搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      如何利用ebpf檢測rootkit項目取證呢?

      哆啦安全 ? 來源:Th0r安全 ? 2023-08-01 11:08 ? 次閱讀

      前言

      Rootkit木馬是一種系統(tǒng)內(nèi)核級病毒木馬,其進入內(nèi)核模塊后能獲取到操作系統(tǒng)高級權(quán)限,從而使用各種底層技術(shù)隱藏和保護自身,繞開安全軟件的檢測和查殺,通過加載特殊的驅(qū)動,修改系統(tǒng)內(nèi)核,進而達到隱藏信息的目的。rootkit的取證分析是取證工作中的一大難點。

      正文

      常見的linux rookit取證方式有利用system.map發(fā)現(xiàn)_stext、_etext地址異常,檢測加載的異常庫文件,檢測LD_PRELOAD等。常用的軟件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以幫助我們快速的分析有無惡意軟件,以及惡意軟件使用的手法,快速發(fā)現(xiàn)rootkit痕跡。

      今天看的兩個項目分別是Babyhids和bpf-hookdetect

      先看的是bpf-hookdetect,對這幾個模塊進行檢測

      cc4ba480-2fa3-11ee-9e74-dac502259ad0.png

      如果存在調(diào)用,則記錄。

      cc6a7b08-2fa3-11ee-9e74-dac502259ad0.png

      在結(jié)束時判斷有無記錄,通過記錄判斷以及反饋有無hooked,以及一些進程信息

      cc73efc6-2fa3-11ee-9e74-dac502259ad0.png

      記錄hooked的界面反饋

      cc90f922-2fa3-11ee-9e74-dac502259ad0.png

      對于bpf-hookdetect,babyhids可以檢測內(nèi)核調(diào)用模塊文件,能得到更多信息。

      ccb27c6e-2fa3-11ee-9e74-dac502259ad0.png

      babyhids界面hooked反饋

      ccbc1c24-2fa3-11ee-9e74-dac502259ad0.png





      審核編輯:劉清

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • Linux系統(tǒng)
        +關(guān)注

        關(guān)注

        4

        文章

        590

        瀏覽量

        27316
      • rootkit
        +關(guān)注

        關(guān)注

        0

        文章

        8

        瀏覽量

        2699

      原文標(biāo)題:利用ebpf檢測rootkit項目取證分析

      文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        基于ebpf的性能工具-bpftrace腳本語法

        bpftrace 通過高度抽象的封裝來使用 eBPF,大多數(shù)功能只需要寥寥幾筆就可以運行起來,可以很快讓我們搞清楚 eBPF 是什么樣的,而暫時不關(guān)心 eBPF 復(fù)雜的內(nèi)部機理。由于
        的頭像 發(fā)表于 09-04 16:04 ?924次閱讀
        基于<b class='flag-5'>ebpf</b>的性能工具-bpftrace腳本語法

        關(guān)于 eBPF 安全可觀測性,你需要知道的那些事兒

        要的數(shù)據(jù)資產(chǎn)。可配置:Cilium 等自定義乃至自動化配置策略,更新靈活性高,過濾條件豐富??焖?b class='flag-5'>檢測:在內(nèi)核中直接處理各種事件,不需要回傳用戶態(tài),使得異常檢測方便和快速。其中 eBPF 程序沙箱化,更加
        發(fā)表于 09-08 15:31

        openEuler 倡議建立 eBPF 軟件發(fā)布標(biāo)準(zhǔn)

        技術(shù)的發(fā)展,出現(xiàn) BumbleBee 、eunomia-bpf 等項目致力于綜合這兩類技術(shù)路線的優(yōu)點,但依舊缺乏對 eBPF 基礎(chǔ)技術(shù)的整體規(guī)劃。eBPF 發(fā)展展望eBPF summ
        發(fā)表于 12-23 16:21

        Kylin系統(tǒng)的內(nèi)核級Rootkit防護

        內(nèi)核級rootkit是破壞內(nèi)核完整性的最大威脅,它主要通過可加載模塊方式和文件補丁方式破壞內(nèi)核完整性。該文提出一種針對內(nèi)核級rootkit威脅的防護模型,從一個可信根開始,開機引
        發(fā)表于 04-10 09:55 ?28次下載

        rootkit的內(nèi)核完整性檢測與恢復(fù)技術(shù)

        針對rootkit惡意軟件掛鉤SystemServiceDispatchTable和使用內(nèi)聯(lián)函數(shù)補丁進行隱藏文件的原理,提出基于內(nèi)核文件的完整性檢測和恢復(fù)方法,結(jié)果證明了其能夠確保系統(tǒng)獲取文件等敏感信息
        發(fā)表于 04-11 09:37 ?10次下載

