前言

Rootkit木馬是一種系統(tǒng)內(nèi)核級病毒木馬，其進(jìn)入內(nèi)核模塊后能獲取到操作系統(tǒng)高級權(quán)限，從而使用各種底層技術(shù)隱藏和保護(hù)自身，繞開安全軟件的檢測和查殺，通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進(jìn)而達(dá)到隱藏信息的目的。rootkit的取證分析是取證工作中的一大難點(diǎn)。

正文

常見的linux rookit取證方式有利用system.map發(fā)現(xiàn)_stext、_etext地址異常,檢測加載的異常庫文件，檢測LD_PRELOAD等。常用的軟件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以幫助我們快速的分析有無惡意軟件，以及惡意軟件使用的手法，快速發(fā)現(xiàn)rootkit痕跡。

今天看的兩個(gè)項(xiàng)目分別是Babyhids和bpf-hookdetect

先看的是bpf-hookdetect，對這幾個(gè)模塊進(jìn)行檢測

如果存在調(diào)用，則記錄。

在結(jié)束時(shí)判斷有無記錄，通過記錄判斷以及反饋有無hooked,以及一些進(jìn)程信息

記錄hooked的界面反饋

對于bpf-hookdetect，babyhids可以檢測內(nèi)核調(diào)用模塊文件，能得到更多信息。

babyhids界面hooked反饋

審核編輯：劉清