Chap 7 SS 7-4
Rootkit 的定義
A rootkit is a collection of tools and utilities that an attacker uses to 一、mask his presence on a compromised system and to 二、provide the necessary access for his return visits.
要點:
一、有 root (Unix歷史淵源)/administrator 權限
二、和系統檔案有關係
==>一般攻擊是「加入」新的 file, directory, registry key,而 rootkit 不論是置換系統檔案,或是攔截系統呼叫(這是因為Windows系統有Windows File Protection (WFP)的關係),都和系統核心有關
==>在Unix上的 rootkit 和 Windows 上的運作方式不同也就是因為 WFP 的關係
Windows 系統上的 rootkit 有兩種:
一、kernel mode
二、user mode
Kernel Mode 運作方式:
破壞原來的 system call 或是 API 的運作(dragon: 我想這裡是暗示代之以駭客的運作方式)。
例:載入裝置的司機,副檔名為 .sys的檔案;可用來攔截、修改傳給 system process 的「程式碼」
User Mode 運作方式:
一、覆寫系統檔案
二、DLL Injection
三、API Hooking
==>這種方式作者有詳細的例子做說明;今天沒有空作詳細的研究,改天配合實驗工具的收集做實驗
==>在Google上找一些用 "rootkit" 作為關鍵字的網頁,是否可以找到一些知識?
沒有留言:
張貼留言