        永久型Windows Rootkit 檢測技術(shù)

        永久型Rootkit可以長期隱秘在系統(tǒng)中,并隱藏惡意代碼,威脅計算機的安全。該文應(yīng)用cross-view方法構(gòu)建監(jiān)控系統(tǒng),采用文件系統(tǒng)過濾驅(qū)動與鉤掛系統(tǒng)服務(wù)分析系統(tǒng)行為,判定系統(tǒng)是否
        發(fā)表于 04-15 10:07 ?21次下載

        基于Multi-Agent 的網(wǎng)絡(luò)入侵取證模型的設(shè)計

        在分析網(wǎng)絡(luò)入侵取證和多Agent 技術(shù)的基礎(chǔ)上,提出了一個基于多Agent 的網(wǎng)絡(luò)入侵取證系統(tǒng)的模型,并詳細描述了入侵檢測取證的過程和方法。將入侵
        發(fā)表于 06-10 11:18 ?17次下載

        支持計算機取證的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)

        首先分析了入侵檢測和計算機取證的概念,然后給出了一個支持計算機取證的網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計,最后對該系統(tǒng)的各關(guān)鍵模塊做了簡單的介紹。關(guān)鍵詞:入侵檢測
        發(fā)表于 08-29 11:33 ?30次下載

        Rootkit是什么

        Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。
        的頭像 發(fā)表于 11-07 16:30 ?7748次閱讀

        eBPF是什么以及eBPF能干什么

        一、eBPF是什么 eBPF是extended BPF的縮寫,而BPF是Berkeley Packet Filter的縮寫。對linux網(wǎng)絡(luò)比較熟悉的伙伴對BPF應(yīng)該比較了解,它通過特定的語法
        的頭像 發(fā)表于 07-05 15:17 ?1.2w次閱讀
        <b class='flag-5'>eBPF</b>是什么以及<b class='flag-5'>eBPF</b>能干什么

        介紹eBPF針對可觀測場景的應(yīng)用

        隨著eBPF推出,由于具有高性能、高擴展、安全性等優(yōu)勢,目前已經(jīng)在網(wǎng)絡(luò)、安全、可觀察等領(lǐng)域廣泛應(yīng)用,同時也誕生了許多優(yōu)秀的開源項目,如Cilium、Pixie等,而iLogtail 作為阿里內(nèi)外千萬實例可觀測數(shù)據(jù)的采集器,eBPF
        的頭像 發(fā)表于 08-11 09:10 ?1516次閱讀

        防御Rootkit攻擊并避免惡意惡意軟件

        一種特別陰險的惡意軟件形式是通過rootkit(或bootkit)攻擊注入系統(tǒng)的固件,因為它在操作系統(tǒng)啟動之前加載并且可以隱藏普通的反惡意軟件。Rootkit 也很難檢測和刪除。防御 root
        的頭像 發(fā)表于 04-24 09:57 ?1801次閱讀
        防御<b class='flag-5'>Rootkit</b>攻擊并避免惡意惡意軟件

        基于ebpf的性能工具-bpftrace

        在前面我已經(jīng)分享了關(guān)于ebpf入門的文章: 基于ubuntu22.04-深入淺出 eBPF 。 這篇文章介紹一個基于ebpf技術(shù)的強大工具--bpftrace。 在現(xiàn)代計算機系統(tǒng)中,了解系統(tǒng)的內(nèi)部
        的頭像 發(fā)表于 09-04 16:02 ?631次閱讀
        基于<b class='flag-5'>ebpf</b>的性能工具-bpftrace

        ebpf的快速開發(fā)工具--libbpf-bootstrap

        ) 什么是libbpf-bootstrap libbpf-bootstrap是一個開源項目,旨在幫助開發(fā)者快速啟動和開發(fā)使用eBPF(Extended Berkeley Packet Filter
        的頭像 發(fā)表于 09-25 09:04 ?881次閱讀
        <b class='flag-5'>ebpf</b>的快速開發(fā)工具--libbpf-bootstrap

        eBPF動手實踐系列三:基于原生libbpf庫的eBPF編程改進方案簡析

        在上一篇文章《eBPF動手實踐系列二:構(gòu)建基于純C語言的eBPF項目》中,我們初步實現(xiàn)了脫離內(nèi)核源碼進行純C語言eBPF項目的構(gòu)建。libb
        的頭像 發(fā)表于 03-19 14:19 ?711次閱讀
        <b class='flag-5'>eBPF</b>動手實踐系列三:基于原生libbpf庫的<b class='flag-5'>eBPF</b>編程改進方案簡析

        感谢您访问我们的网站,您可能还对以下资源感兴趣:

        好色先生污app