如何利用ebpf检测rootkit项目取证呢?
前言
Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用各种底层技术隐藏和保护自身,绕开安全软件的检测和查杀,通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。rootkit的取证分析是取证工作中的一大难点。
正文
常见的linux rookit取证方式有利用system.map发现_stext、_etext地址异常,检测加载的异常库文件,检测LD_PRELOAD等。常用的软件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以帮助我们快速的分析有无恶意软件,以及恶意软件使用的手法,快速发现rootkit痕迹。
今天看的两个项目分别是Babyhids和bpf-hookdetect
先看的是bpf-hookdetect,对这几个模块进行检测
如果存在调用,则记录。
在结束时判断有无记录,通过记录判断以及反馈有无hooked,以及一些进程信息
记录hooked的界面反馈
对于bpf-hookdetect,babyhids可以检测内核调用模块文件,能得到更多信息。
babyhids界面hooked反馈
审核编辑:刘清
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
Linux系统
+关注
关注
4文章
567浏览量
26923 -
rootkit
+关注
关注
0文章
8浏览量
2672
原文标题:利用ebpf检测rootkit项目取证分析
文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
关于 eBPF 安全可观测性,你需要知道的那些事儿
要的数据资产。可配置:Cilium 等自定义乃至自动化配置策略,更新灵活性高,过滤条件丰富。快速检测:在内核中直接处理各种事件,不需要回传用户态,使得异常检测方便和快速。其中 eBPF 程序沙箱化,更加
发表于 09-08 15:31
openEuler 倡议建立 eBPF 软件发布标准
技术的发展,出现 BumbleBee 、eunomia-bpf 等项目致力于综合这两类技术路线的优点,但依旧缺乏对 eBPF 基础技术的整体规划。eBPF 发展展望eBPF summ
发表于 12-23 16:21
Kylin系统的内核级Rootkit防护
内核级rootkit是破坏内核完整性的最大威胁,它主要通过可加载模块方式和文件补丁方式破坏内核完整性。该文提出一种针对内核级rootkit威胁的防护模型,从一个可信根开始,开机引
发表于 04-10 09:55
•28次下载
反rootkit的内核完整性检测与恢复技术
针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息
发表于 04-11 09:37
•10次下载
永久型Windows Rootkit 检测技术
永久型Rootkit可以长期隐秘在系统中,并隐藏恶意代码,威胁计算机的安全。该文应用cross-view方法构建监控系统,采用文件系统过滤驱动与钩挂系统服务分析系统行为,判定系统是否
发表于 04-15 10:07
•21次下载
基于Multi-Agent 的网络入侵取证模型的设计
在分析网络入侵取证和多Agent 技术的基础上,提出了一个基于多Agent 的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵
发表于 06-10 11:18
•17次下载
基于蜜罐的数字取证系统的研究与实现
数字取证已成为信息安全和司法领域的研究热点,文中在深入分析各种Web攻击行为的基础上,利用蜜罐搭建了当前流行的Web服务器系统,综合利用基于主机和网络的入侵检测技术,开
发表于 08-18 10:49
•12次下载
支持计算机取证的入侵检测系统的设计与实现
首先分析了入侵检测和计算机取证的概念,然后给出了一个支持计算机取证的网络入侵检测系统的设计,最后对该系统的各关键模块做了简单的介绍。关键词:入侵检测
发表于 08-29 11:33
•30次下载
Rootkit是什么
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
eBPF是什么以及eBPF能干什么
一、eBPF是什么 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的语法
介绍eBPF针对可观测场景的应用
随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF
防御Rootkit攻击并避免恶意恶意软件
一种特别阴险的恶意软件形式是通过rootkit(或bootkit)攻击注入系统的固件,因为它在操作系统启动之前加载并且可以隐藏普通的反恶意软件。Rootkit 也很难检测和删除。防御 root
eBPF的前世今生?eBPF在使用中遇到的问题有哪些?
在介绍eBPF (Extended Berkeley Packet Filter)之前,我们先来了解一下它的前身-BPF (Berkeley Packet Filter)伯克利数据包过滤器。
ebpf的快速开发工具--libbpf-bootstrap
) 什么是libbpf-bootstrap libbpf-bootstrap是一个开源项目,旨在帮助开发者快速启动和开发使用eBPF(Extended Berkeley Packet Filter
eBPF动手实践系列三:基于原生libbpf库的eBPF编程改进方案简析
在上一篇文章《eBPF动手实践系列二:构建基于纯C语言的eBPF项目》中,我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libb
工商网监
评论