Старый 25.07.2012, 22:13   #1
Specialist
 
Регистрация: 13.06.2012
Сообщений: 25
Репутация: 20
Exclamation Kernel Compromise Detector: free project, поиск скрытых модулей ядра

Вот я и залил свои кодесы на гитхаб.
А именно - модуль, который ищет скрытые модули в памяти ядра и делает их видимыми. В перспективе сделать из него мощный антируткит.
Кто желает присоединиться к разработке, велкам.
https://github.com/Obie-Wan/kernel-compromise-detector

Последний раз редактировалось Specialist; 25.07.2012 в 22:14.. Причина: вставил линк
Specialist вне форума   Ответить с цитированием
Старый 26.07.2012, 13:00   #2
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Надо убрать это из паблика Нечего кому попало хуки на netfilter смотреть )
SynQ вне форума   Ответить с цитированием
Старый 26.07.2012, 18:06   #3
Specialist
 
Регистрация: 13.06.2012
Сообщений: 25
Репутация: 20
По умолчанию


А если серьёзно, их до кучи легального софта вешает, тот же SELinux например. Добавил для полноты ибо делов на 15 минут и палит интоксонию.
Что касается поиска скрытых модулей, я в сети не встречал ни идеи, ни реализации, хотя это в общем-то далеко не квантовая физика.
Specialist вне форума   Ответить с цитированием
Старый 28.07.2012, 12:16   #4
tom sawyer
 
Регистрация: 28.07.2012
Сообщений: 8
Репутация: 5
По умолчанию

не компилится под убунтой 12, ругается на лицензию. И не спалил мой нуборуткит, который тупо удаляет себя из списка модулей:

[ 810.837252] Kernel Compromise Detector v.0.5
[ 810.837254] Starting checks ...
[ 810.837256] ~ Checking for hidden modules ... nothing
[ 810.841712] ~ Checking for netfilter hooks ... nothing
[ 824.147888]
tom sawyer вне форума   Ответить с цитированием
Старый 29.07.2012, 19:44   #5
Specialist
 
Регистрация: 13.06.2012
Сообщений: 25
Репутация: 20
По умолчанию

Лицензию можешь поменять на GPL в module_license.
Насчёт того что не спалил - там забиты смещения некоторых структур, которые могут различаться. Будет время, добавлю универсальности.
Не спалил это где? Нужна версия ядра (дистрибутив) либо конфиг, если кастом сборка.

p.s. код сыроват, признаю

Последний раз редактировалось Specialist; 29.07.2012 в 19:49..
Specialist вне форума   Ответить с цитированием
Старый 31.07.2012, 01:23   #6
tom sawyer
 
Регистрация: 28.07.2012
Сообщений: 8
Репутация: 5
По умолчанию

С лицензией разобрался, да. Пробовал на убунту 12, 3.2.0.-23 64бит
tom sawyer вне форума   Ответить с цитированием
Старый 07.08.2012, 11:39   #7
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

В презентации находят и кратко дизасмят ядерный руткит (модифицированный adore-ng): htt_p://0x375.org/archive/0x375_0x07-2011-11-25/playing_hide_and_seek_with_a_compromised_system-apoikos.pdf

Интересная техника нахождения скрытого lkm (на загруженной машине!) оттуда (листинг директории не вывел . и ..):
Код:
$ ls -la /var/empty
total 0
drwxrwxrwt 2 root root 4096 Oct 12 21:02 .
drwxr-xr-x 22 root root 4096 Oct 20 11:22 ..
$ ls -ld /var/news
drwxr-xr-x 6 news news 4096 Nov 20 00:23 /var/news
$ ls -la /var/news
total 0
$

$ ssh host sudo /sbin/dump -0u -f - / > dumpfile
$ restore -i -f dumpfile
restore > ls /var/news
./var/news:
net.ko nntpd
SynQ вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot