forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новый способ внедрения rootkit в Linux ядро"
Отправлено Аноним, 16-Апр-09 10:14

Как бы для этого PAX придумали
http://en.wikipedia.org/wiki/Address_space_layout_randomization
Одну единственную машину 100% не защитишь, но предотвратить массовое заражение можно.
А в винде можно и WriteProcessMemory попробовать использовать, или в Memory Manager Routines что нибудь подобрать.
Убирать /dev/mem, какой в этом смысл?
Загрузи свой модуль, он запустится в адресном пространстве ядра, сделает и оставит такой же руткит. А потом выгрузи его.
Если ты уже получил рута то ты бог в системе.
Логи попробовать делать remote с записью на болванки, если появилась запись что логирования былы отключено, бить тревогу. Но здесь много тонкостей.

Исходное сообщение
"Новый способ внедрения rootkit в Linux ядро" Отправлено Аноним, 16-Апр-09 10:14
Как бы для этого PAX придумали http://en.wikipedia.org/wiki/Address_space_layout_randomization Одну единственную машину 100% не защитишь, но предотвратить массовое заражение можно. А в винде можно и WriteProcessMemory попробовать использовать, или в Memory Manager Routines что нибудь подобрать. Убирать /dev/mem, какой в этом смысл? Загрузи свой модуль, он запустится в адресном пространстве ядра, сделает и оставит такой же руткит. А потом выгрузи его. Если ты уже получил рута то ты бог в системе. Логи попробовать делать remote с записью на болванки, если появилась запись что логирования былы отключено, бить тревогу. Но здесь много тонкостей.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Как бы для этого PAX придумали > http://en.wikipedia.org/wiki/Address_space_layout_randomization > Одну единственную машину 100% не защитишь, но предотвратить массовое заражение можно. > А в винде можно и WriteProcessMemory попробовать использовать, или в Memory Manager > Routines что нибудь подобрать. > Убирать /dev/mem, какой в этом смысл? > Загрузи свой модуль, он запустится в адресном пространстве ядра, сделает и оставит > такой же руткит. А потом выгрузи его. > Если ты уже получил рута то ты бог в системе. > Логи попробовать делать remote с записью на болванки, если появилась запись что > логирования былы отключено, бить тревогу. Но здесь много тонкостей.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру