2017.W10 Rootkit
> 朕不给的 你看不到
## 前言 ##
终于换讲底层的东西了 ...
## 内容 ##
Rootkit[0] 一种用来影藏行踪的软件 或者广义来说是一种技术
在各作业系统中 都存在各种程度的 Rootkit 用来影藏资讯
根据不同的技术细节来说 可以将 Rootkit 分为若干程度:
- User-Space[1]
- Kernel-Space
- Firmware and/or Hardware
在 User Space 的程度来看,Rootkit 的技术是直接串改监控程式的结果
透过利用函式库注入[2] 等方式 将监控程式的结果过滤而达到影藏行踪的目的
但如同他的攻击方式需攻击特定的程式
在使用不同的系统函数[3]的监控程式下 则依然无法达到完全匿踪的目的
而在 Kernel Space 的角度来看 Rootkit 攻击的则是作业系统最底层的系统函数
这个程度的函式库是可呼叫的最底层函数
借由攥改这一层的结果 过滤特定的资讯来达到匿踪的目的
而最后的 Firmware/Hardware 层级 则是最底层的 Rootkit
从根本上就不让作业系统发现特定的硬件
像是可以虚拟出来一个伪造的硬盘
而 Firmware 只允许特定状态下才允许存取这个硬盘空间
在这种 Rootkit 下 无法透过任何系统函数读到这个硬盘来达到将资料匿踪的目的
以下是几种在个作业系统的 Rootkit
- Linux/LD_PRELOAD rootkit[4]
- MicroSoft/Alureon[5]
- Mac/rubilyn[6]
[0]: https://zh.wikipedia.org/wiki/Rootkit
[1]: https://zh.wikipedia.org/wiki/%E4%BD%BF%E7%94%A8%E8%80%85%E7%A9%BA%E9%96%93
[2]: https://en.wikipedia.org/wiki/DLL_injection
[3]: https://en.wikipedia.org/wiki/System_call
[4]: http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/
[5]: https://en.wikipedia.org/wiki/Alureon
[6]: http://seclists.org/fulldisclosure/2012/Oct/55