Rootkit隐藏进程和端口检测

1. tcp潜匿端口检测

• 从1到65535遍历端口
• 建设一个基于tcp协议SOCK_STREAM的socket
• 通过bind返回值和错误码探测端口状态
• 假如被占用，通过listen 错误码是EADDRINUSE确定端口占用
• 通过ss或netstat呼吁过滤tcp协议，查察端口环境
• 比拟差别，确认该端口为潜匿端口

socketsocket_desc=socket(AF_INET,SOCK_STREAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
listen(socket_desc,1); 
if(EADDRINUSE == errno) { 
    checkoneport(i, tcpcommand, TCP); 
} 

2. udp潜匿端口检测

对比tcp, udp行使SOCK_DGRAM的socket， 穷乏listen这步，别的检测步调相同

socketsocket_desc=socket(AF_INET,SOCK_DGRAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
if(EADDRINUSE == errno) { 
    checkoneport(u, udpcommand, UDP); 
} 

四、结论

本文提供的通过应用层方法检测rootkit中最常见的潜匿历程和端口，风险性小，可无缝集成到主机安详agent中。

【编辑保举】

1. 2019年2月热点恶意软件观测功效出炉
2. 防备鱼叉式收集垂纶进攻的8个秘诀
3. 2019年收集犯法和恶意软件猜测
4. 怎样检测无文件恶意软件进攻？
5. 打单软件进攻方针：71%为中小企业

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!