сокрытие модуля ядра

Вопросы программного кода и архитектуры Linux

Модератор: Olej

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

сокрытие модуля ядра

Непрочитанное сообщение Olej » 25 сен 2015, 14:11

Вот такая достаточно свеженькая статья: Простая маскировка модуля ядра Linux с применением DKOM.
Далее будут рассмотрены особенности применения данной техники с целью сокрытия видимых признаков наличия модуля в системе и, как следствие, невозможности его выгрузки.

Код: Выделить всё

# insmod findme.ko
# lsmod | grep findme
findme                 12697  0
# sysctl -w findme=1
findme = 1
# lsmod | grep findme
# rmmod findme
libkmod: ERROR ../libkmod/libkmod-module.c:753 kmod_module_remove_module: could not remove 'findme': No such file or directory
Error: could not remove module findme: No such file or directory
# sysctl -w findme=0
findme = 0
# lsmod | grep findme
findme                 12697  0 
# rmmod findme
Рекомендую ;-)
Я попозже планирую вернуться к теме.
Там же ссылка на GIT-репозитарий кода.

Код: Выделить всё

MODULE_AUTHOR("Ilya V. Matveychikov <i.matveychikov@milabs.ru>");
Но если кому лень по GIT лазить, то я архив прикрепил.
Вложения
kmod_hidden.tgz
(27.3 КБ) 257 скачиваний

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: сокрытие модуля ядра

Непрочитанное сообщение Olej » 25 сен 2015, 14:16

Olej писал(а):Вот такая достаточно свеженькая статья: Простая маскировка модуля ядра Linux с применением DKOM.
Книгу (PDF 45 стр.) про DKOM (Direct Kernel Object Manipulation) можете найти здесь: DKOM (Direct Kernel Object Manipulation).
Но я её тоже прилагаю.
Вложения
bh-win-04-butler.pdf
(1.36 МБ) 266 скачиваний

Ответить

Вернуться в «Linux изнутри»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей