Linux下的Rootkit驻留技术分析

我们在start case中做些修改，使之在启动时执行我们的evil措施：

对付systemd，我们可以用更多本领实现驻留，乃至不必要root权限也可以：

/etc/systemd/system/etc/systemd/user/lib/systemd/system/lib/systemd/user 
~/.local/share/systemd/user 
~/.config/systemd/user 

以下是一个操作systemd处事文件的示例：

systemctl --user enable service可以使处事随用户登录启动，systemctl enable service可以让处事随体系启动。

bashrc 

bashrc可能zshrc等文件会跟着shell的运行而被执行，操作时只需在内里插手恶意的shell script即可。

常见位置：

/etc/profile 
~/.bashrc 
~/.bash_profile 
~/.bash_logout 

示譬喻下：

xinitrc 

假如方针主机有安装Xorg，我们也可以以下位置写入shell script实现rootkit驻留，不必要root权限。

～/.xinitrc 
~/.xserverrc/etc/X11/xinit/xinitrc/etc/X11/xinit/xserverrc 
其余initrc 

任何应用措施都也许在启动时执行代码，并且它们很也许会执行用户home目次的rc文件。譬喻，我们乃至可以在vimrc里 写入vimscript来执行代码实现rookit的驻留，这同样不必要root权限。

一个也许的示譬喻下：

1.2 图形化情形的操作

固然尺度的处事器版Linux刊行版是不会预装Xorg的，但照旧存在相等一部门用户行使CentOS预装gnome2的版本作为处事器操 作体系。因此，基于gnome等桌面情形和Xorg的驻留偶然辰也是重要的并且会轻易被忽略的本领。

XDG autostart for system 

/etc/xdg/autostart下的desktop文件会被主流桌面情形在启动时执行。一个也许的示譬喻下：

XDG autostart for user 

相同的，用户可以在本身的~/.config/autostart目次下插手必要自启动的desktop文件。

1.3 crond的操作

这是一个很常见的驻留点，但必要留意的是，许多恶意软件并不只仅会把本身写入用户的crontab(如/var/spool/cron/root)，它们会把本身写入软件包行使的crontab内里，如/etc/cron.d，这样更不轻易引起用户留意。

1.4 替代文件

替代可能patch一些会被处事或用户自己执行的措施文件，以同时执行恶意代码，也是很常见的驻留方法。

我们可以利便的获取到开源项目标源码，举办修改，加上我们的恶意代码并从头编译，替代方针体系的响应文件。这样我们的代码就会随之执行。

下面我们修改openssh portable 7.9的源码，使之在特定前提下执行我们的代码：

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!