学学习网 手机版

学学习网

学习路径: 学习首页 > Internet > 网络安全 >

核心级别的rootkits

设置字体:
----------------------------------

  Rootkits是被广泛使用的工具,允许攻击者获得后门级访问。过去,rootkits通常是替换操作系统中的正常二进制执行程序,如 login程序、ifconfig程序等。但这两年来rootkits发展很快,发展到直接对底层内核进行操作,而不再需要去修改单个的程序。

  通过修改操作系统核心,内核级的rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别,它们通常都包含重定向系统调用的能 力。因此,当用户执行类似ps,netstat或者ifconfig –a之类的指令的时候,实际执行的是一个特洛伊的版本。这些工具还可以隐藏进程、文件和端口使用情况等,用户将得不到真实的系统情况报告。

  目前攻击者使用的rootkits有Linux、solaris和windows等系统的版本。Kernel Intrusion System是其中的一款(For Linux),是功能最强大的内核级rootkits之一。

  对于非内核级的rootkits,可以使用前面说过的完整性检查工具检查二进制执行程序文件被修改的情况。这个方法对内核级rootkits不管用。

  要对付内核级的rootkits,必须加固临界系统的内核。St. Jude Project是一款监测Linux内核完整性的工具,它通过监测系统调用表的修改情况来实现对内核完整性的监控。还可以将系统配置成为固化内核的形式, 建立一个不支持LKMs(loadable kernel modules)的系统内核。这样的系统效率更高,因为内存管理更简单。

  另外的办法是自己加固内核。Argus Systems Group提供的PitBull工具,通过限制用户访问系统程序和内核来保护Solaris等系统的内核。另外象SELinux和Trusted Solaris等系统提供附加的内核保护功能。内核保护机制不能被滥用,否则会使系统管理变得复杂,并可能影响其它程序的正常运行。

----------------------------------
课程列表
重点难点
赞助链接