|
 | 作者: TomyChen [quest]
 版主 |
登录 |
| 今天又读了一下sunx的内核后门... 细想之下,是个modules,而算不上真正的kernel。 这个后门是在重启后就没办法加载了。 大家讨论一下如何在启动时候,把mod加载?或者其他的方式,反正就是让后门启用 修改启动脚本就免了...方法太容易被发现...说点正经点的 |
| 地主 发表时间: 09/04 16:00 |
 | 回复: Garu [syshunter] 版主 |
登录 |
|
因没有LINUX机器测试,除了我说的将xxx.o放到/lib/modules/下重新make modules,我不知道还有什么其他方法。把initrd.img用mount -o loop /tmp/initrd.img initrd挂到一个目录看看呢?也许能省掉重新编译modules |
| B1层 发表时间: 09/04 21:02 |
 | 回复: NetDemon [netdemon]  ADMIN |
登录 |
|
把这样一段代码插到kernel中的自动加载模块部分去 if(本机的物理硬盘不超过100个){load“你写的那个模块”} [此贴被 NetDemon(netdemon) 在 09月05日16时52分 编辑过] |
| B2层 发表时间: 09/05 04:00 |
 | 回复: xiean [xiean] 论坛用户 |
登录 |
|
lsmod 一看,ND笨笨的modules就出来了哈 |
| B3层 发表时间: 09/05 16:45 |
| 回复: NetDemon [netdemon] ADMIN |
登录 |
|
这个当然就需要你弄一个比较容易混淆的名字咯 人家要的是把mod加载而且不要启动脚本的,那就是这个方式,用什么方式给看出来不在本贴讨论范围哈 |
| B4层 发表时间: 09/05 16:57 |
| 回复: TomyChen [quest] 版主 |
登录 |
|
现在是ps 和lsmod 都没办法列出来了 问题就是lkm感染的问题了,今天xiean给了我一篇文章看。。。正在学习中... |
| B5层 发表时间: 09/05 21:18 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: UNIX系统 标题: [讨论]modules和内核的关系