Linux下用gdb检测内核rootkit
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-04-21
| ...到这里已经很明显了吧? 【系统调用劫持】 劫持系统调用与上一种方法不同之处在于:它并不直接修改系统调用表中的入口地址,即指向 每个系统调用的跳转指针,而是在想要hook的系统调用之前加一段跳转代码,使执行流重定向到入 侵者自己的内核态函数,这些被hook的系统调用前部通常有call,jmp之类的汇编指令. 要检测这种攻击,同样使用gdb加vmlinux-2.4.*及/proc/kcore两个参数,然后反汇编系统调用: #gdb /boot/vmlinux-2.4.* /proc/kcore (gdb) disass sys_read Dump of assembler code for function sys_read: 0xc013fb70 : mov $0xc88ab0a6, 拥有帝国一切,皆有可能。欢迎访问phome.net |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: linux系统下MYSQL备份与恢复下一篇: ubuntu系统的一些小设定
关于Linux下用gdb检测内核rootkit的所有评论
