加入收藏 | 设为首页 | 会员中心 | 我要投稿 惠州站长网 (https://www.0752zz.com.cn/)- 办公协同、云通信、物联设备、操作系统、高性能计算!
当前位置: 首页 > 建站 > 正文

Linux安全系列之启动篇

发布时间:2019-02-15 04:39:34 所属栏目:建站 来源:不必再等
导读:副标题#e# Linux的自启动项,相对Windows来说简单太多了,在我们应急响应中操作系统的启动方式有哪些这个是一定要知道的,不然后门也清除不干净

但是我们还要做一件事,就是我们需要把我们ko入口地址修改成我们的rootkit函数的地址,我们可以看一下,入口init_module和rootkit()的地址现在分别是多少:

  1. objdump -t cdrom_new.ko|grep init 

Linux安全系列之启动篇

可以看到是不一样的,我们的地址是0000000000000011

所以我们要先把init_module的地址修改为0000000000000011

Linux安全系列之启动篇

修改工具可以加入知识星球后获取(加入方式见文章末尾)

好了,现在我们可以把这个cdrom_new.ko覆盖掉原来test目录下的cdrom.ko

然后把initrd重新打包,覆盖掉原本的/boot/initrd.img-4.6.0-kali1-amd64

Linux安全系列之启动篇

然后重启

执行dmesg|grep Rootkit 我们可以看到如下:

Linux安全系列之启动篇

当然kernel也可以做手脚,有兴趣的同学可以试试。

我们怎么检查它是否被篡改了呢?简单的检查下可以用,stat 看一下时间对不对,当然要看change time,其他时间没有用。

stat /boot/initrd-2.6.32-431.el6.x86_64.img

Linux安全系列之启动篇

二.Inittab

内核加载完毕,控制权交给了初始化程序init,init会根据/etc/inittab中定义的系统运行级别等动作来进行脚本执行。所以这个配置文件inittab成了第二个启动点。

比如:大名鼎鼎的shv5及其变种ddrk和mafix都是这种启动方式,他们篡改后的inittab截图:

Linux安全系列之启动篇

设定了2345运行级别时都会执行一次/usr/sbin/ttyload(后门程序)

三.Sysinit

(编辑:惠州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读