作者:baoz
前言:
kernel2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。
简写约定:
fc:fedoracore
rh:redhat
rhel4:redhatenterpriselinux4
sk:suckit
adore:adore-ng
rk:rootkit
lkm:loadablekernelmodules
什么是adore-ng?
一个LKMrk,googleadore会有很多详细的介绍。
为什么选择他?
1、我没弄到skfor2.6的
2、fc2之后rh的内核默认就禁用了kmem了,sk无法injectthekernelonthefly,同时很多检查rk的程序也失效:)
3、adore是大牛Stealth写的,历史悠久,帮他测试的人N多,应该会比其他LKM稳定,LKM的稳定会严重的影响系统的稳定,所以选型我们必须要谨慎,就算功能再牛,玩一下就把系统挂了,还被别人发现了,那就得不尝失了。
看看功能:
[root@RHEL4adore-ng]#catFEATURES
Ifyouneverusedadorebefore,here’salistofsupported
things:
orunsonkernel2.4.xUPandSMPsystems
orunsonkernel2.6.xUPandSMPsystems,i386andx86_64archstested
ofileanddirectoryhiding
oprocesshiding
osocket-hiding(nomatterwhetherLISTENing,CONNECTEDetc)
ofull-capabilitybackdoor
odoesnotutilizesys_call_tablebutVFSlayer
oKISSprinciple,tohaveaslessthingsinthereaspossible
butalsobeingasmuchpowerfulaspossible
ohidesitselffrom/procand/sy单机传奇ilesystems
osyslogfiltering:logsgeneratedbyhiddenprocessesneverappear
onthesyslogUNIXsocketanymore
owtmp/utmp/lastlogfiltering:writingofxtmpentriesbyhiddenprocesses
donotappearinthefile,exceptyouforceitbyusingspecialhidden
ANDauthenticatedprocess(asshdbackdoorisusuallyonlyhiddenthus
xtmpentrieswrittenbysshddon’tmakeittodisk)
o(optional)relinkingofLKMsasdescribedinphrack#61akaLKMinfection
tomakeitpossibletobeautomaticallyreloadedafterreboots(2.4and2.6)
本文环境:
真实机器非虚拟机
[root@RHEL4adore-ng]#uname-a;cat/etc/redhat-release
linuxRHEL42.6.9-5.EL#1WedJan519:22:18EST2005i686athloni386GNU/linux
RedHatEnterpriselinuxASrelease4(Nahant)
下载:
googleadore-ng
或者可以在素包子的网站http://baoz.net找找。
编辑和编译:
[root@RHEL4adore-ng]#mvMakefile.2.6Makefile
* |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