如何利用ebpf检测rootkit项目取证呢?
前言
Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用各种底层技术隐藏和保护自身,绕开安全软件的检测和查杀,通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。rootkit的取证分析是取证工作中的一大难点。
正文
常见的linux rookit取证方式有利用system.map发现_stext、_etext地址异常,检测加载的异常库文件,检测LD_PRELOAD等。常用的软件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以帮助我们快速的分析有无恶意软件,以及恶意软件使用的手法,快速发现rootkit痕迹。
今天看的两个项目分别是Babyhids和bpf-hookdetect
先看的是bpf-hookdetect,对这几个模块进行检测
如果存在调用,则记录。
在结束时判断有无记录,通过记录判断以及反馈有无hooked,以及一些进程信息
记录hooked的界面反馈
对于bpf-hookdetect,babyhids可以检测内核调用模块文件,能得到更多信息。
babyhids界面hooked反馈
审核编辑:刘清
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
Linux系统
+关注
关注
4文章
607浏览量
28913 -
rootkit
+关注
关注
0文章
8浏览量
2867
原文标题:利用ebpf检测rootkit项目取证分析
文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
热点推荐
基于ebpf的性能工具-bpftrace脚本语法
bpftrace 通过高度抽象的封装来使用 eBPF,大多数功能只需要寥寥几笔就可以运行起来,可以很快让我们搞清楚 eBPF 是什么样的,而暂时不关心 eBPF 复杂的内部机理。由于
关于 eBPF 安全可观测性,你需要知道的那些事儿
要的数据资产。可配置:Cilium 等自定义乃至自动化配置策略,更新灵活性高,过滤条件丰富。快速检测:在内核中直接处理各种事件,不需要回传用户态,使得异常检测方便和快速。其中 eBPF 程序沙箱化,更加
发表于 09-08 15:31
openEuler 倡议建立 eBPF 软件发布标准
技术的发展,出现 BumbleBee 、eunomia-bpf 等项目致力于综合这两类技术路线的优点,但依旧缺乏对 eBPF 基础技术的整体规划。eBPF 发展展望eBPF summ
发表于 12-23 16:21
反rootkit的内核完整性检测与恢复技术
针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息
发表于 04-11 09:37
?10次下载
永久型Windows Rootkit 检测技术
永久型Rootkit可以长期隐秘在系统中,并隐藏恶意代码,威胁计算机的安全。该文应用cross-view方法构建监控系统,采用文件系统过滤驱动与钩挂系统服务分析系统行为,判定系统是否
发表于 04-15 10:07
?21次下载
基于Multi-Agent 的网络入侵取证模型的设计
在分析网络入侵取证和多Agent 技术的基础上,提出了一个基于多Agent 的网络入侵取证系统的模型,并详细描述了入侵检测与取证的过程和方法。将入侵
发表于 06-10 11:18
?17次下载
支持计算机取证的入侵检测系统的设计与实现
首先分析了入侵检测和计算机取证的概念,然后给出了一个支持计算机取证的网络入侵检测系统的设计,最后对该系统的各关键模块做了简单的介绍。关键词:入侵检测
发表于 08-29 11:33
?30次下载
Rootkit是什么
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
eBPF是什么以及eBPF能干什么
一、eBPF是什么 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的语法
介绍eBPF针对可观测场景的应用
随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF
防御Rootkit攻击并避免恶意恶意软件
一种特别阴险的恶意软件形式是通过rootkit(或bootkit)攻击注入系统的固件,因为它在操作系统启动之前加载并且可以隐藏普通的反恶意软件。Rootkit 也很难检测和删除。防御 root
基于ebpf的性能工具-bpftrace
在前面我已经分享了关于ebpf入门的文章: 基于ubuntu22.04-深入浅出 eBPF 。 这篇文章介绍一个基于ebpf技术的强大工具--bpftrace。 在现代计算机系统中,了解系统的内部
ebpf的快速开发工具--libbpf-bootstrap
) 什么是libbpf-bootstrap libbpf-bootstrap是一个开源项目,旨在帮助开发者快速启动和开发使用eBPF(Extended Berkeley Packet Filter
eBPF动手实践系列三:基于原生libbpf库的eBPF编程改进方案简析
在上一篇文章《eBPF动手实践系列二:构建基于纯C语言的eBPF项目》中,我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libb
基于eBPF的Kubernetes网络异常检测系统
作为一名在云原生领域深耕多年的运维工程师,我见过太多因为网络问题导致的生产事故。传统的监控手段往往是事后诸葛亮,当你发现问题时,用户已经在抱怨了。今天,我将分享如何利用 eBPF 这一革命性技术,构建一套能够实时检测 Kuber
工商网监
评论