Linux Rootkits
成功入侵系统后,入侵者一般会通过Rootkits工具来隐藏行踪,提供后门方便后续入侵访问。Rootkits一般会隐藏文件,隐藏进程,隐藏网络端口,过滤日志,总之会隐藏任何未授权行为,使入侵者的活动很难被检测到,入侵者可以持续掌控受害系统。
Rootkits的实现手段多种多样,从应用层到动态链接库层,再到内核层,甚至Hypervisor层,都有各种方法实现Rootkits。在应用层直接替换二进制文件如ls
、ps
、top
、netstat
等,在动态连接库层Hook库函数如open()
、opendir()
、readdir()
、unlink()
等,在内核层Hook系统调用及内核函数,更改内核行为。