Rootkit入侵工具Knark分析及防范

核心提示： author 作者自我介绍files 系统中隐藏文件列表nethides 在/proc/net/[tcpudp]隐藏的字符串pids 被隐藏的pids列表，格式类似于ps命令输出redirects 被重定向的可执行程序入口列表该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块k

author 作者自我介绍

files 系统中隐藏文件列表

nethides 在/proc/net/[tcp　udp]隐藏的字符串

pids 被隐藏的pids列表，格式类似于ps命令输出

redirects 被重定向的可执行程序入口列表

该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块knark.o。除了taskhack.c，其用于直接修改/dev/kmem)

hidef 用于在系统中隐藏文件

在/usr/lib目录下创建子目录hax0r，然后运行命令"./hidef /usr/lib/.hax0r"，则该目录会被隐藏，"ls"或"du"等命令都不能显示该目录及其子目录。

unhidef 用来恢复被隐藏的文件

你可以通过访问"cat /proc/knark/files"来察看你隐藏了哪些文件。通过"./unhidef /usr/lib/.hax0r"命令来解除对隐藏文件的隐藏。但是这里有个小小的bug，使得被隐藏的目录在/proc/knark/files中显示的是其加载开始的路径，也就是说如果系统有一个文件系统加载在/mnt,你隐藏了/mnt/secret，则在/proc/knark/files中显示的被隐藏的目录为/secret。因此不会影响根文件被隐藏的目录。

ered 用来配置重定向程序的执行

拷贝特洛伊木马版本的sshd为/usr/lib/.hax0r/sshd_trojan，然后运行"./ered /usr/local/sbin/sshd /usr/lib/.hax0r/sshd_trojan"，这样当/usr/local/sbin/sshd被运行时，实际上运行的特洛伊木马版本的sshd。可以通过命令./ered -c来清楚所有的可执行程序重定向。

nethide 用来隐藏/proc/net/tcp和/proc/net/udp中的某些字符串

netstat命令就不会得到指定的链接信息。通过命令/nethide ":ABCD "可以隐藏和端口号ABCD(十六进制)相关的连接(43981 dec)。也就是对/proc/net/[tcp　udp]读取时进行"grep -v"操作。