0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何利用ebpf检测rootkit项目取证呢?

哆啦安全 来源:Th0r安全 2023-08-01 11:08 次阅读

前言

Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用各种底层技术隐藏和保护自身,绕开安全软件的检测和查杀,通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。rootkit的取证分析是取证工作中的一大难点。

正文

常见的linux rookit取证方式有利用system.map发现_stext、_etext地址异常,检测加载的异常库文件,检测LD_PRELOAD等。常用的软件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以帮助我们快速的分析有无恶意软件,以及恶意软件使用的手法,快速发现rootkit痕迹。

今天看的两个项目分别是Babyhids和bpf-hookdetect

先看的是bpf-hookdetect,对这几个模块进行检测

cc4ba480-2fa3-11ee-9e74-dac502259ad0.png

如果存在调用,则记录。

cc6a7b08-2fa3-11ee-9e74-dac502259ad0.png

在结束时判断有无记录,通过记录判断以及反馈有无hooked,以及一些进程信息

cc73efc6-2fa3-11ee-9e74-dac502259ad0.png

记录hooked的界面反馈

cc90f922-2fa3-11ee-9e74-dac502259ad0.png

对于bpf-hookdetect,babyhids可以检测内核调用模块文件,能得到更多信息。

ccb27c6e-2fa3-11ee-9e74-dac502259ad0.png

babyhids界面hooked反馈

ccbc1c24-2fa3-11ee-9e74-dac502259ad0.png





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux系统
    +关注

    关注

    4

    文章

    591

    浏览量

    27357
  • rootkit
    +关注

    关注

    0

    文章

    8

    浏览量

    2702

原文标题:利用ebpf检测rootkit项目取证分析

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    基于ebpf的性能工具-bpftrace脚本语法

    bpftrace 通过高度抽象的封装来使用 eBPF,大多数功能只需要寥寥几笔就可以运行起来,可以很快让我们搞清楚 eBPF 是什么样的,而暂时不关心 eBPF 复杂的内部机理。由于
    的头像 发表于 09-04 16:04 958次阅读
    基于<b class='flag-5'>ebpf</b>的性能工具-bpftrace脚本语法

    关于 eBPF 安全可观测性,你需要知道的那些事儿

    要的数据资产。可配置:Cilium 等自定义乃至自动化配置策略,更新灵活性高,过滤条件丰富。快速检测:在内核中直接处理各种事件,不需要回传用户态,使得异常检测方便和快速。其中 eBPF 程序沙箱化,更加
    发表于 09-08 15:31

    openEuler 倡议建立 eBPF 软件发布标准

    技术的发展,出现 BumbleBee 、eunomia-bpf 等项目致力于综合这两类技术路线的优点,但依旧缺乏对 eBPF 基础技术的整体规划。eBPF 发展展望eBPF summ
    发表于 12-23 16:21

    Kylin系统的内核级Rootkit防护

    内核级rootkit是破坏内核完整性的最大威胁,它主要通过可加载模块方式和文件补丁方式破坏内核完整性。该文提出一种针对内核级rootkit威胁的防护模型,从一个可信根开始,开机引
    发表于 04-10 09:55 28次下载

    rootkit的内核完整性检测与恢复技术

    针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息
    发表于 04-11 09:37 10次下载

    永久型Windows Rootkit 检测技术

    永久型Rootkit可以长期隐秘在系统中,并隐藏恶意代码,威胁计算机的安全。该文应用cross-view方法构建监控系统,采用文件系统过滤驱动与钩挂系统服务分析系统行为,判定系统是否
    发表于 04-15 10:07 21次下载

    基于Multi-Agent 的网络入侵取证模型的设计

    在分析网络入侵取证和多Agent 技术的基础上,提出了一个基于多Agent 的网络入侵取证系统的模型,并详细描述了入侵检测取证的过程和方法。将入侵
    发表于 06-10 11:18 17次下载

    支持计算机取证的入侵检测系统的设计与实现

    首先分析了入侵检测和计算机取证的概念,然后给出了一个支持计算机取证的网络入侵检测系统的设计,最后对该系统的各关键模块做了简单的介绍。关键词:入侵检测
    发表于 08-29 11:33 30次下载

    Rootkit是什么

    Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
    的头像 发表于 11-07 16:30 7772次阅读

    eBPF是什么以及eBPF能干什么

    一、eBPF是什么 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的语法
    的头像 发表于 07-05 15:17 1.2w次阅读
    <b class='flag-5'>eBPF</b>是什么以及<b class='flag-5'>eBPF</b>能干什么

    介绍eBPF针对可观测场景的应用

    随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF
    的头像 发表于 08-11 09:10 1540次阅读

    防御Rootkit攻击并避免恶意恶意软件

    一种特别阴险的恶意软件形式是通过rootkit(或bootkit)攻击注入系统的固件,因为它在操作系统启动之前加载并且可以隐藏普通的反恶意软件。Rootkit 也很难检测和删除。防御 root
    的头像 发表于 04-24 09:57 1846次阅读
    防御<b class='flag-5'>Rootkit</b>攻击并避免恶意恶意软件

    基于ebpf的性能工具-bpftrace

    在前面我已经分享了关于ebpf入门的文章: 基于ubuntu22.04-深入浅出 eBPF 。 这篇文章介绍一个基于ebpf技术的强大工具--bpftrace。 在现代计算机系统中,了解系统的内部
    的头像 发表于 09-04 16:02 645次阅读
    基于<b class='flag-5'>ebpf</b>的性能工具-bpftrace

    ebpf的快速开发工具--libbpf-bootstrap

    ) 什么是libbpf-bootstrap libbpf-bootstrap是一个开源项目,旨在帮助开发者快速启动和开发使用eBPF(Extended Berkeley Packet Filter
    的头像 发表于 09-25 09:04 954次阅读
    <b class='flag-5'>ebpf</b>的快速开发工具--libbpf-bootstrap

    eBPF动手实践系列三:基于原生libbpf库的eBPF编程改进方案简析

    在上一篇文章《eBPF动手实践系列二:构建基于纯C语言的eBPF项目》中,我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libb
    的头像 发表于 03-19 14:19 768次阅读
    <b class='flag-5'>eBPF</b>动手实践系列三:基于原生libbpf库的<b class='flag-5'>eBPF</b>编程改进方案简析