|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 11 Apr 2001 10:59:55
To : Vladimir Bormotov
Subject : определить не затроянено ли ядро.
--------------------------------------------------------------------------------
On 10 Apr 2001 at 06:50, "VB", Vladimir Bormotov wrote:
OA> какими простейшими программами можно проверить говорит ли ядро правду?
OA> пример - прибивание всех процессов с kill -0 и сравнение с числом
OA> выдаваемым ps.
OA> Еще варианты есть?
VB> Вот уж не знаю. Если ядро говорит неправду - от можно ли это чем-то
VB> вообще проверить. И что помешает ядру поправить результат того, что
VB> скажет это "нечто"?
То что обычно затроянное ядро не переписывается под ноль. =) То есть, есть
несколько функций интересных для атакующего, очевидно "продвинутое" трояном
яро будет реализовывать как минимум одну из нижеследующих функций (иначе
нафиг его троянить? %) ):
упрятывание файлов принадлежащих uid или лежащих в опред. директории в FS.
упрятывание процессов с uid/name в top/ps/..
упрятывание юзверя с uid в w/who/lastlog
игнорирование квот для uid/gid.
получение uid 0 через нестандартно вызванный call к ядру.
что_нить_еще_интересное?
Так вот идея в том, что автор трояна мог забыть или не знать или не
подумать о том, что та задача, обработчик которой он подменяет должна
иметь вполне определенные промежуточные результаты или что результат можно
получить по другому пути (типичный пример - прибивание с подсчетом
всех процессов с -0 наплевав на данные ps, правда тут мне, почему-то мылом,
написали что это не совсем адекватно ибо в ядре к-во процессов изменится
быстрее.. Hе помню уже подробности реализации этой самой проверки, поиски в
saved'ах ничего не дали. :( ).
Так вот последнее из перечисленного проверить не реально, а
вот все передыдущее может быть и можно. Зависит от квлификации того кто
писал троян.=)
VB> кстати, вот кажется такую простую для rpm'а задачу под DOS делал
VB> ADInf, причем за денежки... Под Slackware, до сих пор никто не делает
VB> ;-))))
OA> Потому как нафиг не сдалось - Adinf не только verify делал - у него
OA> еще лечащий модуль был. В общем это отдельная песня. ;-)
VB> В данном случае, тебе интересна диагностика была, как я понял.
Угу. Мне хочется иметь _несколько_ возможных способов проверки правдивости
ядра.
VB> А лечащий модуль - это видимо ядро линукса, в ROM, которое ту сам туда
VB> прошивать будешь. В целях экономии, видимо можно взять с УФ стиранием
VB> ;)
:))
--
Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
*: .. Половодья каприз - тебе вверх, а мне вниз. //Hочные снайперы
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
