造成⼼心智與/或財產的損失。︒。 5
6.
在開始之前,讓我們欣賞∼ 6
7.
電影:我是誰 7
8.
8
9.
我是誰:沒有絕對安全的系統 德國電影 9
10.
rootkit - wiki Rootkit是指其主要功能為:隱藏其他程式⾏行程的軟體,可 能是⼀一個或⼀一個以上的軟體組合;廣義⽽而⾔言,Rootkit也可 視為⼀一項技術。︒。 10
11.
竄改 & 隱藏 11
12.
12
13.
Simple Rootkit Design
- lv1 ✤ 簡單的欺騙 User ✤ 替換掉常⽤用的指令 ✤ ls / ps / top / … etc ✤ 你不需要太多程式技巧 13
14.
欺騙 14
15.
簡單,好用,萬解 15
16.
Simple Rootkit Design
- lv2 ✤ 替換程式 ✤ 需要點程式技巧 ✤ ⽅方法 ✤ 直接替換程式 (直接換掉 binary) ✤ 寫個 wrapper (多疊⼀一層) 16
17.
隱藏 (替換) 17
18.
好用,萬解 18
19.
しかし ✤ 除⾮非使⽤用者不跟主機直接互動 ✤ 明顯的操作上差異 ✤
⽤用起來會怪怪的 19
20.
回憶一下 20
21.
是否感到奇怪 21
22.
排版 / 顏色
/ … etc 22
23.
設計點有點難度的 rootkit 23
24.
Useful Rootkit Design
- lv3 ✤ 修改程式底層 ✤ 修改程式的函式庫 ✤ 概念 ✤ strace / dtruss / debuger / … etc 24
25.
程式設計師的⾃自我修養:連結、載⼊入、程式庫 來點修養吧 ~ 25
26.
C ✤ C 程式執⾏行的時候,可以: ✤
呼叫⾃自⼰己撰寫的邏輯 (function) ✤ 呼叫現成的邏輯 (Library) ✤ 你會⾃自⼰己寫 open file 嘛 … 26
27.
C ✤ C 程式執⾏行的時候,可以: ✤
呼叫⾃自⼰己撰寫的邏輯 (function) ✤ 呼叫現成的邏輯 (Library) ✤ 你會⾃自⼰己寫 open function 嘛 … 27
28.
Shared Library Hook using
LD_PRELOAD 28
29.
LD_PRELOAD Hook 29
30.
好用,但不卍解 30
31.
休息一下 ∼ 31
32.
rootkit 的世界 朕不給你,你不能搶! 32
33.
基本概念 劫持 ✤ 指令 ✤ 資料 ✤
syscall 33
34.
Other Idea ? 34
35.
依然是劫持 ls ✤ 如果你看到的資料其實不是你看到的 ✤
FUSE (File system in USEr space) 35
36.
啊∼ 再深一點∼∼∼ 36
37.
如果就根本上 (OS) 資料就不存在... 37
38.
Kernel-Level Rootkit 38
39.
Program Bugs User-Space ✤ crash
- Segment Fault / Abort ✤ core-dump Kernel-Space ✤ Call-Trace 39
40.
Robust is more
important than you expected 40
41.
Kernel Rootkit Design
- lv4 1. 開發環境 2. 決定 rootkit 的核⼼心技巧 3. 開發與除錯 41
42.
Kernel Rootkit Design
- lv4 1. 開發環境 2. 決定 rootkit 的核⼼心技巧 3. 開發與除錯 42
43.
Hook Syscall 43
44.
Hook Syscall 流程 ✤ 找到
syscall_table ✤ 竄改呼叫的 callback function 44
45.
sys_call_table 1. Easily way 2.
Normal way 3. Violent way 45
46.
sys_call_table 1. Easily way
- Find it out in System.map 2. Normal way 3. Violent way 46
47.
System.map 47
48.
sys_call_table 1. Easily way
- Find it out in System.map 2. Normal way - Dump on /proc/kallsyms 3. Violent way 48
49.
/proc/kallsyms 49
50.
sys_call_table 1. Easily way
- Find it out in System.map 2. Normal way - Dump on /proc/kallsyms 3. Violent way - Force search all kernel-level memory 50
51.
Brute-Force Search 51
52.
假設我們找到 syscall_table 52
53.
syscall_table 實作上 ✤ syscall_table 是⼀一個
function pointer 陣列 ✤ 根據 syscall 編號依序排列 53
54.
Hook getdent64 54
55.
挫折 ** n 55
56.
可不可以頂到肺∼ 56
57.
BIOS rootkit design
- lv5 57
58.
BIOS rootkit design
- lv5 我要很誠實的說:我不會 ⽽而且今天是 rootkit - 101,講 BIOS 就太誇張了~ 58
59.
Q & A Thanks
for your attention ~ 59
Jetzt herunterladen