Linux下的Rootkit驻留技术分析

一个可能的示例如下：

1.2 图形化环境的利用

虽然标准的服务器版Linux发行版是不会预装Xorg的，但还是存在相当一部分用户使用CentOS预装gnome2的版本作为服务器操 作系统。因此，基于gnome等桌面环境和Xorg的驻留有时候也是重要的而且会容易被忽略的手段。

XDG autostart for system 

/etc/xdg/autostart下的desktop文件会被主流桌面环境在启动时执行。一个可能的示例如下：

XDG autostart for user 

类似的，用户可以在自己的~/.config/autostart目录下加入需要自启动的desktop文件。

1.3 crond的利用

这是一个很常见的驻留点，但需要注意的是，很多恶意软件并不仅仅会把自己写入用户的crontab(如/var/spool/cron/root)，它们会把自己写入软件包使用的crontab里面，如/etc/cron.d，这样更不容易引起用户注意。

1.4 替换文件

替换或者patch一些会被服务或用户本身执行的程序文件，以同时执行恶意代码，也是很常见的驻留方式。

我们可以方便的获取到开源项目的源码，进行修改，加上我们的恶意代码并重新编译，替换目标系统的相应文件。这样我们的代码就会随之执行。

下面我们修改openssh portable 7.9的源码，使之在特定条件下执行我们的代码：

这里修改的函数是uncompress_buffer，用于处理压缩传输的ssh连接。我们需要触发它的时候，只需发起一个ssh -C即可。

如果没有源码，我们同样可以给现有的binary注入shellcode，不过这种实现达到的功能相对有限，且可能会导致原文件损坏 。下面使用backdoor-factory进行shellcode注入，这个工具支持自定义shellcode：

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!