Download presentation
Presentation is loading. Please wait.
1
最終発表 ー不正アクセスについてー 環境情報学部3年 櫻井美帆
2
不正アクセス 役立つツールがrootkit
3
rootkit ログインの記録を書き換える機能 コマンドファイルの置き換えや改竄 ネットワークスニファ バックドア
などのツールがまとめられている
4
LKM rootkit コマンドバイナリを改竄する必要がない ーファイルの整合性検査を回避できる カーネル自身を操作する
ー正しい情報の取得が困難。発見も困難。
7
LKM rootkit ・adore ・adore-ng ・knark
8
adore-ng Stealth氏によって開発されたLKMrootkit
主にLKM本体のadore-ng.oとクライアントプログラムのavaから構成されている
9
主な機能 process/ファイル/ネットワークなどの隠蔽 自分自身の隠蔽 ローカルバックドア
10
processの隠蔽 オプションで“i”をつけることにより隠蔽することができる # ps –efww|grep emacs
Root Des12 ? 00:00:03 emacs –display :0.0 # ./ava i 16863 Checking for adore-ng or higher … adore-ng installed. Good luck. made PID invisible # ps –ef | grep emacs #
11
ファイルの隠蔽 ファイルも同様にオプションで“h”をつけることにより隠蔽することができる #./ava h xxxx
12
ネットワーク接続の隠蔽 netstatコマンドの出力結果から、事前に設定しておいたサービス名、またはポート番号が含まれる行を除去することでネットワークサービスの隠蔽を行っている。 u_short HIDDEN_SERVICES[] = {2222, 7350, 0};
13
自分自身の隠蔽 #include <linux/kernel.h>
#include <linux/module.h> #include <linux/string.h> int init_module(){ if (__this_module.next) __this_module.next = __this_module.next->next; return 0; } int cleanup_module(){
14
まとめ ・ ハードウェアに近づけば近づくほど 見つけるのが困難となる。 ・ 正常な状態を覚えておいて悪いところを発見するのは困難。
・ ハードウェアに近づけば近づくほど 見つけるのが困難となる。 ・ 正常な状態を覚えておいて悪いところを発見するのは困難。 ・ メモリー空間上の書き換えを制限するような仕組みをつくればよいのでは?
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.