Какой rootkit на данный момет лучший? Ваше мнение + обоснование. LRK не обсуждаем... устарело. Обсуждаем LKM и KIS rootkit'ы... Может есть что-то более современное? Как сдклать rootkit устойчивым от перезагрузок? Какие есть rootkit'ы, который прикрепляются к существующим модулям ядра Linux. P.S. Я вот встретил пост на одном форуме... что вы по этому поводу думаете?
>>- no LKM support needed (/dev/kmem) Есть такие вещи, уже реализованны и валаяются в паблике на пакетсторме >>- no compilation on victim Реализовать, ИМХО, очень сложно, непереносимо и ненадёжно, учитывая перманентное изменение и развитие систем и ядер в частности. Какая-то направленность на проприетарность, что не есть хорошо =) Даже руткиты под открытые системы должны быть OpenSource! >>- all kernels support То же самое, что и выше, + автор не привёл название системы, для которой создаётся rootkit. (Linux? FreeBSD?) >>- !!! no change syscall table -> means this: example mkdir(): user -> kernel -> syscall -> "hacked"mkdir() -> jmp fake_mkdir() -> repair original mkdir() -> mkdir () -> "hack again" mkdir() -> kernel -> user Не пойму как он это реализовывать собрался... А насчёт патчинга kmem советую почитать статью Silvio Cesare здесь - http://reactor-core.org/runtime-kernel-patching.html Хотя идея уже очень тухлая. Если собрать всё воедино, то имеем следующее: mood-nt - 2.4.x/2.6.x kernels suckit2-like, работает с /dev/kmem enyelkm - LKM-руткит, который не модифицирует sys_call_table. Получается, функционал есть и уже реализован. Зачем изобретать велосипед ещё раз. Если только для собственной практики... По большому счёту всю эту роскошь чаще всего можно не использовать, т.к даже на крупных хостингах с помощью обычных LKM типа itx-ng можно продержаться достаточно долго.
Кстати, вот в тему этого: >>user -> kernel -> syscall -> "hacked"mkdir() -> jmp fake_mkdir() -> >>repair original mkdir() -> mkdir () -> "hack again" mkdir() -> kernel -> >>user О чем-то подобном писал Крис Касперски в статье "Призраки ядра". Там вкратце обсуждалась тема про патчинг самого сискола с внедрением jmp на "hacked" обрабочик. Однако, по его словам, это связанно с трудностями, точнее необходимостью тянуть за собой дизассемблер. В общем, тема обширная. Если у кого есть интересные материалы по этому поводу - кидайте линки. Избитые и всем известные темы типа phrack не придлагать =)
