Linux下的Rootkit驻留技术分析

我们在start case中做些修改，使之在启动时执行我们的evil程序：

对于systemd，我们可以用更多手段实现驻留，甚至不需要root权限也可以：

/etc/systemd/system/etc/systemd/user/lib/systemd/system/lib/systemd/user 
~/.local/share/systemd/user 
~/.config/systemd/user 

以下是一个利用systemd服务文件的示例：

systemctl --user enable service可以使服务随用户登录启动，systemctl enable service可以让服务随系统启动。

bashrc 

bashrc或者zshrc等文件会随着shell的运行而被执行，利用时只需在里面加入恶意的shell script即可。

常见位置：

/etc/profile 
~/.bashrc 
~/.bash_profile 
~/.bash_logout 

示例如下：

xinitrc 

如果目标主机有安装Xorg，我们也可以以下位置写入shell script实现rootkit驻留，不需要root权限。

～/.xinitrc 
~/.xserverrc/etc/X11/xinit/xinitrc/etc/X11/xinit/xserverrc 
其它initrc 

任何应用程序都可能在启动时执行代码，而且它们很可能会执行用户home目录的rc文件。例如，我们甚至可以在vimrc里 写入vimscript来执行代码实现rookit的驻留，这同样不需要root权限。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!