Linux安全系列之启动篇
但是我们还要做一件事,就是我们需要把我们ko入口地址修改成我们的rootkit函数的地址,我们可以看一下,入口init_module和rootkit()的地址现在分别是多少:
可以看到是不一样的,我们的地址是0000000000000011 所以我们要先把init_module的地址修改为0000000000000011 修改工具可以加入知识星球后获取(加入方式见文章末尾) 好了,现在我们可以把这个cdrom_new.ko覆盖掉原来test目录下的cdrom.ko 然后把initrd重新打包,覆盖掉原本的/boot/initrd.img-4.6.0-kali1-amd64 然后重启 执行dmesg|grep Rootkit 我们可以看到如下: 当然kernel也可以做手脚,有兴趣的同学可以试试。 我们怎么检查它是否被篡改了呢?简单的检查下可以用,stat 看一下时间对不对,当然要看change time,其他时间没有用。 stat /boot/initrd-2.6.32-431.el6.x86_64.img 二.Inittab 内核加载完毕,控制权交给了初始化程序init,init会根据/etc/inittab中定义的系统运行级别等动作来进行脚本执行。所以这个配置文件inittab成了第二个启动点。 比如:大名鼎鼎的shv5及其变种ddrk和mafix都是这种启动方式,他们篡改后的inittab截图: 设定了2345运行级别时都会执行一次/usr/sbin/ttyload(后门程序) 三.Sysinit (编辑:惠州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |