如何利用ebpf檢測rootkit項目取證呢?
前言
Rootkit木馬是一種系統內核級病毒木馬,其進入內核模塊后能獲取到操作系統高級權限,從而使用各種底層技術隱藏和保護自身,繞開安全軟件的檢測和查殺,通過加載特殊的驅動,修改系統內核,進而達到隱藏信息的目的。rootkit的取證分析是取證工作中的一大難點。
正文
常見的linux rookit取證方式有利用system.map發現_stext、_etext地址異常,檢測加載的異常庫文件,檢測LD_PRELOAD等。常用的軟件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以幫助我們快速的分析有無惡意軟件,以及惡意軟件使用的手法,快速發現rootkit痕跡。
今天看的兩個項目分別是Babyhids和bpf-hookdetect
先看的是bpf-hookdetect,對這幾個模塊進行檢測
如果存在調用,則記錄。
在結束時判斷有無記錄,通過記錄判斷以及反饋有無hooked,以及一些進程信息
記錄hooked的界面反饋
對于bpf-hookdetect,babyhids可以檢測內核調用模塊文件,能得到更多信息。
babyhids界面hooked反饋
審核編輯:劉清
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
Linux系統
+關注
關注
4文章
596瀏覽量
27510 -
rootkit
+關注
關注
0文章
8瀏覽量
2720
原文標題:利用ebpf檢測rootkit項目取證分析
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
基于ebpf的性能工具-bpftrace腳本語法
bpftrace 通過高度抽象的封裝來使用 eBPF,大多數功能只需要寥寥幾筆就可以運行起來,可以很快讓我們搞清楚 eBPF 是什么樣的,而暫時不關心 eBPF 復雜的內部機理。由于
關于 eBPF 安全可觀測性,你需要知道的那些事兒
要的數據資產。可配置:Cilium 等自定義乃至自動化配置策略,更新靈活性高,過濾條件豐富。快速檢測:在內核中直接處理各種事件,不需要回傳用戶態,使得異常檢測方便和快速。其中 eBPF 程序沙箱化,更加
發表于 09-08 15:31
openEuler 倡議建立 eBPF 軟件發布標準
技術的發展,出現 BumbleBee 、eunomia-bpf 等項目致力于綜合這兩類技術路線的優點,但依舊缺乏對 eBPF 基礎技術的整體規劃。eBPF 發展展望eBPF summ
發表于 12-23 16:21
Kylin系統的內核級Rootkit防護
內核級rootkit是破壞內核完整性的最大威脅,它主要通過可加載模塊方式和文件補丁方式破壞內核完整性。該文提出一種針對內核級rootkit威脅的防護模型,從一個可信根開始,開機引
發表于 04-10 09:55
?28次下載
反rootkit的內核完整性檢測與恢復技術
針對rootkit惡意軟件掛鉤SystemServiceDispatchTable和使用內聯函數補丁進行隱藏文件的原理,提出基于內核文件的完整性檢測和恢復方法,結果證明了其能夠確保系統獲取文件等敏感信息
發表于 04-11 09:37
?10次下載
永久型Windows Rootkit 檢測技術
永久型Rootkit可以長期隱秘在系統中,并隱藏惡意代碼,威脅計算機的安全。該文應用cross-view方法構建監控系統,采用文件系統過濾驅動與鉤掛系統服務分析系統行為,判定系統是否
發表于 04-15 10:07
?21次下載
基于Multi-Agent 的網絡入侵取證模型的設計
在分析網絡入侵取證和多Agent 技術的基礎上,提出了一個基于多Agent 的網絡入侵取證系統的模型,并詳細描述了入侵檢測與取證的過程和方法。將入侵
發表于 06-10 11:18
?17次下載
支持計算機取證的入侵檢測系統的設計與實現
首先分析了入侵檢測和計算機取證的概念,然后給出了一個支持計算機取證的網絡入侵檢測系統的設計,最后對該系統的各關鍵模塊做了簡單的介紹。關鍵詞:入侵檢測
發表于 08-29 11:33
?30次下載
Rootkit是什么
Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用。
eBPF是什么以及eBPF能干什么
一、eBPF是什么 eBPF是extended BPF的縮寫,而BPF是Berkeley Packet Filter的縮寫。對linux網絡比較熟悉的伙伴對BPF應該比較了解,它通過特定的語法
介紹eBPF針對可觀測場景的應用
隨著eBPF推出,由于具有高性能、高擴展、安全性等優勢,目前已經在網絡、安全、可觀察等領域廣泛應用,同時也誕生了許多優秀的開源項目,如Cilium、Pixie等,而iLogtail 作為阿里內外千萬實例可觀測數據的采集器,eBPF
防御Rootkit攻擊并避免惡意惡意軟件
一種特別陰險的惡意軟件形式是通過rootkit(或bootkit)攻擊注入系統的固件,因為它在操作系統啟動之前加載并且可以隱藏普通的反惡意軟件。Rootkit 也很難檢測和刪除。防御 root
基于ebpf的性能工具-bpftrace
在前面我已經分享了關于ebpf入門的文章: 基于ubuntu22.04-深入淺出 eBPF 。 這篇文章介紹一個基于ebpf技術的強大工具--bpftrace。 在現代計算機系統中,了解系統的內部
ebpf的快速開發工具--libbpf-bootstrap
) 什么是libbpf-bootstrap libbpf-bootstrap是一個開源項目,旨在幫助開發者快速啟動和開發使用eBPF(Extended Berkeley Packet Filter
eBPF動手實踐系列三:基于原生libbpf庫的eBPF編程改進方案簡析
在上一篇文章《eBPF動手實踐系列二:構建基于純C語言的eBPF項目》中,我們初步實現了脫離內核源碼進行純C語言eBPF項目的構建。libb
工商網監
評論