Rootkit入侵工具Knark分析及防范

核心提示： Knark是由creed@sekure.net编写的，主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中Runar Jensen编写的代码heroin.c，Rootkit入侵工具Knark分析及防范(3)，设计思想主要来自于Phrac

Knark是由creed@sekure.net编写的，主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中Runar Jensen编写的代码heroin.c，设计思想主要来自于Phrack 52中plaguez发表的文章Weakening the Linux Kernel"。在重新编写了heroin.c的大部分代码以后，Creed决定重新命名为"Knark"，在瑞典语中是指吸毒者。Creed编写的其他软件可以在www.sekure.net/~happy-h/得到，但是由于该站点只有瑞典语版本，因此应用并不广泛。

Knark的第一个公开版本是0.41，发布于June, 1999。可以在B4B0 #9中索引到它：http://packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布，当前版本是0.59。可以从这里下载0.59版。

Knark特性

Knark0.59具有以下特性：

*隐藏或显示文件或目录

*隐藏TCP或UDP连接

*程序执行重定向

*非授权地用户权限增加("rootme")

*改变一个运行进程的UID/GID的工具

*非授权地、特权程序远程执行守护进程

*Kill –31来隐藏运行的进程

联合使用程序执行重新定向和文件隐藏，入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的，因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改，因此配置检测工具在路径环境中也不会发现任何异常。

如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide，就可能实现甚至通过lsmod命令也不能发现knark的存在。

Knark软件包的安装和使用

该软件包的核心软件是knark,c，它是一个Linux LKM(loadable kernel-module)。运行命令"make"来编译knark软件包，通过"insmod knark"命令来加载该模块。当knark被加载，隐藏目录/proc/knark被创建，该目录下将包含以下文件：